安全与合规

Security & Compliance
生效日期: 2026-04-01MP-SEC-2026-Q2-R1

1. 安全架构概述

子午线协议 (Meridian Protocol) 的安全体系遵循纵深防御 (Defense-in-Depth) 原则,在网络传输层、应用逻辑层、数据持久层及 AI 推理层分别部署独立的安全控制面。各控制面之间通过最小权限原则 (Principle of Least Privilege) 连接,任意单点失效不会导致相邻层的安全降级。

本文件适用于所有通过子午线协议平台传输、处理或存储的数据,包括但不限于用户输入 (Prompts)、系统输出 (Outputs)、账户凭证及计费元数据。

2. 传输与存储加密

  • 传输层:全链路 TLS 1.3,前向保密 (PFS) 密钥交换,HSTS 强制启用。
  • 存储层:AES-256-GCM 静态加密,密钥由云基础设施提供商的 KMS 托管轮换。
  • 凭证管理:所有密钥材料 (API keys, signing secrets) 通过服务端安全环境隔离层管理,编译产物与客户端 bundle 中不可见。
  • 支付链路:支付数据由持有 PCI DSS Level 1 认证的第三方处理器端到端处理,本平台不经手、不存储任何完整卡号或银行账户标识。

3. 基础设施拓扑

平台采用四层解耦架构,各层独立伸缩、独立故障域:

  • L1 边缘层 — 全球边缘网络分发,自动 DDoS 缓解,SSL 终结与 HTTP/3 加速。
  • L2 应用层 — 无状态 Serverless Functions,按请求弹性扩缩,冷启动 < 100ms。
  • L3 数据层 — 托管式 PostgreSQL,行级安全策略 (RLS) 强制租户隔离,自动时间点备份。
  • L4 推理网关层 — 通过 Cloudflare AI Gateway 统一代理所有 AI 模型调用,提供:请求级审计日志 (request-level audit trail)、响应缓存与去重、故障自动回退 (failover routing)、独立于模型供应商的速率限制与 DDoS 防护。

可用性指标:L1-L2 层 ≥ 99.99% SLA,L3 层 ≥ 99.9% SLA。

4. 身份认证与访问控制

身份认证支持以下方式:

  • 邮箱 + 密码注册(强制邮箱验证)
  • Google OAuth 2.0 联合登录(规划中)

认证令牌采用 JWT 签发,设有过期时间与刷新机制。

访问控制实施三级 RBAC 模型:

  • OWNER — 组织完全控制权,含成员管理、计费、数据导出
  • ADMIN — 工具调用 + 成员邀请 + 会话管理
  • MEMBER — 标准工具调用与会话使用

API 路由三重防护:requireAuth (f₁) ∘ rateLimit (f₂) ∘ schemaValidation (f₃),即任意请求需依次通过身份校验、频率控制(默认 30 req/min/user)及参数模式验证。Webhook 端点额外实施签名验证 + 幂等性去重。

5. 多租户数据隔离

隔离模型:∀ org_i, org_j ∈ Organizations, i ≠ j ⇒ Data(org_i) ∩ Data(org_j) = ∅

  • 应用层:所有查询强制附加 org_id 过滤条件,由 resolveOrgId 中间件自动注入。
  • 数据库层:PostgreSQL RLS 策略在 SQL 执行引擎层面强制隔离 — 即使应用层存在注入漏洞,跨租户数据仍不可达。
  • 生命周期管理:DELETE(record) → soft_delete (t+0) → active_db_isolation (t+30d) → backup_purge (t+90d)。法律法规另有要求的除外。
  • 数据控制权:组织工作区内成员产生的数据归组织控制 (Data Controller),本平台仅作为数据处理者 (Data Processor)。

6. 推理层数据处理承诺

本平台通过多源异构推理集群为用户提供 AI 生成服务。推理集群由经过严格评估的行业领先基础模型组成,通过统一推理网关层 (L4) 调度。

  • 零训练承诺:∀ user_data ∈ {Prompts, Uploads, Outputs}, P(user_data ∈ TrainingSet) = 0。用户数据绝不进入任何模型的训练、微调或强化学习管道。
  • 零数据保留 (ZDR):与所有推理供应商签署企业级零数据保留协议。用户数据仅在推理管道的前向传播 (forward pass) 期间存在于 GPU 显存中,推理完成后立即释放,不写入任何持久化存储。
  • 网关审计隔离:所有推理请求经由 Cloudflare AI Gateway 中转。请求与响应日志独立于模型供应商存储,实现审计链路与推理链路的物理隔离。

7. 跨境数据合规

核心基础设施部署于中国香港特别行政区 (HK-SAR)。合规框架覆盖:

  • PIPL — 《中华人民共和国个人信息保护法》,确保中国大陆用户数据的合法收集、使用与跨境传输。
  • GDPR — 《通用数据保护条例》,支持数据访问、更正、删除 (Right to Erasure) 及可携带性 (Portability) 请求。
  • 网络拓扑优化 — 三跳中继架构 (AU → SG → HK) 确保中国大陆用户在合规前提下获得低延迟接入,典型 RTT < 200ms。
  • 数据分区 — 不同司法管辖区的用户数据按当地法规要求分区存储与处理。

详见《隐私政策》第 5 节。

8. 安全事件响应

事件响应时间线:

  • T+0h — 自动化监控系统触发告警
  • T+24h — 完成事件分类与影响范围评估
  • T+72h — 通知受影响用户及相关监管机构(如确认涉及用户数据)

漏洞报告通道:security@meridian-protocol.com 承诺首次回复时间:T+48h

防重放保护:Webhook 事件通过 processed_events 表实施幂等性校验,event_id 唯一约束确保 ∀ event, process_count(event) ≤ 1。

9. 合规认证与路线图

当前实施:TLS 1.3 | AES-256-GCM | RBAC | RLS | GDPR | PIPL | Cloudflare AI Gateway Audit

路线图:

  • 2026 Q4 — 启动 SOC 2 Type II 独立审计
  • 2027 H1 — ISO 27001 信息安全管理体系认证
  • 持续 — 季度渗透测试 + 年度第三方安全评估

COMPLIANCE STANDARDS

TLS 1.3AES-256-GCMRBACRLSGDPRPIPLCF AI GatewaySOC 2 (planned)

security@meridian-protocol.com