YDT 4566-2023基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)的總體技術(shù)要求

ICS33.030

CCSM.21

YD

中華人民共和國通信行業(yè)標(biāo)準(zhǔn)

YD/T[×××××]—[××××]

[代替YD/T]

基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系

統(tǒng)的總體技術(shù)要求

Generaltechnicalrequirementsofblockchain-basedidentificationand

authenticationsystemforIoTdevice

[點擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識]

（報批稿）

[××××]-[××]-[××]發(fā)布[××××]-[××]-[××]實施

中華人民共和國工業(yè)和信息化部發(fā)布

YD/T×××××—××××

目次

前言...........................................................................................................................................................IV

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語和定義.....................................................................................................................................................1

4縮略語.............................................................................................................................................................3

5基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)概述.........................................................................................3

5.1基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)的概念..............................................................................3

5.2物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象..................................................................................................................4

5.3基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識認(rèn)證系統(tǒng)融合認(rèn)證和識別功能..........................................................4

5.3.1創(chuàng)建、認(rèn)證和注冊物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象...........................................................................4

5.3.2檢索、識別和驗證物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象...........................................................................5

6BIAS的特征與需求.......................................................................................................................................6

6.1共性特征..................................................................................................................................................6

6.1.1支持物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象自解析.......................................................................................6

6.1.2在去中心化環(huán)境中支持獨立的端到端標(biāo)識和認(rèn)證.......................................................................6

6.1.3支持物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象的可控存儲...............................................................................7

6.1.4支持標(biāo)識的線上線下背書...............................................................................................................7

6.1.5支持多種標(biāo)識認(rèn)證方案...................................................................................................................7

6.2系統(tǒng)要求..................................................................................................................................................7

6.2.1標(biāo)識和標(biāo)識對象自解析...................................................................................................................7

6.2.2獨立的端到端識別和認(rèn)證...............................................................................................................7

6.2.3標(biāo)識和相應(yīng)標(biāo)識對象的可控存儲...................................................................................................7

6.2.4標(biāo)識的線上線下背書.......................................................................................................................8

6.2.5多種標(biāo)識認(rèn)證方案...........................................................................................................................8

6.2.6同步和可擴(kuò)展性...............................................................................................................................8

6.2.7安全保護(hù)和隱私保護(hù).......................................................................................................................8

6.2.8支持商用密碼算法...........................................................................................................................8

7基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識和認(rèn)證系統(tǒng)的參考架構(gòu).............................................................................8

7.1基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識和認(rèn)證系統(tǒng)參考架構(gòu)概述..................................................................8

7.2標(biāo)識解析代理（IDRagent）.................................................................................................................9

7.3標(biāo)識對象存儲代理（IOSagent）..........................................................................................................9

7.4標(biāo)識解析的功能組件(IR-FC)..............................................................................................................10

7.5認(rèn)證管理的功能組件（AM-FC）.......................................................................................................10

7.6策略管理的功能組件（PM-FC）........................................................................................................10

II

YD/T×××××—××××

7.7業(yè)務(wù)代理................................................................................................................................................10

7.8設(shè)備代理................................................................................................................................................11

7.9外部系統(tǒng)................................................................................................................................................11

7.9.1認(rèn)證系統(tǒng).........................................................................................................................................11

7.9.2去中心化系統(tǒng).................................................................................................................................11

7.9.3云.....................................................................................................................................................11

7.9.4物聯(lián)網(wǎng)業(yè)務(wù)、物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)網(wǎng)關(guān).....................................................................................11

7.10參考點..................................................................................................................................................12

8BIAS的主要功能和流程.............................................................................................................................12

8.1創(chuàng)建和背書物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象............................................................................................12

8.2頒發(fā)和認(rèn)證物聯(lián)網(wǎng)設(shè)備標(biāo)識和相應(yīng)的標(biāo)識對象................................................................................13

8.2.1頒發(fā)物聯(lián)網(wǎng)標(biāo)識和標(biāo)識對象.........................................................................................................13

8.2.2啟用物聯(lián)網(wǎng)標(biāo)識和標(biāo)識對象.........................................................................................................15

8.2.3物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)之間的識別和認(rèn)證.........................................................................................15

9安全性...........................................................................................................................................................16

附錄A（資料性）BIAS的用例...........................................................................................................18

A.1利用BIAS促進(jìn)一個物聯(lián)網(wǎng)設(shè)備訪問由一個業(yè)務(wù)運營商部署的物聯(lián)網(wǎng)業(yè)務(wù).................................18

A.2促進(jìn)一個物聯(lián)網(wǎng)設(shè)備訪問由多個業(yè)務(wù)運營商部署的物聯(lián)網(wǎng)業(yè)務(wù)....................................................19

附錄B（資料性）物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)的標(biāo)識和對應(yīng)標(biāo)識對象的抽象模型..........................21

B.1物聯(lián)網(wǎng)設(shè)備標(biāo)識....................................................................................................................................21

B.2標(biāo)識包....................................................................................................................................................21

B.3對應(yīng)的標(biāo)識對象....................................................................................................................................21

附錄C（資料性）BIAS的業(yè)務(wù)角色和模型........................................................................................23

C.1BIAS的業(yè)務(wù)角色..................................................................................................................................23

C.1.1設(shè)備提供商.....................................................................................................................................23

C.1.2應(yīng)用提供商.....................................................................................................................................23

C.1.3平臺提供商.....................................................................................................................................23

C.2BIAS的業(yè)務(wù)模型..................................................................................................................................24

參考文獻(xiàn)..............................................................................................................................................26

III

YD/T×××××—××××

基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)的總體技術(shù)要求

1范圍

本文件提出了基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)的概念，描述了基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備

標(biāo)識與認(rèn)證系統(tǒng)的特征，規(guī)定了基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)的系統(tǒng)要求、參考架構(gòu)和主

要工作流程。

本文件適用于基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識和相關(guān)的認(rèn)證系統(tǒng)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

GB/T25069信息安全技術(shù)術(shù)語

YD/T3905-2021基于區(qū)塊鏈技術(shù)的去中心化物聯(lián)網(wǎng)業(yè)務(wù)平臺框架

ITU-TY.4811去中心化環(huán)境下的物聯(lián)網(wǎng)設(shè)備身份標(biāo)識與認(rèn)證融合服務(wù)框架（Reference

frameworkofconvergedserviceforidentificationandauthenticationforIoT

devicesindecentralizedenvironment）

3術(shù)語和定義

GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

3.1

應(yīng)用application

一些結(jié)構(gòu)化功能集，提供一個或多個服務(wù)支持的增值功能，并可通過提供API接口來支持這些功

能。

[來源：YD/T3905-2021]

3.2

能力capability

在約定的內(nèi)部條件下滿足給定數(shù)量特征的服務(wù)需求的能力。

[來源：YD/T3905-2021]

3.3

1

YD/T×××××—××××

設(shè)備device

物聯(lián)網(wǎng)裝置，具備通信能力，并可選支持傳感、驅(qū)動、數(shù)據(jù)采集、數(shù)據(jù)存儲和數(shù)據(jù)處理能力。

[來源：YD/T3905-2021]

3.4

物聯(lián)網(wǎng)internetofthings

一種致力于信息社會的全球基礎(chǔ)設(shè)施，通過基于現(xiàn)有和不斷發(fā)展的、可互操作的信息和通信技

術(shù)，相互連接(物理和虛擬)事物來實現(xiàn)高級服務(wù)。

注1：通過利用身份識別、數(shù)據(jù)捕獲、處理和通信功能，物聯(lián)網(wǎng)為各種應(yīng)用提供服務(wù)，同時確保安全和滿足隱私需

求。

注2：從廣義的角度來看，物聯(lián)網(wǎng)具有廣泛的技術(shù)和社會影響力。

[來源：YD/T3905-2021]

3.5

物thing

在物聯(lián)網(wǎng)中，物理世界(物理的物)或信息世界(虛擬的物)的對象，能夠被標(biāo)識并集成到通信網(wǎng)絡(luò)

中。

[來源：YD/T3905-2021]

3.6

區(qū)塊鏈blockchain

基于新一代交易應(yīng)用的點對點分布式記帳技術(shù)，這種記賬技術(shù)可以維護(hù)一個不斷增長的加密的安

全數(shù)據(jù)記錄列表，這些數(shù)據(jù)記錄難以被篡改或修改。

注1：區(qū)塊鏈可以幫助建立信任、增強(qiáng)記賬能力，提升透明度，同時簡化業(yè)務(wù)流程。

注2：區(qū)塊鏈可根據(jù)參與者之間的關(guān)系和提供服務(wù)的方式分為三種類型(即公共、聯(lián)盟和私有)。

[來源：YD/T3905-2021]

3.7

區(qū)塊鏈平臺blockchainplatform

基于區(qū)塊鏈相關(guān)技術(shù)建立的平臺(或系統(tǒng))。

注：區(qū)塊鏈相關(guān)技術(shù)主要包括點對點通信、去中心化數(shù)據(jù)存儲、群體共識機(jī)制和交易處理方法、權(quán)限管理等。

[來源：YD/T3905-2021]

3.8

業(yè)務(wù)service

提供商向用戶提供的一組功能和設(shè)施。

[來源：ITU-TY.4811]

3.9

認(rèn)證authentication

驗證用戶、終端或服務(wù)提供商標(biāo)識的過程。

[來源：ITU-TY.4811]

2

YD/T×××××—××××

4縮略語

下列縮略語適用于本文件。

AM-FC認(rèn)證管理功能組件FunctionalComponentofAuthentication

Management

BIAS基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備Blockchain-basedIdentificationandAuthentication

標(biāo)識與認(rèn)證系統(tǒng)SystemforIoTDevice

DID分布式身份標(biāo)識DecentralizedIdentity

DLT分布式賬本DistributedLedgerTechnology

FC功能組件FunctionalComponent

GUID全局唯一標(biāo)識GloballyUniqueIDentifier

IDR身份解析IDentityResolving

IOS標(biāo)識對象存儲IdentityObjectStorage

IoT物聯(lián)網(wǎng)InternetofThings

IR-FC身份解析的功能組件FunctionalComponentofIdentityResolution

ITS智能交通系統(tǒng)IntelligentTransportationSystem

PII個人驗證信息PersonalIdentifyingInformation

PKI公鑰基礎(chǔ)設(shè)施PublicKeyInfrastructure

PM-FC策略管理的功能組件FunctionalComponentofPolicyManagement

URI統(tǒng)一資源標(biāo)識UniformResourceIdentifier

URL統(tǒng)一資源定位器UniformResourceLocator

5基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)概述

5.1基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)的概念

基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識與認(rèn)證系統(tǒng)（BIAS）是一個功能實體，它幫助物聯(lián)網(wǎng)業(yè)務(wù)和物聯(lián)網(wǎng)

設(shè)備集成和訪問由多個物聯(lián)網(wǎng)標(biāo)識管理系統(tǒng)提供的物聯(lián)網(wǎng)標(biāo)識識別和認(rèn)證功能。BIAS可以充當(dāng)橋

梁，物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)可以通過BIAS在去中心化環(huán)境中相互識別和認(rèn)證，即使它們使用不同的去中心

化物聯(lián)網(wǎng)標(biāo)識解決方案。區(qū)塊鏈的優(yōu)點是為物聯(lián)網(wǎng)實體標(biāo)識和BIAS中的模型提供安全和可信的存儲，

保證物聯(lián)網(wǎng)標(biāo)識和BIAS模型不可篡改，提高數(shù)據(jù)和模型的安全性。

BIAS在物聯(lián)網(wǎng)業(yè)務(wù)和物聯(lián)網(wǎng)設(shè)備之間建立了一種去中心化的合作模式，這種合作模式可能由相同

或不同的服務(wù)方提供（如圖1所示）。物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)可以各自從其服務(wù)方處獲取標(biāo)識和相應(yīng)

的標(biāo)識對象（見附錄B），也可以自行創(chuàng)建標(biāo)識和相應(yīng)的標(biāo)識對象再由服務(wù)方進(jìn)行背書。通過BIAS，

物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)在去中心化系統(tǒng)中存儲已背書的標(biāo)識，并將對應(yīng)的標(biāo)識對象存儲在云中。存

儲在云中的標(biāo)識對象由其所有者（例如物聯(lián)網(wǎng)設(shè)備或物聯(lián)網(wǎng)業(yè)務(wù)）加密，并且能夠連接存儲在去中心

化系統(tǒng)中的標(biāo)識。

3

YD/T×××××—××××

存儲標(biāo)識存儲標(biāo)識對象

去中心化系統(tǒng)云

存儲

提供服務(wù)

BIAS

標(biāo)識背書

認(rèn)證系統(tǒng)

物聯(lián)網(wǎng)業(yè)務(wù)

物聯(lián)網(wǎng)網(wǎng)關(guān)

物聯(lián)網(wǎng)設(shè)備（不受限）

圖例:

認(rèn)證

識別物聯(lián)網(wǎng)設(shè)備（受限）

圖1BIAS概述

當(dāng)物聯(lián)網(wǎng)設(shè)備申請接入物聯(lián)網(wǎng)業(yè)務(wù)，或物聯(lián)網(wǎng)業(yè)務(wù)申請連接物聯(lián)網(wǎng)設(shè)備時，通過BIAS，物聯(lián)網(wǎng)業(yè)

務(wù)和物聯(lián)網(wǎng)設(shè)備認(rèn)證存儲在去中心化系統(tǒng)中的標(biāo)識，并檢索存儲在云上的對應(yīng)標(biāo)識對象。

物聯(lián)網(wǎng)業(yè)務(wù)和物聯(lián)網(wǎng)設(shè)備可以直接通過已背書的標(biāo)識和相應(yīng)的標(biāo)識對象相互識別和認(rèn)證，即使它

們使用不同類型的標(biāo)識識別解決方案。

注1：附錄A提供了兩個BIAS的用例，具體說明了利用BIAS促進(jìn)一個物聯(lián)網(wǎng)設(shè)備訪問由一個業(yè)務(wù)運營商部署的

物聯(lián)網(wǎng)業(yè)務(wù)（見附錄A.1）和利用BIAS促進(jìn)一個物聯(lián)網(wǎng)設(shè)備訪問由多個業(yè)務(wù)運營商部署的物聯(lián)網(wǎng)業(yè)務(wù)（見附錄A.2）。

注2：附錄C提供了BIAS的業(yè)務(wù)角色和模型的參考信息，具體說明了物聯(lián)網(wǎng)實體（如物聯(lián)網(wǎng)設(shè)備、物聯(lián)網(wǎng)業(yè)

務(wù)、認(rèn)證系統(tǒng)、去中心化系統(tǒng)、云和BIAS）在去中心化環(huán)境中提供標(biāo)識和認(rèn)證服務(wù)。

注3：服務(wù)方可以使用相關(guān)的認(rèn)證系統(tǒng)（如圖1所示）為物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)提供標(biāo)識背書服務(wù)。通常，如

果使用PKI安全機(jī)制，認(rèn)證系統(tǒng)可以通過服務(wù)方的私鑰對相關(guān)標(biāo)識進(jìn)行簽名。

注:4：物聯(lián)網(wǎng)實體標(biāo)識背書的解決方案不在本文件范圍內(nèi)。

5.2物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象

一個物聯(lián)網(wǎng)實體的身份由一個或多個標(biāo)識和一個對應(yīng)的標(biāo)識對象組成。標(biāo)識是一個唯一的字符串

（如URI、GUID或其他類型的唯一表達(dá)式），標(biāo)識對象包含更多的詳細(xì)信息以支持物聯(lián)網(wǎng)實體的識別

和認(rèn)證。

附錄B提供了更多關(guān)于標(biāo)識、標(biāo)識包和標(biāo)識對象的參考信息。

5.3基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識認(rèn)證系統(tǒng)融合認(rèn)證和識別功能

5.3.1創(chuàng)建、認(rèn)證和注冊物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象

4

YD/T×××××—××××

物聯(lián)網(wǎng)實體可以自己創(chuàng)建標(biāo)識，并申請由其服務(wù)方或所有者證明?；蛘撸?wù)方或所有者的認(rèn)證

系統(tǒng)直接為物聯(lián)網(wǎng)實體創(chuàng)建和認(rèn)證標(biāo)識，然后通過安全的通信方式將標(biāo)識推送到物聯(lián)網(wǎng)實體（見

5.1）。

圖2給出了創(chuàng)建、認(rèn)證和注冊物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象的參考步驟：

a）物聯(lián)網(wǎng)實體創(chuàng)建標(biāo)識和標(biāo)識對象；

b）物聯(lián)網(wǎng)實體向認(rèn)證系統(tǒng)申請認(rèn)證實體的標(biāo)識和對應(yīng)的標(biāo)識對象；

c）物聯(lián)網(wǎng)實體在BIAS中注冊認(rèn)證后的標(biāo)識和對應(yīng)的標(biāo)識對象；

d）通過BIAS，物聯(lián)網(wǎng)實體的標(biāo)識可以存儲在去中心化系統(tǒng)中，相應(yīng)的標(biāo)識對象可以存儲在云中

（或者按照所有者的要求存儲在去中心化系統(tǒng)中）。去中心化系統(tǒng)存儲的物聯(lián)網(wǎng)設(shè)備標(biāo)識和

云存儲的標(biāo)識對象是可以連接起來的，使用其中一個就可以找到另外一個（見附錄B）。

a)創(chuàng)建標(biāo)識和標(biāo)識對象

去中心化系統(tǒng)

物聯(lián)網(wǎng)設(shè)備

c)注冊標(biāo)識和對應(yīng)的標(biāo)識對象

（物聯(lián)網(wǎng)網(wǎng)關(guān)）

d.1)存儲標(biāo)識連接標(biāo)識和對應(yīng)的

標(biāo)識對象

BIAS

物聯(lián)網(wǎng)業(yè)務(wù)

d.2)存儲對應(yīng)的標(biāo)識對象

b)申請認(rèn)證標(biāo)識和對應(yīng)的標(biāo)認(rèn)證系統(tǒng)云存儲

識對象

圖2創(chuàng)建、認(rèn)證和注冊物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象

5.3.2檢索、識別和驗證物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象

當(dāng)物聯(lián)網(wǎng)設(shè)備申請訪問物聯(lián)網(wǎng)業(yè)務(wù)時，圖3給出了檢索、識別和驗證物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象的

參考步驟：

a）物聯(lián)網(wǎng)實體向BIAS申請檢索標(biāo)識和標(biāo)識對象；

b）物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)可以通過BIAS在去中心化系統(tǒng)和云中檢索對方的標(biāo)識和標(biāo)識對象，還可以

直接下載設(shè)備標(biāo)識和標(biāo)識對象的背書信息；

c）借助BIAS，物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)之間可以直接相互識別和認(rèn)證，無需借助傳統(tǒng)的識別和認(rèn)證系

統(tǒng)。物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)業(yè)務(wù)可以根據(jù)標(biāo)識對象中提供的信息，在需要時訪問相關(guān)的認(rèn)證系

統(tǒng)以驗證背書。

在這種情況下，在BIAS中，IoT設(shè)備和業(yè)務(wù)可以使用相同或不同類型的去中心化標(biāo)識解決方案和

標(biāo)識認(rèn)證解決方案。

5

YD/T×××××—××××

去中心化系統(tǒng)

物聯(lián)網(wǎng)設(shè)備

（物聯(lián)網(wǎng)網(wǎng)關(guān)）a)檢索經(jīng)過證明的物聯(lián)網(wǎng)

設(shè)備的標(biāo)識和標(biāo)識對象

連接標(biāo)識和對應(yīng)的

b.1)檢索標(biāo)識標(biāo)識對象

c)互相識別和認(rèn)證BIAS

b.2)檢索對應(yīng)的標(biāo)識對象

a)檢索經(jīng)過認(rèn)證的標(biāo)識和

標(biāo)識對象

物聯(lián)網(wǎng)業(yè)務(wù)

云存儲

b.3)驗證證明情

況驗證系統(tǒng)

圖3檢索、識別和驗證物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象

物聯(lián)網(wǎng)實體的標(biāo)識和相應(yīng)的標(biāo)識對象可以一起存儲在去中心化系統(tǒng)或云中。物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)決

定如何存儲它們的標(biāo)識和相應(yīng)的標(biāo)識對象。

注1：BIAS與不同類型的IoT標(biāo)識識別解決方案（例如W3CDID[b-W3C-DID]）兼容，并且可以連接到去中心化系統(tǒng)

（例如，區(qū)塊鏈平臺或分布式賬本系統(tǒng)）。

注2：BIAS與不同類型的標(biāo)識驗證解決方案兼容。當(dāng)對方獲得已認(rèn)證的標(biāo)識和標(biāo)識對象時，它們可以協(xié)商標(biāo)識和認(rèn)

證解決方案，并在BIAS的支持下直接相互認(rèn)證標(biāo)識。

注3：BIAS可以使用不同的解決方案來認(rèn)證物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象。當(dāng)物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)獲得被認(rèn)證的數(shù)據(jù)

時，它們應(yīng)與認(rèn)證系統(tǒng)交換信息以驗證相關(guān)認(rèn)證信息。

6BIAS的特征與需求

6.1共性特征

6.1.1支持物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象自解析

物聯(lián)網(wǎng)實體標(biāo)識和標(biāo)識對象均支持自解析。當(dāng)物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)相互交互時，通過被認(rèn)證的標(biāo)識

和標(biāo)識對象，任何一方都可以識別和認(rèn)證對方。BIAS支持IoT實體管理（包括創(chuàng)建、證明、存儲、檢

索、更新、吊銷等）并交換物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象。

6.1.2在去中心化環(huán)境中支持獨立的端到端標(biāo)識和認(rèn)證

傳統(tǒng)的物聯(lián)網(wǎng)實體的識別和認(rèn)證操作由相關(guān)的中心化或去中心化系統(tǒng)執(zhí)行。借助BIAS，物聯(lián)網(wǎng)實

體可以執(zhí)行獨立的端到端標(biāo)識和標(biāo)識認(rèn)證服務(wù)。標(biāo)識和標(biāo)識對象包含足夠的信息能夠標(biāo)識和認(rèn)證實

體。

BIAS在相關(guān)系統(tǒng)的協(xié)助下，確保物聯(lián)網(wǎng)實體標(biāo)識和相應(yīng)標(biāo)識對象的真實性、完整性、合規(guī)性和一

致性，防止它們在去中心化的環(huán)境中被非法篡改和惡意使用。

6

YD/T×××××—××××

6.1.3支持物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象的可控存儲

在BIAS中，物聯(lián)網(wǎng)實體的所有者決定如何存儲標(biāo)識和標(biāo)識對象。通常，物聯(lián)網(wǎng)實體的標(biāo)識和標(biāo)識

對象可以分別存儲，標(biāo)識存儲在去中心化系統(tǒng)中，相應(yīng)的標(biāo)識對象可以根據(jù)所有者的要求存儲在去中

心化系統(tǒng)、云或?qū)嶓w中（見附錄B）。

物聯(lián)網(wǎng)設(shè)備或業(yè)務(wù)的標(biāo)識和標(biāo)識對象的分離存儲機(jī)制可以發(fā)揮以下優(yōu)勢：

─允許一個物聯(lián)網(wǎng)實體擁有多個標(biāo)識，其中一個是主標(biāo)識，其他是別名。主標(biāo)識與其對應(yīng)的標(biāo)

識對象一一對應(yīng)存儲。標(biāo)識的別名可以存儲在去中心化系統(tǒng)、云或?qū)嶓w中。通過任何可用的

別名，可以找到和檢索主標(biāo)識和相應(yīng)的標(biāo)識對象。如果需要，所有者或服務(wù)方可以將標(biāo)識的

別名過期并設(shè)置為不可用。

─支持用戶可控存儲標(biāo)識對象。物聯(lián)網(wǎng)設(shè)備標(biāo)識對象可以存儲在云中，并可以通過特定的訪問

權(quán)限進(jìn)行保護(hù)。

─支持撤銷物聯(lián)網(wǎng)設(shè)備標(biāo)識和標(biāo)識對象。由于在去中心化系統(tǒng)中只存儲標(biāo)識的別名，而相應(yīng)的

標(biāo)識對象是可控存儲的，因此很容易被撤回，例如在去中心化系統(tǒng)中設(shè)置別名過期以及設(shè)置

相應(yīng)的標(biāo)識對象無法訪問。

注：如果物聯(lián)網(wǎng)實體標(biāo)識和標(biāo)識對象一同存儲在去中心化的系統(tǒng)中，在這種情況下，物聯(lián)網(wǎng)實體標(biāo)識對象可能由

多個實體存儲，這可能帶來標(biāo)識對象中的敏感數(shù)據(jù)被泄漏并被惡意使用的潛在風(fēng)險。

6.1.4支持標(biāo)識的線上線下背書

物聯(lián)網(wǎng)設(shè)備或業(yè)務(wù)的標(biāo)識和標(biāo)識對象由其所有者或服務(wù)方的認(rèn)證系統(tǒng)進(jìn)行背書。經(jīng)過背書后，用

于標(biāo)識和認(rèn)證的信息以及認(rèn)證系統(tǒng)的信息將存儲在相應(yīng)的標(biāo)識對象中。標(biāo)識對象中的信息足以用于識

別和認(rèn)證物聯(lián)網(wǎng)實體。認(rèn)證系統(tǒng)通常是以離線方式對標(biāo)識和相應(yīng)的標(biāo)識對象進(jìn)行背書，但是認(rèn)證系統(tǒng)

也可以根據(jù)要求提供在線服務(wù)來進(jìn)行背書。

6.1.5支持多種標(biāo)識認(rèn)證方案

物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)可以使用相同或不同的標(biāo)識和標(biāo)識認(rèn)證解決方案。當(dāng)物聯(lián)網(wǎng)實體相互識別和認(rèn)

證時，如果它們使用不同的識別和認(rèn)證解決方案，它們可以通過BIAS直接交換相關(guān)的必要信息。

6.2系統(tǒng)要求

6.2.1標(biāo)識和標(biāo)識對象自解析

BIAS應(yīng)支持IoT實體的標(biāo)識和相應(yīng)的標(biāo)識對象自解析；應(yīng)支持IoT實體合法合規(guī)管理（包括創(chuàng)

建、證明、存儲、檢索、更新、撤銷等）和交換它們的標(biāo)識和標(biāo)識對象。

6.2.2獨立的端到端識別和認(rèn)證

BIAS應(yīng)支持物聯(lián)網(wǎng)實體能夠獨立執(zhí)行端到端識別和認(rèn)證；應(yīng)確保物聯(lián)網(wǎng)設(shè)備或業(yè)務(wù)的標(biāo)識和相應(yīng)

標(biāo)識對象的真實性、完整性、合規(guī)性和一致性，并防止它們在去中心化環(huán)境中被非法篡改和惡意使

用。

6.2.3標(biāo)識和相應(yīng)標(biāo)識對象的可控存儲

BIAS應(yīng)支持標(biāo)識和相應(yīng)標(biāo)識對象的可控存儲，具體要求如下：

─使物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)合法合規(guī)的控制標(biāo)識和相應(yīng)標(biāo)識對象的存儲，例如前者存儲在去中心化

系統(tǒng)中，后者存儲在云中。

7

YD/T×××××—××××

─如果標(biāo)識和相應(yīng)的標(biāo)識對象分別存儲在不同的系統(tǒng)中，BIAS應(yīng)提供連接機(jī)制。

6.2.4標(biāo)識的線上線下背書

BIAS應(yīng)支持標(biāo)識的線上線下背書，具體要求如下：

─應(yīng)支持物聯(lián)網(wǎng)實體標(biāo)識和標(biāo)識對象由相關(guān)所有者或服務(wù)方的認(rèn)證系統(tǒng)進(jìn)行背書。

─應(yīng)支持認(rèn)證系統(tǒng)離線或在線認(rèn)證標(biāo)識和相應(yīng)的標(biāo)識對象。

6.2.5多種標(biāo)識認(rèn)證方案

BIAS應(yīng)支持物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)使用相同或不同的識別和認(rèn)證解決方案。

6.2.6同步和可擴(kuò)展性

BIAS應(yīng)提供可擴(kuò)展性和同步機(jī)制，以支持可變數(shù)量的物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)。

6.2.7安全保護(hù)和隱私保護(hù)

BIAS應(yīng)在處理（如存儲、傳輸、證明等）標(biāo)識和相應(yīng)的標(biāo)識對象時提供安全機(jī)制和PII保護(hù)機(jī)

制。

6.2.8支持商用密碼算法

BIAS應(yīng)支持國家密碼管理局認(rèn)定公布的一系列商用密碼算法，如SM2、SM3、SM4等。

7基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識和認(rèn)證系統(tǒng)的參考架構(gòu)

7.1基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識和認(rèn)證系統(tǒng)參考架構(gòu)概述

BIAS為物聯(lián)網(wǎng)實體提供融合的標(biāo)識識別和認(rèn)證服務(wù)。BIAS能夠集成和訪問由多個物聯(lián)網(wǎng)標(biāo)識管理

系統(tǒng)提供的物聯(lián)網(wǎng)標(biāo)識識別和認(rèn)證的功能。圖4給出了基于區(qū)塊鏈的物聯(lián)網(wǎng)設(shè)備標(biāo)識和認(rèn)證系統(tǒng)的參考

架構(gòu)示意圖。

8

YD/T×××××—××××

標(biāo)識背書標(biāo)識存儲（標(biāo)識對象可選）標(biāo)識對象存儲

認(rèn)證系統(tǒng)去中心化系統(tǒng)云

標(biāo)識對象存儲代

標(biāo)識解析代理

理

BIAS標(biāo)識解析認(rèn)證管理策略管理

業(yè)務(wù)代理設(shè)備代理

R1R2R2

IoT網(wǎng)關(guān)

IoT業(yè)務(wù)

圖例:

識別物聯(lián)網(wǎng)設(shè)備（不受限）物聯(lián)網(wǎng)設(shè)備（受限）

認(rèn)證

圖4BIAS參考架構(gòu)

BIAS包括三組邏輯功能組件(FC)用于與認(rèn)證和存儲系統(tǒng)的交互，標(biāo)識解析和標(biāo)識認(rèn)證的管理以

及與物聯(lián)網(wǎng)設(shè)備和系統(tǒng)的連接，包括：

a）第一組FC包括標(biāo)識解析(IDR)代理和標(biāo)識對象存儲(IOS)代理；

b）第二組FC包括標(biāo)識解析（IR-FC）、認(rèn)證管理（AM-FC）和策略管理（PM-FC）；

c）第三組FC包括業(yè)務(wù)代理和設(shè)備代理。

BIAS公開了一組與物聯(lián)網(wǎng)設(shè)備和業(yè)務(wù)交互的參考點，包括：用于物聯(lián)網(wǎng)業(yè)務(wù)處理標(biāo)識的R1、用

于物聯(lián)網(wǎng)設(shè)備處理標(biāo)識的R2。

注1：業(yè)務(wù)代理可以部署在物聯(lián)網(wǎng)業(yè)務(wù)中，設(shè)備代理可以部署在物聯(lián)網(wǎng)設(shè)備或物聯(lián)網(wǎng)網(wǎng)關(guān)中。

注2：IDR代理連接不同類型的去中心化系統(tǒng)以存儲標(biāo)識，IOS代理連接不同類型的云以存儲相應(yīng)的標(biāo)識對象。

本文件未指定BIAS與認(rèn)證系統(tǒng)、去中心化存儲系統(tǒng)和云交互的參考點。

7.2標(biāo)識解析代理（IDRagent）

BIAS的IDR代理與去中心化系統(tǒng)和云進(jìn)行交互，提供與IoT標(biāo)識解析相關(guān)的能力，如下所示：

─連接認(rèn)證系統(tǒng)對物聯(lián)網(wǎng)實體的標(biāo)識進(jìn)行背書，并在線或離線驗證物聯(lián)網(wǎng)實體標(biāo)識的背書信

息；

─根據(jù)物聯(lián)網(wǎng)實體的相關(guān)政策，支持物聯(lián)網(wǎng)實體的標(biāo)識解析和認(rèn)證服務(wù)。

注：端到端身份解析和認(rèn)證的功能在物聯(lián)網(wǎng)實體中執(zhí)行。

7.3標(biāo)識對象存儲代理（IOSagent）

BIAS的IOS代理與去中心化系統(tǒng)和云交互，提供與IoT標(biāo)識存儲相關(guān)的功能，如下所示：

9

YD/T×××××—××××

─連接去中心化系統(tǒng)以存儲和檢索物聯(lián)網(wǎng)實體的標(biāo)識，并根據(jù)物聯(lián)網(wǎng)實體的相關(guān)政策選擇性地

存儲相應(yīng)的標(biāo)識對象；

─連接中心化系統(tǒng)（例如云）可選擇性地存儲和檢索物聯(lián)網(wǎng)實體的標(biāo)識，并根據(jù)物聯(lián)網(wǎng)實體的

相關(guān)策略存儲相應(yīng)的標(biāo)識對象；

─根據(jù)物聯(lián)網(wǎng)實體的相關(guān)政策，連接去中心化系統(tǒng)和云，以保持物聯(lián)網(wǎng)實體的標(biāo)識與其對應(yīng)的

標(biāo)識對象的連接；

─如果物聯(lián)網(wǎng)實體使用不同的識別和認(rèn)證解決方案，根據(jù)物聯(lián)網(wǎng)實體的相關(guān)政策，連接去中心

化系統(tǒng)或云來存儲和檢索用于識別和認(rèn)證物聯(lián)網(wǎng)實體的模塊。

注：去中心化系統(tǒng)和云為物聯(lián)網(wǎng)實體提供數(shù)據(jù)同步和可擴(kuò)展性機(jī)制。

7.4標(biāo)識解析的功能組件(IR-FC)

BIAS的IR-FC提供了與標(biāo)識解析相關(guān)的能力，如下：

─支持物聯(lián)網(wǎng)實體根據(jù)物聯(lián)網(wǎng)設(shè)備、業(yè)務(wù)和BIAS的相關(guān)政策注冊、注銷和撤銷標(biāo)識和相應(yīng)的標(biāo)

識對象；

─支持物聯(lián)網(wǎng)實體通過標(biāo)識和相應(yīng)的標(biāo)識對象相互識別；

─支持物聯(lián)網(wǎng)實體在使用不同的識別解決方案時交換識別模塊。

7.5認(rèn)證管理的功能組件（AM-FC）

BIAS的AM-FC提供了與認(rèn)證管理相關(guān)的能力，如下：

─支持物聯(lián)網(wǎng)實體根據(jù)相關(guān)政策管理其標(biāo)識和相應(yīng)的標(biāo)識對象以進(jìn)行標(biāo)識認(rèn)證服務(wù)；

─支持物聯(lián)網(wǎng)實體使用它們的標(biāo)識和相應(yīng)的標(biāo)識對象相互認(rèn)證；

─如果物聯(lián)網(wǎng)實體使用不同的標(biāo)識認(rèn)證解決方案，支持它們交換標(biāo)識認(rèn)證模塊。

7.6策略管理的功能組件（PM-FC）

BIAS的PM-FC提供了與策略管理相關(guān)的能力，如下：

─支持物聯(lián)網(wǎng)實體管理與其標(biāo)識和相應(yīng)標(biāo)識對象相關(guān)的策略，例如存儲位置、如何解析標(biāo)識以

及如何相互認(rèn)證；

─根據(jù)物聯(lián)網(wǎng)實體與BIAS的相關(guān)政策，對用于物聯(lián)網(wǎng)業(yè)務(wù)和設(shè)備之間識別和認(rèn)證的數(shù)據(jù)和服

務(wù)進(jìn)行訪問控制。

7.7業(yè)務(wù)代理

BIAS的業(yè)務(wù)代理與物聯(lián)網(wǎng)業(yè)務(wù)交互，提供標(biāo)識認(rèn)證相關(guān)的能力，具體如下：

─支持物聯(lián)網(wǎng)業(yè)務(wù)根據(jù)BIAS的政策管理（如創(chuàng)建、證明、驗證、存儲、交換、注冊、注銷、

撤銷等）其標(biāo)識和相應(yīng)的標(biāo)識對象；

─支持物聯(lián)網(wǎng)業(yè)務(wù)管理與其標(biāo)識和標(biāo)識對象相關(guān)的策略，例如存儲位置、如何解析標(biāo)識以及如

何相互認(rèn)證；

─根據(jù)物聯(lián)網(wǎng)實體與BIAS的相關(guān)政策，支持物聯(lián)網(wǎng)業(yè)務(wù)通過其標(biāo)識和相應(yīng)的標(biāo)識對象端到端

地識別和認(rèn)證物聯(lián)網(wǎng)設(shè)備。

BIAS應(yīng)支持多種業(yè)務(wù)代理，提供可擴(kuò)展性和數(shù)據(jù)同步能力，為海量物聯(lián)網(wǎng)業(yè)務(wù)提供服務(wù)。其中，

一個業(yè)務(wù)代理可以為一項或多項物聯(lián)網(wǎng)業(yè)務(wù)提供服務(wù)，也可以支持不同的連接和通信技術(shù)。

注：特定地區(qū)的監(jiān)管機(jī)構(gòu)可能要求該地區(qū)的公民和企業(yè)的數(shù)據(jù)存儲在該地區(qū)。BIAS的服務(wù)代理應(yīng)遵守當(dāng)?shù)財?shù)據(jù)法

規(guī)。

10

YD/T×××××—××××

7.8設(shè)備代理

BIAS的設(shè)備代理與物聯(lián)網(wǎng)設(shè)備交互，提供標(biāo)識認(rèn)證相關(guān)的能力，如下：

─支持物聯(lián)網(wǎng)設(shè)備根據(jù)BIAS的政策管理（如創(chuàng)建、證明、驗證、存儲、交換、注冊、注銷、

撤銷等）其標(biāo)識和相應(yīng)的標(biāo)識對象；

─支持物聯(lián)網(wǎng)設(shè)備管理與其標(biāo)識和相應(yīng)標(biāo)識對象相關(guān)的策略，例如存儲位置、如何解析標(biāo)識以

及如何相互驗證；

─支持物聯(lián)網(wǎng)設(shè)備根據(jù)物聯(lián)網(wǎng)實體以及BIAS的相關(guān)政策，通過使用其標(biāo)識和相應(yīng)的標(biāo)識對象

端到端地識別和認(rèn)證物聯(lián)網(wǎng)業(yè)務(wù)。

注：特定地區(qū)的監(jiān)管機(jī)構(gòu)可能要求該地區(qū)的公民和企業(yè)的數(shù)據(jù)存儲在該地區(qū)。BIAS的設(shè)備代理應(yīng)遵守當(dāng)?shù)財?shù)據(jù)法

規(guī)。

7.9外部系統(tǒng)

7.9.1認(rèn)證系統(tǒng)

存在由相同或不同服務(wù)方部署的一個或多個認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)提供認(rèn)證物聯(lián)網(wǎng)實體標(biāo)識和相應(yīng)

標(biāo)識對象的能力。如下：

─應(yīng)接收和認(rèn)證物聯(lián)網(wǎng)實體的標(biāo)識。

─應(yīng)選擇為物聯(lián)網(wǎng)實體創(chuàng)建和認(rèn)證身份。

─應(yīng)支持用于識別和認(rèn)證物聯(lián)網(wǎng)實體的模塊。

─應(yīng)支持在線或離線驗證標(biāo)識和模塊，以識別和認(rèn)證物聯(lián)網(wǎng)實體。

注：通常認(rèn)證系統(tǒng)在為物聯(lián)網(wǎng)實體的標(biāo)識背書時，可以根據(jù)預(yù)先定義的策略和該標(biāo)識對應(yīng)的標(biāo)識對象的內(nèi)容生成

摘要，然后根據(jù)預(yù)先定義的認(rèn)證策略對摘要進(jìn)行數(shù)字簽名（例如使用其私鑰對摘要進(jìn)行加密）。本文件沒有規(guī)定認(rèn)證

系統(tǒng)以及如何認(rèn)證物聯(lián)網(wǎng)實體的身份。

7.9.2去中心化系統(tǒng)

存在由相同或不同服務(wù)方部署的一個或多個去中心化系統(tǒng)。去中心化系統(tǒng)提供與標(biāo)識存儲相關(guān)的

能力，如下：

─根據(jù)物聯(lián)網(wǎng)實體和BIAS的請求，為物聯(lián)網(wǎng)實體的標(biāo)識和/或相應(yīng)的標(biāo)識對象提供存儲。

─根據(jù)物聯(lián)網(wǎng)實體和BIAS的要求，可選地為物聯(lián)網(wǎng)實體的識別和認(rèn)證模塊提供存儲。

注：去中心化系統(tǒng)（如分布式存儲和區(qū)塊鏈）的優(yōu)點是為標(biāo)識和BIAS模塊提供安全和可信的存儲，用于物聯(lián)網(wǎng)實

體標(biāo)識和認(rèn)證。去中心化系統(tǒng)不在本文件范圍內(nèi)。

7.9.3云

存在由相同或不同服務(wù)方部署的一個或多個云。云提供了存儲相關(guān)的能力，如下：

─根據(jù)物聯(lián)網(wǎng)實體和BIAS的要求，為物聯(lián)網(wǎng)實體的標(biāo)識和/或相應(yīng)的標(biāo)識對象提供存儲。

─根據(jù)物聯(lián)網(wǎng)實體和BIAS的要求，可選地為物聯(lián)網(wǎng)實體提供識別和認(rèn)證模塊的存儲。

注：通常，物聯(lián)網(wǎng)實體的相應(yīng)標(biāo)識對象存儲在云端，物聯(lián)網(wǎng)實體的標(biāo)識、BIAS模塊存儲在去中心化系統(tǒng)中。物聯(lián)

網(wǎng)實體決定在哪里以及如何存儲他們的標(biāo)識、標(biāo)識對象和認(rèn)證模塊。云不在本文件范圍內(nèi)。

7.9.4物聯(lián)網(wǎng)業(yè)務(wù)、物聯(lián)網(wǎng)設(shè)備和物聯(lián)網(wǎng)網(wǎng)關(guān)

IoT實體連接到BIAS以管理它們的標(biāo)識、相應(yīng)的標(biāo)識對象以及用于識別和認(rèn)證的模塊。IoT業(yè)務(wù)

和IoT設(shè)備通過使用它們的標(biāo)識和相應(yīng)的標(biāo)識對象端到端地識別和認(rèn)證。

11

YD/T×××××—××××

物聯(lián)網(wǎng)網(wǎng)關(guān)服務(wù)于受限物聯(lián)網(wǎng)設(shè)備，代表受限物聯(lián)網(wǎng)設(shè)備和標(biāo)識與認(rèn)證系統(tǒng)進(jìn)行通信。

7.10參考點

BIAS的參考點R1和R2支持物聯(lián)網(wǎng)實體：

─創(chuàng)建并請求對其標(biāo)識進(jìn)行背書，并請求驗證對其標(biāo)識的背書；

─可選地，創(chuàng)建并請求背書識別和認(rèn)證模塊，并請求驗證其識別和認(rèn)證模塊的背書；

─制定管理標(biāo)識以及物聯(lián)網(wǎng)實體識別和認(rèn)證模塊的政策；

─在去中心化系統(tǒng)和/或云中存儲、檢索和交換標(biāo)識和相應(yīng)的標(biāo)識對象；

─可選地，在去中心化系統(tǒng)和/或云