数据资源可信访问 总体技术要求.pdfVIP

数据资源可信访问总体技术要求

1范围

本文件规定了数据资源可信访问的体系架构，给出了各组件及其层次结构和逻辑关系。

本文件适用于采用数据资源可信访问体系架构的信息系统的规划、设计、开发和应用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

GB/T35273信息安全技术个人信息安全规范

GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范

3术语和定义

下列术语和定义适用于本文件。

3.1

数据资源dataresource

以电子化形式记录和保存的具备原始性、可机器读取、可供社会化再利用的数据集合。

注：本文件所指的数据资源包括公共数据和非公共数据。

3.2

访问主体accesssubject

能够授权访问数据资源的实体。

注：本文件所指的访问主体包括自然人、法人、其它。

3.3

可信访问trustedaccess

持续分析、评估和处理访问风险的数据资源访问活动。访问主体每次访问数据资源时，在终端侧都

要经过身份认证和访问授权，在数据资源侧都要进行身份验证和访问鉴权，访问活动使用密码技术建立

访问过程信任。

3.4

可信访问平台trustedaccessplatform

向可信访问终端颁发访问令牌，控制和管理在访问主体到数据资源之间数据访问过程的控制系统。

3.5

可信访问代理trustedaccessproxy

与可信访问平台交互，帮助可信访问终端发起可信访问的代理软件。

3.6

可信访问终端trustedaccessterminal

1

在可信访问平台登记、配置可信访问代理、具备终端证书及密钥，能基于密码运算能力发起可信访

问的设备、软件应用、系统等。

3.7

可信访问网关trustedaccessgateway

在可信访问平台管理下，采用密码技术建立、维持或阻断数据访问信道的数据网关。

3.8

终端可信访问凭证terminaltrustedaccesscredential

用户在可信访问终端进行身份认证和访问授权后，经过密码运算后生成的一个受信任的临时访问凭

据，用来表示已认证身份的主体同意向终端授权访问其数据资源。

3.9

可信访问令牌trustedaccesstoken

由可信访问平台向可信访问终端颁发的包含主体身份认证事件声明和访问授权事件声明的令牌。

4缩略语

下列缩略语适用于本文件。

PKI：公钥基础设施（PublicKeyInfrastructure）

5体系架构

5.1概述

访问主体作为发起者、数据资源作为目标，由配置可信访问代理的可信访问终端、可信访问平台、

可信访问网关、支撑组件组成可信访问体系架构，见图1。

图1可信访问体系架构

2

核心组件由可信访问代理、可信访问平台和可信访问网关组成，执行访问主体对数据资源的可信访

问。支撑组件由PKI、身份管理、区块链组成，向核心组件提供数字证书、密码计算、身份管理、分布

式账本等支撑服务。

可信访问体系架构将核心组件划分在数据平面和控制平面，所有实现访问主体到数据资源之间数据

通信的组件共同组成数据平面，在控制平面的管理和控制下，采用密码技术建立、维持或阻断主体到资

源的数据访问信道。

5.2访问主体与可信访问终端关系

访问主体使用可信访问终端进行可信访问。访问主体进行身份认证和访问授权后，可信访问终端对

敏感信息进行数据加密后，使用终端私钥签名生成终端可信访问凭证。

5.3可信访问终端与可信访问平台关系

可信访问终端应在可信访问平台注册并纳管进可信访问体系，未注册终端不被置信，不能进行可信

访问。可信访问平台向可信访问终端颁发终端证书。

可信访问终端配置可信访问代理，注册后生成终端数字证书及密钥。每次可信访问过程中，可