DataSpace安全策略

建⽴数据共享和数据交换的信任是⼀项基本要求。 IDS-RAM定义了两种基本的信任类型：1）静态信任，基于对参与者和核⼼技术组件的认证；2）动态信任，基于对参与者和核⼼技术组件的主动监控。 对于IDS中的数据共享和数据交换，需要⼀些初步的操作和交互。这 些对于每个参与者都是必要的，并且涉及认证机构、评估机构和动态属性提供服务（DAPS）。下图说明了在 IDS 中发布数字⾝份所需的⻆⾊和交互。

参与者： IDS 中的每个参与者和⼤多数⻆⾊都需要获得认证。认证既指参与者的组织能⼒，也指核⼼技术组件的技术能⼒。

认证： 参与者或核⼼组件的认证涉及认证机构和评估机构。 对参与者或核⼼组件的评估是根据参与者的请求执⾏的，并依 赖于参与者和评估机构之间的合同。以同样的⽅式，服务提供 商可以请求对组件进⾏评估。在此过程中，认证机构负责对所涉 及的评估机构进⾏监督。

认证机构： 认证机构负责颁发、验证和撤销数字证书（参⻅第 4.1 节）。如果参与者的有效认 证和核⼼组件的有效认证均可⽤，则为参与者提供数字证书。这意味着认证机构为 标准的组合提供了⼀个 IDS-ID。

参与者和核⼼组成部分。数字证书的有效期不超过参与者认证和参与者所使⽤的 核⼼部件认证两者的有效期。认证机构根据要求向参与者提供数字证书。

动态属性配置服务 (DAPS)： 认证过程产⽣的信息将传递到动态属性配置服务 (DAPS)。这包括主数据和安全配置⽂件信息（参⻅第 4.1.3.3.6 节和附录 B）。 CA 提供有关数字证书的详细信 息（公钥和 IDS-ID）。参与者在组件内成功部署数字证书后，在 DAPS 进⾏注册。

为了对⽣态系统中所有参与者的可信度进⾏分类，需要对参与者进⾏持续监控。动态信任监控（DTM）为每个 IDS 组件实现监控功能。 DTM 与 DAPS 共享信息， 以向数据交换交易中的两个参与者通知另⼀参与者当前的可信度级别。

1.认证请求：这是参与者和评估机构之间的直接交互，以触发基于 IDS 认证标准的评估过程。

2.认证成功通知： Certification 机构通知认证机构参与者和核⼼组件的认证成功。必须提供两种认证的有效性。

3.⽣成 IDS-ID： CA 为该对（参与者和组件）⽣成唯⼀的 ID，并颁发数字证书 (X.509)。

4. X.509证书的提供：认证机构以安全可信的⽅式向参与者发送数字证书 （X.509），并通知DAPS。

5.注册：在组件内部部署数字证书（X.509）后，组件向DAPS进⾏注册。

6. DTM 交互： DTM 和 DAPS 交换有关组件⾏为的信息，例如 有关安全问题（漏洞）或企图攻击的信息。

二、安全角度

国际数据空间的⼀项战略要求是提供安全的数据供应链。这对于在想要交换和共享数据以及使⽤数据应⽤程序 的参与者之间建⽴和维持信任⾄关重要。 IDS 安全架构提供了 识别参与者、保护通信和数据交换事务以及在交换数据后控制 数据使⽤的⽅法。 出于这些⽬的，国际数据空间将可信连接器定义为基本连接器的扩展 安全⽅⾯对于定义国际数据空间中的⻆⾊和基本交互模式⾄关重要。 参考架构模型的视⻆ // 4.1 （参⻅第 3.5 节）。 IDS 连接器确保安全架构的规范和要求在国际数据空间的⽇常 交互和操作中具体化。下⾯描述的安全⽅⾯构成了 IDS 连接器的基础。 Trusted Connector 和 Base Connector 之间的区别 

1.IDS-RAM不同层解决的安全问题

业务层：安全方面对于定义国际数据空间中的角色和基本交互模式至关重要

功能差： 安全要求可能会限制国际数据空间中的某些交易或操作，甚⾄阻 ⽌它们。然⽽，安全也是⼀个有利因素。如果没有安全性，许多⽤ 例将⽆法实现（例如，向值得信赖的业务合作伙伴提供敏感数 据）。数据使⽤控制的概念允许数据提供者将数据使⽤策略信 息附加到其数据，以便定义数据消费者如何使⽤数据。

过程层： 为了在流程层考虑安全⽅⾯，重要的是对现有流程进⾏永久监控、验证和重新设计（如果需要）。例如，为了允许使⽤中央公钥基础设施 (PKI) 对参与者进⾏可信的识别和⾝份验证，参与者必须申请在中央 PKI 中注册并部署在其连接器内的公钥证书。对于动态属性⽀持，⾝ 份管理服务器需要在颁发访问令牌之前验证属性。对于应⽤程序商店 的可信操作也是如此，数据必须经过可信实体的验证和签名才能上 传。

信息层： 信息层为参与者提供了使⽤通⽤词汇和通⽤语义来表达概念和 它们之间的关系的⽅法。这样做，可以以所有参与者都能理解的 ⽅式指定访问和使⽤控制策略。对于定义最低安全配置⽂件的 访问控制要求也是如此，在授予访问权限之前必须满⾜这些要求。

系统层： 由于连接器是系统层上的核⼼技术组件，因此主要是实现国际数据空间安全功能的连 接器。作为 Base Connector 的扩展，Trusted Connector 涵盖了所有相关的安全 规范和要求，并作为⽤例实现的技术基础。

2.一般性安全原则

安全架构的开发遵循两个⼀般原则：

2.1现有标准的使⽤和考虑最佳实践

在可能且合理的范围内，将在安全架构的开发中使⽤和利⽤现有标准和最佳实践。安全架构的⽬的不是为已经解决的问题提供新的解决⽅案，⽽是以有⽤且有意义的⽅ 式结合现有的可靠⽅法，并在必要时弥合差距。

2.2 安全级别的可扩展性

国际数据空间并不强制对所有参与者应⽤单⼀安全级别。这样，资源和技术⼿段有限 的组织也能够参与（⾄少作为数据消费者）。然⽽，这些参与者的安全级别也必须对 其他⼈来说是可靠且可验证的。因此，所有参与者都需要满⾜某些最低安全要求（例如加密通信）。

如果参与者符合⼀般安全要求，它可以决定⾃⼰应⽤的安全级别。然⽽，应该注意的是，数据源可能预先假定潜在数据消费者要满⾜⼀定的最低安全级别。这对于数据消 费者来说意味着：他们为⾃⼰选择的安全级别越⾼，就越能更好地访问⾼质量数据⼯业数据空间 ‒ 参考架构模型和高价值数据服务。

3.关键安全概念

该安全架构解决了七个关键安全概念：1）安全通信，2）⾝份管理，3）信任管理，4）可信平台，5）数据访问控制，6）数据使⽤控制和7）数据来源跟踪。

3.1安全通信

为了确保数据传输的机密性和真实性，必须保护连接器之间的通信。

使用IDS连接器时，存在两层安全性：

点对点加密（连接器之间），使用加密隧道

端到端授权（基于实际通信端点的真实性和授权，即数据应用程序）

从一个外部连接器到另一个外部连结器的数据通过互联⽹或通过虚拟专⽤⽹络 (VPN)，其规范超出了 IDS 安全架构的范围。安全架构定义了 IDS 通信协议 (IDSCP)，该协议必须受到可信连接器的⽀持，并且也可以受到任何其他连接器的⽀持。 IDSCP 的⽬的是建⽴保密的、经过⾝份验证的通信，在数 据提供者和数据消费者之间交换数据，并建⽴相互远程证明（如果所涉及的连接器⽀持）。

IDS连接器必须通过加密隧道（例如，TLS），如图 所⽰，并且可以使⽤ IDSCP 或其他适当的协议，例如 https 或 mqtt。

IDSCP 是通过 WebSocket Secure (WSS) 建⽴的⾼级协议。它包含多个“对话”， 可以由任何⼀⽅发起，必须得到对⽅确认后才能进⼊。⽬前，提供两种对话：远程证明 和元数据交换。该协议本⾝是在隧道连接内执⾏的。该协议⽀持并启⽤多个通信⽅⾯：识别和认证、远程认证、元数据交换、数据交换（使用政策信息） 最后⼀个⽅⾯，数据交换，提供了数据使⽤控制的基本机制，因为可以附加数据使⽤策 略信息，以便指定数据消费者如何使⽤数据。然⽽，IDSCP 的规范不是本⽂档的⼀部分。

3.2身份管理

为了能够基于参与者的可靠身份和属性做出与访问控制相关的决策，必须引入身份和访问管理(IAM)的概念。以下方面是这个概念的核心:身份证明、身份验证、

身份授权

证书颁发机构（CA）为所有实体颁发证书。这些证书用于连接器间的身份验证和加密。

⼀个⾝份可能有多个属性，这些属性与该⾝份相关联。 动态属性供应服务（DAPS）⽤ 于提供有关参与者和连接器的动态、最新属性信息。

3.2.1 参与者认证和连接器认证到身份管理的映射

认证⽬标有两个：参与者（获得参与者证书）和核⼼组件（获得核⼼组件证书）。如果参与者（例如公司）成功通过认证，则允许其参与国际数据空间。参与者必须使⽤经过认证的 IDS 连接器。通过参与者证书和核⼼组件证书这两个证书，参与者可以请求数字 X.509 证书以进⾏识别、验证和加密。

X.509 证书仅包含最相关的静态信息：

C(国家名称):该组织的国家(如DE);

O (organizationName):组织名称(如Fraunhofer);

CN (commonName):通用唯一标识符(universal Unique Identifier, UUID)(例如59C3BAE6-1C06-4723-802B-12C7DCF94E58);

subjectAltName (X509v3 Subject Alternative Name):填写连接器的DNS表项/ IP地址(如DNS.1 = localhost DNS.2 = idsconnector.aisec.fraunhofer.de IP.1 = 0.0.0.0 IP.2 = 10.1.2.15 IP.3 = 10.1.2.16 IP.4 = 10.1.2.17 IP.5 = 10.1.2.18)

需要注意的是， 对属性的任何修改都会导致证书的撤销和重新颁发。出于这个原因，需要将包含在cer证书中的属性数量保持在最小值。动态属性由动态属性发放服务(DAPS)保存。

3.2.2提议的PKI结构

一般来说，PKI可以有几个层来实现职责分离(例如，每个子ca负责一个特定的主题)。根据应用的业务和部署模型，可能存在几个子ca。

这允许特定的各方为特定的目的颁发证书。也可以支持多个实例(例如，多个连接器子ca)。PKI的结构在本文档中不做定义。

3.2.3连接器证书部署

在获得参与者证书和核⼼组件证书后，组织可以申请⼀个或多个X.509证书（其颁 发可以由例如国际数据空间协会触发）。

上⾯定义了要嵌⼊ X.509 证书中的连接器的属性。

收到连接器证书后，即可将其部署到连接器上。 X.509 证书确保数据 始终以经过⾝份验证和加密的⽅式进⾏交换。

3.2.4 使用动态属性提供服务(DAPS)进行身份管理

使用服务以动态方式分发属性可以减少证书撤销的需要，并为国际数据空间中的参与者提供更灵活的属性处理。

这允许将属性和状态标志动态分配给连接器实例。

状态标志的例子有:

如果已知的漏洞没有被修复，则撤回安全状态。

无需重新颁发X.509证书，即可升级证书状态。

与承包商一起为工作流分配成员身份。

参与者诚信等级的临时变更通知。

提供可变属性(例如组织地址)。

这个概念在大多数情况下避免了证书的撤销，因为它允许在需要时包含新的属性。本文档中未定义。

3.2.5 使用授权服务进行资源访问控制

使用授权服务(具有访问令牌)允许对访问控制决策进行依赖于用例的建模。访问决策的授权是可能的。在复杂的工作流中，多个连接器可以使用专用的授权服务来委托资源访问决策。DAPS充当IDS的授权服务。

使用动态属性和访问令牌访问资源(如数据服务)的工作流定义如下:

1、动态属性配置服务(Dynamic Attribute Provisioning Service)请求动态属性令牌(DAT)，表示连接器的X.509证书。根据指定的验证策略，该属性可以在CA上进行验证。

2、在访问资源之前，使用相同的X.509证书建立TLS隧道。同样，根据指定的策略，可以在CA上验证证书。

3、(可选)如果使用多个访问令牌(AT)，令牌请求将在用例操作符或连接器(或更具体地说，资源)所有者的域中的单独授权服务中执行。

4. 通过提交动态属性令牌(DAT)或访问令牌(AT)来请求资源。

由于访问令牌的大小较小，因此可以将这些令牌合并到任何资源请求中，并支持无状态访问管理。DATs和ATs都使用JSON Web Token (IETF RFC 7519)42标准。

3.3信任管理

为了在整个商业⽣态系统中建⽴信任（即保护参与者免受欺诈并确保他们遵守指定规则）， 国际数据空间使⽤了加密⽅法。其中⼀种⽅法是公钥基础设施 (PKI)。 PKI 的核⼼原则是每个实体都分配有密钥，允许每个实体针对其他参与者进⾏⾝份验证。因此，创建了⼀个层次结构，顶部的⾝份提供者向其他实体颁发证书，⽽其他实体⼜可以向其他实体颁发证书，依此类推。下⾯描述了 PKI 的推出，⽤于映射国际数据空间部署所需的⻆⾊和实体。

3.3.1PKI推出

为了保证安全的⾝份管理，国际数据空间定义了⽤于实施 PKI 系统的技术⻆⾊，该系统⾜够灵活，可以⽀持业务层上定义的所有⻆⾊。特别是，具有不同安全级别的六个实体与安全架构相 关。下⾯描述这些实体以及与其相关的技术⻆⾊。

3.3.1.1身份提供商

⾝份提供商充当国际数据空间协会的代理。它负责向已批准成为国际数据空间参与者的各⽅颁发技术⾝份。指⽰⾝份提供商根据批准的⻆⾊（例如，应⽤程序商店或应⽤程序提供商） 颁发⾝份。只有配备了这样的⾝份，实体才被允许参与国际数据空间（例如，提供数据或发布 数据应⽤程序）。如果有指⽰，⾝份提供商可以将参与者排除在国际数据空间之外。

作为一个受信任的实体，身份提供者管理PKI的部署。它会注意证书是否过期或必须撤销。

有两个独立的PKI层次结构:一个用于软件签名(软件签名根CA)，一个用于连接器(服务根CA)。

一个实体被分配一个结束证书或一个sub/root-CA证书。

这两个层次结构保护六个实体的利益。身份提供者还通过合并DAPS充当授权服务(如前所述)。

3.3.1.2软件提供商

软件提供商为连接器⽣产和分发基本软件堆栈（⽤于推出和部署）。对于每个寻求 进⼊国际数据空间的软件提供商，⾝份提供商都会发出服务⼦ CA 请求。经批准的 软件提供商在连接器的推出和部署期间使⽤服务⼦ CA，以便为其提供初始、有效和预配置的系统。

3.3.1.3连接器

只有从认可的软件提供商处获得的连接器才允许与其他连接器通信。连接器从应用商店下载数据应用程序。对于下载的每个数据应用程序，

连接器创建一个服务密钥对和一个证书签名请求(CSR)。

私钥用于识别Data App并保护其数据，CSR被发送到App Store, App Store使用它来颁发证书。

这也允许实体检查某个数据应用程序的许可证是否仍然有效(参见远程认证)。

此外，私钥和证书用于与其他connector建立安全通道。在推出期间，软件提供商将一个初始系统部署到连接器上，并为初始系统签署连接器的相应服务csr。

3.3.1.4应用商店

连接器从应用商店下载所需的软件(即数据应用程序)。连接器只能连接App Store以请求下载和更新。

因为App Store本身就是一个连接器，所以它另外存储了它自己的子ca。

当一个新的提供者建立一个App Store时，身份提供者签署由App Store提供者发出的子ca请求。

App Store提供商将该子ca部署在App Store中(即，部署在相应的连接器中)。这个子 CA⽤于App Store确保其他Connector下载的服务的有效性。这意味着，如果 App Store 签署 CSR（即颁发证书），连接器就会收到下载的数据应⽤程序的证书。

3.3.1.5应用程序提供商

应用提供商必须向认证机构寻求数据应用的批准。数据应用成功认证后，应用提供商可以通过将数据应用上传到App Store来发布该数据应用。每个应用程序提供者都可以通过身份提供者颁发的证书明确地标识出来。

3.3.1.6认证机构

当应用程序提供商上传数据应用程序时，应用商店不仅会检查该数据应用程序是否来自经批准的应用程序提供商，还会检查该软件是否符合一定的质量和安全标准。因此，应用程序提供商必须将数据应用程序发送到认证机构进行检查。认证机构检查应用程序提供者签名的有效性。如果签名有效，则检查相应数据应用程序的源代码。如果数据应用程序符合质量和安全标准，认证机构将使用证书的私钥对数据应用程序进行签名。为此，它不需要子ca，因为它只签署软件，而不创建证书。

3.3.2连接器表表现

连接器可以运⾏不同的服务并进⾏通信 与其他连接器。使⽤ PKI，连接器可以保护其服务的持久存储以及与其他连接器的 通信（在真实性、机密性等⽅⾯）。从安全⻆度来看，以下各项描述了国际数据空间 中连接器的特征：

3.3.2.1配置

除此之外，配置指定连接器从何处下载新服务，或者它使⽤哪些代理或在线证书状态协议 (OCSP)43 服务器。

3.3.2.2CA证书

为了验证 PKI 签名（例如，⽤于⾝份验证或下载的数据应⽤程序），连接器以保留 其完整性的⽅式存储受信任的根证书（服务根 CA 和软件签名根 CA）（图 4.7）。

3.3.2.3应用程序

国际数据空间提供的应用程序运行在独立的容器中(详见3.5.1.2节)。连接器为它下载的每个应用程序创建一个密钥对。私钥保护应用程序的持久数据。

从App Store下载应用程序时，连接器使用公钥创建CSR。App Store签署CSR并颁发证书。连接器使用此证书来确保它正在运行的应用程序是有效的

(即，已授权，未过期，等等)。

一个应用程序是以下软件类型的概括:»

核心系统:每个连接器只运行一个核心系统。 核心系统，连同它的证书，在从提供连接器的软件提供商检索后，在连接器的部署期间进行部署。核心系统的证书标识底层硬件设备。

核心系统可以连接到其他连接器(例如，与App Store通信以获得应用程序下载)。当一个连接器与另一个连接器建立通信通道时，它使用Core System的私钥和证书进行身份验证。

数据应用程序:数据应用程序是任何数据处理或数据收集应用程序，或系统适配器。

Broker: Broker是提供代理服务的连接器。

OCSP服务器:如果连接器运行OCSP服务器应用程序，则该连接器被视为OCSP服务器。

App Store：App Store 有⼀个服务⼦ CA。国际数据空间协会签署本 CSR 是为了 证明每⼀个新的应⽤程序商店。 CSR 标识 App Store，并使得可以从请求应⽤程序 的连接器签署服务 CSR。