《可信数据空间+技术架构》2025年 27页

微信扫码，打开到小程序

TC609 全 国 数 据 标 准 化 技 术 委 员 会 技 术 文 件 TC609-6-2025-01 可信数据空间 技术架构 Trustworthy data space—Technology architecture 全 国 数 据 标 准 化 技 术 委 员 会 发 布 2025-04-30 发布 2025-04-30 实施 I 目 次 前 言 ............................................................................ II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 概述 ................................................................................. 2 5 技术架构 ............................................................................. 3 概述 ............................................................................. 3 功能架构 ......................................................................... 4 交互关系 ........................................................................ 11 6 业务流程 ............................................................................ 15 概述 ............................................................................ 15 登记可信数据空间 ................................................................ 15 发现可信数据空间 ................................................................ 16 创建逻辑可信数据空间 ............................................................ 16 数据流通利用 .................................................................... 18 7 安全要求 ............................................................................ 20 概述 ............................................................................ 20 数字合约安全 .................................................................... 20 数据产品安全 .................................................................... 20 空间运行安全 .................................................................... 20 参 考 文 献 ........................................................................ 22 II 前 言 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国数据标准化技术委员会（SAC/TC609）提出并归口。 本文件起草单位：中国电子技术标准化研究院、北京大数据先进技术研究院、中国信息通信研究院、 北京大学、下一代互联网关键技术和评测北京市工程研究中心有限公司、浙江大学、中国电信集团有限 公司、中国联合网络通信集团有限公司、中国移动通信集团有限公司、华为技术有限公司、上海芯超数 据科技有限公司、深圳数鑫科技有限公司、上海临港北京大学国际科技创新中心、北京市大数据中心、 电子科技大学、四川省大数据中心、国家电网有限公司大数据中心、蚂蚁科技集团股份有限公司、四川 长虹电器股份有限公司、中电数据产业集团有限公司、中电数创（北京）科技有限公司、广东领信数科 信息技术有限公司、航天信息股份有限公司、数据空间研究院、国家信息中心、中国南方电网有限责任 公司、浪潮云信息技术股份公司、西安电子科技大学、武汉达梦数据技术有限公司、三六零安全科技股 份有限公司、杭州安恒信息技术有限公司、华为云计算技术有限公司、上海数据集团有限公司、太极计 算机股份有限公司、浙江久婵物联科技有限公司、北京数网链通科技有限公司、北京泰尔英福科技有限 公司、杭州金智塔科技有限公司、汇数未来数据运营（杭州）有限公司、吉林省高速公路集团有限公司、 蓝象智联（杭州）科技有限公司、星环信息科技（上海）股份有限公司、云上（南昌）大数据有限公司、 浙江省大数据联合计算中心、中电云计算技术有限公司、中国移动通信有限公司研究院、中移动信息技 术有限公司、联通数据智能有限公司、中国联通软件研究院、中国信通院江西研究院、浙江蚂蚁密算科 技有限公司、杭州市大数据管理服务中心、杭州云象网络技术有限公司、天翼支付科技有限公司、中电 福富信息科技有限公司、中国电信股份有限公司数据要素技术创新（海南）中心、中电信人工智能科技 （北京）有限公司、国网山东省电力公司、江苏中堃数据技术有限公司、国网江苏省电力有限公司、中 国交通建设集团有限公司、上海数据交易所有限公司、中国交通信息科技集团有限公司、数据易（北京） 信息技术有限公司、上海零数众合信息科技有限公司、安徽中科晶格技术有限公司、广电运通集团股份 有限公司、阿里云计算有限公司、深圳数据交易所有限公司、煤炭科学研究总院有限公司、新胜科技（上 海）有限公司、成都市标准化研究院、哈尔滨工程大学、吉林省吉林祥云信息技术有限公司、普元信息 技术股份有限公司、四川数通智汇数据科技有限公司、北京电子数智科技有限责任公司、国家工业信息 安全发展研究中心、北京熠智科技有限公司、中移雄安信息通信科技有限公司、联通数字科技有限公司、 中关村科学城城市大脑股份有限公司、中科斯欧（合肥）科技股份有限公司、福建省大数据集团有限公 司、天津市天河数字产业科技有限公司、广西北部湾大数据交易中心有限公司、南方电网能源发展研究 院有限责任公司、中国移动通信集团设计院有限公司、北京思特奇信息技术有限公司、中国联通智能城 市研究院、北京天融信网络安全技术有限公司、中电科网络安全科技股份有限公司、北京数据要素科技 有限公司、北京数字认证股份有限公司、杭州数梦工场科技有限公司、中兴通讯股份有限公司、每日互 动股份有限公司、杭州趣链科技有限公司、广州广电运通信息科技有限公司、中国信息协会、苏州数据 资产运营有限公司、中启联信科技集团有限公司、山东未来集团有限公司、联通（广东）产业互联网有 限公司、中国质量认证中心有限公司、北京华宇信息技术有限公司、联通数字科技有限公司、湖南天河 国云科技有限公司、马上消费金融股份有限公司、中电科大数据研究院有限公司、奇点数联（北京）科 技有限公司、中国民用航空西南地区空中交通管理局、重庆市质量和标准化研究院、成都久信信息技术 股份有限公司、杭州高新区（滨江）区块链与数据安全研究院、成都西南民航通信网络有限公司、广州 维视达数字科技有限公司、北京数风科技有限公司、云基华海信息技术股份有限公司、金联汇通信息技 术有限公司、山西远大纵横科技有限公司、长沙都正生物科技股份有限公司、湖南大数据交易所有限公 III 司、深圳市华傲数据技术有限公司、临沂市大数据中心、公安部第三研究所、中国工业互联网研究院、 浙江省数字经济发展中心、福建新世通律师事务所、广州金域医学检验集团股份有限公司、三未信安科 技股份有限公司、北京金喻泽科技有限公司、豪尔赛科技集团股份有限公司、广州睿帆科技有限公司、 北京腾云天下科技有限公司、牙木科技股份有限公司、中国电子科技集团公司第十五研究所、西北大学、 烽火通信科技股份有限公司、华控清交信息科技（北京）有限公司、亚信科技（中国）有限公司、奇安 信科技集团股份有限公司、软通智慧科技有限公司、杭州领信数科信息技术有限公司、广州数据交易所 有限公司、江西省大数据中心、全国组织机构统一社会信用代码数据服务中心、中国软件评测中心（工 业和信息化部软件与集成电路促进中心）、中关村工信二维码技术研究院、北京海泰方圆科技股份有限 公司、长沙翼游数据科技有限公司、杭州拓数派科技发展有限公司、杭州锘崴信息科技有限公司、科大 讯飞股份有限公司、中电信数智科技有限公司、北京数字理政规划设计研究院有限公司、数字西安技术 运营（集团）有限公司、广州数据集团有限公司、杭州安泉数智科技有限公司、北京数安行科技有限公 司等。 1 可信数据空间 技术架构 1 范围 本文件规范了可信数据空间技术架构，明确了可信数据空间在国家数据基础设施中的定位，描述了 可信数据空间作为一种数据流通利用基础设施的核心技术特征、最小功能集合以及关键业务流程。 本文件适用于指导地方、行业、领域、企业开展可信数据空间的规划、建设、运营和管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 NDI—TR—2025—01 数据基础设施 参考架构 NDI—TR—2025—02 数据基础设施 互联互通基本要求 NDI—TR—2025—03 数据基础设施 用户身份管理和接入规范 NDI—TR—2025—05 数据基础设施 接入连接器技术要求 NDI—TR—2025—06 数据基础设施 数据目录描述规范 3 术语和定义 下列术语和定义适用于本文件。 可信 trustworthiness 即可信赖，指“符合预期”，以技术可验证的方式满足利益相关者期望的能力。 [来源：ISO/IEC TS 5723:2022 3.1.1，有修改] 注：可信数据空间中的可信是指数据流通及使用的可信赖，代表数据流通及使用的过程及结果符合相关参与方的行 为预期。 可信数据空间 trustworthy data space 基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施，是数据要素 价值共创的应用生态，是支撑构建全国一体化数据市场的重要载体。 数字合约 digital contract 以数字化形式描述的数据提供方、数据使用方、数据服务方等相关参与方对数据流通、使用等环节 预期的承诺，包括但不限于数据的内容、使用者、使用方式、使用次数、使用范围、使用环境等。 使用控制 usage control 2 在数据的传输、存储、使用和销毁环节，通过集成在数据应用、算法和运行环境中的技术手段，确 保相关参与方按照数字合约约定的使用策略对数据进行分析、计算和处理等，实现对数据使用的时间、 地点、主体、行为和客体等因素的控制，从而保证对数据的使用符合预期。 数据资源 data resource 具有价值创造潜力的数据的总称，通常指以电子化形式记录和保存、可机器读取、可供社会化再利 用的数据集合。 [来源：NDI—TR—2025—06 数据基础设施 数据目录描述规范] 数据产品 data product 自然人、法人或者非法人组织对其合法获取的数据资源，经过实质性加工和创新性劳动后形成的， 可满足特定需求的数据加工品和数据服务。 [来源：NDI—TR—2025—06 数据基础设施 数据目录描述规范] 注：可信数据空间中，数据产品是数据流通及使用的基本单元。数据产品可从数据资源封装开发而来，也可基于已 有数据产品开发而来。数据产品的承载形式可以是数据库表、数据文件或数据API等。 4 概述 为厘清可信数据空间的内涵与外延，本小节从多个视角对可信数据空间的核心特征进行详细描述。 从技术组成角度，可信数据空间以数字合约、使用控制技术为核心，以数据跨主体流通使用的可信 （符合预期）为目标。通过数字合约技术描述特定参与方对数据内容、使用方式、使用次数等流通利用 行为的预期并达成共识；通过集成在特定软硬件环境中的使用控制技术对使用数据的算法、应用进行控 制和审计，实现对数据访问、分析、计算等行为的管控，保证数据的流通及使用过程及结果符合预期。 从系统构成的物理角度，可信数据空间主要由可信数据空间服务平台和接入连接器组成。其中可信 数据空间服务平台是支撑可信数据空间运营方运营可信数据空间的平台系统，为可信数据空间参与方提 供进行数据流通和使用的基础服务；接入连接器是可信数据空间各参与方加入可信数据空间生态的入口 系统，支持数据提供方、数据使用方、数据服务方通过接入连接器提供数据、使用数据以及提供增值服 务，是依据数字合约执行使用控制的系统载体。 从生态关系的逻辑角度，可信数据空间是在接入连接器及服务平台上形成的数据流通要素和关系的 集合，包括：提供方、使用方、服务方等参与主体，数据、算法、服务等空间资源，策略、合约、法规 等共识规则。一套可信数据空间系统应支持构建多个逻辑的可信数据空间生态。不同的逻辑可信数据空 间通常具有独特的共有业务属性、社会属性或群组关系，导致其中的参与主体、可用资源、共识规则呈 现出显著差异。例如某领域供应链数据空间，参与方通常为供应链上下游企业；例如某医疗数据空间， 参与方通常为医院、药物研发方、医学研究方等。 从应用场景角度，可信数据空间可用于解决具体场景下数据流通利用中的信任问题，降低提供方提 供数据、使用方使用数据的信任门槛。例如，跨企业、跨行业的产业数据交换协同，跨领域、跨学科的 科学数据共享分析等。在可信数据空间限定的参与主体、空间资源及共识规则下，利用可信数据空间技 术能力，相关参与方之间能够达成对数据流通及使用预期的共识，使数据使用方相信数据提供方如约提 供数据、数据提供方相信数据使用方如约使用数据，高效实现跨主体的数据可信流通及使用。 在与国家数据基础设施关系方面，可信数据空间既是国家数据基础设施的架构派生也是国家数据基 础设施的组成部分。一方面，从技术架构角度，可信数据空间技术继承国家数据基础设施参考架构：可 信数据空间服务平台在国家数据基础设施架构中的定位是业务节点，在满足业务节点基本要求上结合自 身技术特征扩展了相应功能组件：如数字合约、空间管理等部分；接入连接器在接入可信数据空间时需 3 在通用功能基础上扩展使用控制、数字合约等部分。另一方面，从互联互通的角度，可信数据空间是国 家数据基础设施的一部分，应按照统一目录标识、统一身份登记、统一接口要求，接入区域/行业功能 节点，实现与其他业务节点的互联互通，以及与其他数据基础设施的互信互认及互操作。用户可通过数 据基础设施公共服务发现全域各个可信数据空间服务平台以及可信数据空间中的数据产品、数据服务等 资源，并按照各可信数据空间的业务规则加入、创建可信数据空间。涉及可信数据空间区块链互通的， 鼓励使用国家区块链网络实现。 可信数据空间形成的以数字合约、使用控制为核心的技术体系，具备以下典型特征：安全可信的数 据流通使用，可信数据空间相关参与方在共识规则基础上，通过数字合约达成对流通使用行为预期的共 识，并可在使用控制技术中融合区块链、数据沙箱、隐私保护计算等技术，保证数据的流通和使用过程 如约执行；跨域跨空间的数据互联互通，可信数据空间符合国家数据基础设施参考架构并与区域/行业 业务节点对接，能够通过数据基础设施统一底座便捷、有效地发现、定位和使用其他可信数据空间及业 务节点中的数据产品。多方参与的数据价值共创，可信数据空间在支持参与方之间数据可信流通的基础 上，支持算力服务、人工智能服务、数据治理服务、数据开发服务等增值服务提供方加入可信数据空间， 并通过接入连接器提供服务，加速数据价值的挖掘、释放。 5 技术架构 概述 可信数据空间是国家数据基础设施的一部分，符合NDI—TR—2025—01确定的国家数据基础设施整 体架构及基本约束。可信数据空间包括可信数据空间服务平台以及与服务平台对接的接入连接器。在继 承国家数据基础设施业务节点、接入连接器基本要求的基础上，可信数据空间结合自身技术特征进行了 一定的功能扩展，整体架构见图1。 图 1 可信数据空间在数据基础设施中的位置 4 功能架构 5.2.1 概述 功能架构描述了可信数据空间服务平台作为一类国家数据基础设施业务节点应具备的功能集合，以 及接入连接器在与可信数据空间服务平台对接时应进行的功能扩展。同时描述了可信数据空间服务平台 与接入连接器之间，及其与国家数据基础设施功能节点之间的交互关系。 可信数据空间服务平台作为一类业务节点，向上连接区域/行业功能节点，并按照NDI—TR—2025 —02、NDI—TR—2025—03、NDI—TR—2025—05确定的要求保持与区域/行业功能节点的身份、连接器、 目录等信息的互通；向下连接接入连接器，支持数据提供方、数据使用方、数据服务方通过接入连接器 接入可信数据空间；提供方通过连接器与本地的数据存储、汇聚、加工治理等数据系统对接，完成数据 资源接入；使用方数据应用系统通过连接器获取、使用数据，完成价值化应用；数据服务方，如：算力 服务、智能化服务、数据交易服务、数据治理服务、隐私保护计算公共服务等其他数据服务的提供方， 通过连接器将服务系统接入可信数据空间并提供增值服务，数据服务方对于原始数据提供方来说是数据 使用方，对于最终数据使用方来说是数据提供方，可通过连接器相关功能完成信息交互、提供增值服务。 5.2.2 可信数据空间服务平台 5.2.2.1 概述 可信数据空间服务平台应具备身份管理、接入连接器管理、目录管理、数字合约管理、可信数据空 间管理、数据使用控制、国际空间互通网关7个功能，其中身份管理、接入连接器管理、目录管理可复 用区域/行业功能节点相关能力，并可在此基础上结合可信数据空间业务需求进行扩展。国际空间互通 网关为可选功能，由服务平台按需建设。 可信数据空间服务平台应按照“三统一”要求，保持身份、标识、目录与区域/行业功能节点的互 联互通。可信数据空间服务平台应与其他流通利用业务节点互联互通，在实际数据流通利用业务过程中 宜按需复用其他