YDT 4566-2023基于区块链的物联网设备标识与认证系统的总体技术要求

ICS33.030

CCSM.21

YD

中华人民共和国通信行业标准

YD/T[×××××]—[××××]

[代替YD/T]

基于区块链的物联网设备标识与认证系

统的总体技术要求

Generaltechnicalrequirementsofblockchain-basedidentificationand

authenticationsystemforIoTdevice

[点击此处添加与国际标准一致性程度的标识]

（报批稿）

[××××]-[××]-[××]发布[××××]-[××]-[××]实施

中华人民共和国工业和信息化部发布

YD/T×××××—××××

目次

前言...........................................................................................................................................................IV

1范围.................................................................................................................................................................1

2规范性引用文件.............................................................................................................................................1

3术语和定义.....................................................................................................................................................1

4缩略语.............................................................................................................................................................3

5基于区块链的物联网设备标识与认证系统概述.........................................................................................3

5.1基于区块链的物联网设备标识与认证系统的概念..............................................................................3

5.2物联网设备标识和标识对象..................................................................................................................4

5.3基于区块链的物联网设备标识认证系统融合认证和识别功能..........................................................4

5.3.1创建、认证和注册物联网设备标识和标识对象...........................................................................4

5.3.2检索、识别和验证物联网设备标识和标识对象...........................................................................5

6BIAS的特征与需求.......................................................................................................................................6

6.1共性特征..................................................................................................................................................6

6.1.1支持物联网设备标识和标识对象自解析.......................................................................................6

6.1.2在去中心化环境中支持独立的端到端标识和认证.......................................................................6

6.1.3支持物联网设备标识和标识对象的可控存储...............................................................................7

6.1.4支持标识的线上线下背书...............................................................................................................7

6.1.5支持多种标识认证方案...................................................................................................................7

6.2系统要求..................................................................................................................................................7

6.2.1标识和标识对象自解析...................................................................................................................7

6.2.2独立的端到端识别和认证...............................................................................................................7

6.2.3标识和相应标识对象的可控存储...................................................................................................7

6.2.4标识的线上线下背书.......................................................................................................................8

6.2.5多种标识认证方案...........................................................................................................................8

6.2.6同步和可扩展性...............................................................................................................................8

6.2.7安全保护和隐私保护.......................................................................................................................8

6.2.8支持商用密码算法...........................................................................................................................8

7基于区块链的物联网设备标识和认证系统的参考架构.............................................................................8

7.1基于区块链的物联网设备标识和认证系统参考架构概述..................................................................8

7.2标识解析代理（IDRagent）.................................................................................................................9

7.3标识对象存储代理（IOSagent）..........................................................................................................9

7.4标识解析的功能组件(IR-FC)..............................................................................................................10

7.5认证管理的功能组件（AM-FC）.......................................................................................................10

7.6策略管理的功能组件（PM-FC）........................................................................................................10

II

YD/T×××××—××××

7.7业务代理................................................................................................................................................10

7.8设备代理................................................................................................................................................11

7.9外部系统................................................................................................................................................11

7.9.1认证系统.........................................................................................................................................11

7.9.2去中心化系统.................................................................................................................................11

7.9.3云.....................................................................................................................................................11

7.9.4物联网业务、物联网设备和物联网网关.....................................................................................11

7.10参考点..................................................................................................................................................12

8BIAS的主要功能和流程.............................................................................................................................12

8.1创建和背书物联网设备标识和标识对象............................................................................................12

8.2颁发和认证物联网设备标识和相应的标识对象................................................................................13

8.2.1颁发物联网标识和标识对象.........................................................................................................13

8.2.2启用物联网标识和标识对象.........................................................................................................15

8.2.3物联网设备和业务之间的识别和认证.........................................................................................15

9安全性...........................................................................................................................................................16

附录A（资料性）BIAS的用例...........................................................................................................18

A.1利用BIAS促进一个物联网设备访问由一个业务运营商部署的物联网业务.................................18

A.2促进一个物联网设备访问由多个业务运营商部署的物联网业务....................................................19

附录B（资料性）物联网设备和物联网业务的标识和对应标识对象的抽象模型..........................21

B.1物联网设备标识....................................................................................................................................21

B.2标识包....................................................................................................................................................21

B.3对应的标识对象....................................................................................................................................21

附录C（资料性）BIAS的业务角色和模型........................................................................................23

C.1BIAS的业务角色..................................................................................................................................23

C.1.1设备提供商.....................................................................................................................................23

C.1.2应用提供商.....................................................................................................................................23

C.1.3平台提供商.....................................................................................................................................23

C.2BIAS的业务模型..................................................................................................................................24

参考文献..............................................................................................................................................26

III

YD/T×××××—××××

基于区块链的物联网设备标识与认证系统的总体技术要求

1范围

本文件提出了基于区块链的物联网设备标识与认证系统的概念，描述了基于区块链的物联网设备

标识与认证系统的特征，规定了基于区块链的物联网设备标识与认证系统的系统要求、参考架构和主

要工作流程。

本文件适用于基于区块链的物联网设备标识和相关的认证系统。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T25069信息安全技术术语

YD/T3905-2021基于区块链技术的去中心化物联网业务平台框架

ITU-TY.4811去中心化环境下的物联网设备身份标识与认证融合服务框架（Reference

frameworkofconvergedserviceforidentificationandauthenticationforIoT

devicesindecentralizedenvironment）

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

应用application

一些结构化功能集，提供一个或多个服务支持的增值功能，并可通过提供API接口来支持这些功

能。

[来源：YD/T3905-2021]

3.2

能力capability

在约定的内部条件下满足给定数量特征的服务需求的能力。

[来源：YD/T3905-2021]

3.3

1

YD/T×××××—××××

设备device

物联网装置，具备通信能力，并可选支持传感、驱动、数据采集、数据存储和数据处理能力。

[来源：YD/T3905-2021]

3.4

物联网internetofthings

一种致力于信息社会的全球基础设施，通过基于现有和不断发展的、可互操作的信息和通信技

术，相互连接(物理和虚拟)事物来实现高级服务。

注1：通过利用身份识别、数据捕获、处理和通信功能，物联网为各种应用提供服务，同时确保安全和满足隐私需

求。

注2：从广义的角度来看，物联网具有广泛的技术和社会影响力。

[来源：YD/T3905-2021]

3.5

物thing

在物联网中，物理世界(物理的物)或信息世界(虚拟的物)的对象，能够被标识并集成到通信网络

中。

[来源：YD/T3905-2021]

3.6

区块链blockchain

基于新一代交易应用的点对点分布式记帐技术，这种记账技术可以维护一个不断增长的加密的安

全数据记录列表，这些数据记录难以被篡改或修改。

注1：区块链可以帮助建立信任、增强记账能力，提升透明度，同时简化业务流程。

注2：区块链可根据参与者之间的关系和提供服务的方式分为三种类型(即公共、联盟和私有)。

[来源：YD/T3905-2021]

3.7

区块链平台blockchainplatform

基于区块链相关技术建立的平台(或系统)。

注：区块链相关技术主要包括点对点通信、去中心化数据存储、群体共识机制和交易处理方法、权限管理等。

[来源：YD/T3905-2021]

3.8

业务service

提供商向用户提供的一组功能和设施。

[来源：ITU-TY.4811]

3.9

认证authentication

验证用户、终端或服务提供商标识的过程。

[来源：ITU-TY.4811]

2

YD/T×××××—××××

4缩略语

下列缩略语适用于本文件。

AM-FC认证管理功能组件FunctionalComponentofAuthentication

Management

BIAS基于区块链的物联网设备Blockchain-basedIdentificationandAuthentication

标识与认证系统SystemforIoTDevice

DID分布式身份标识DecentralizedIdentity

DLT分布式账本DistributedLedgerTechnology

FC功能组件FunctionalComponent

GUID全局唯一标识GloballyUniqueIDentifier

IDR身份解析IDentityResolving

IOS标识对象存储IdentityObjectStorage

IoT物联网InternetofThings

IR-FC身份解析的功能组件FunctionalComponentofIdentityResolution

ITS智能交通系统IntelligentTransportationSystem

PII个人验证信息PersonalIdentifyingInformation

PKI公钥基础设施PublicKeyInfrastructure

PM-FC策略管理的功能组件FunctionalComponentofPolicyManagement

URI统一资源标识UniformResourceIdentifier

URL统一资源定位器UniformResourceLocator

5基于区块链的物联网设备标识与认证系统概述

5.1基于区块链的物联网设备标识与认证系统的概念

基于区块链的物联网设备标识与认证系统（BIAS）是一个功能实体，它帮助物联网业务和物联网

设备集成和访问由多个物联网标识管理系统提供的物联网标识识别和认证功能。BIAS可以充当桥

梁，物联网设备和业务可以通过BIAS在去中心化环境中相互识别和认证，即使它们使用不同的去中心

化物联网标识解决方案。区块链的优点是为物联网实体标识和BIAS中的模型提供安全和可信的存储，

保证物联网标识和BIAS模型不可篡改，提高数据和模型的安全性。

BIAS在物联网业务和物联网设备之间建立了一种去中心化的合作模式，这种合作模式可能由相同

或不同的服务方提供（如图1所示）。物联网设备和物联网业务可以各自从其服务方处获取标识和相应

的标识对象（见附录B），也可以自行创建标识和相应的标识对象再由服务方进行背书。通过BIAS，

物联网设备和物联网业务在去中心化系统中存储已背书的标识，并将对应的标识对象存储在云中。存

储在云中的标识对象由其所有者（例如物联网设备或物联网业务）加密，并且能够连接存储在去中心

化系统中的标识。

3

YD/T×××××—××××

存储标识存储标识对象

去中心化系统云

存储

提供服务

BIAS

标识背书

认证系统

物联网业务

物联网网关

物联网设备（不受限）

图例:

认证

识别物联网设备（受限）

图1BIAS概述

当物联网设备申请接入物联网业务，或物联网业务申请连接物联网设备时，通过BIAS，物联网业

务和物联网设备认证存储在去中心化系统中的标识，并检索存储在云上的对应标识对象。

物联网业务和物联网设备可以直接通过已背书的标识和相应的标识对象相互识别和认证，即使它

们使用不同类型的标识识别解决方案。

注1：附录A提供了两个BIAS的用例，具体说明了利用BIAS促进一个物联网设备访问由一个业务运营商部署的

物联网业务（见附录A.1）和利用BIAS促进一个物联网设备访问由多个业务运营商部署的物联网业务（见附录A.2）。

注2：附录C提供了BIAS的业务角色和模型的参考信息，具体说明了物联网实体（如物联网设备、物联网业

务、认证系统、去中心化系统、云和BIAS）在去中心化环境中提供标识和认证服务。

注3：服务方可以使用相关的认证系统（如图1所示）为物联网设备和物联网业务提供标识背书服务。通常，如

果使用PKI安全机制，认证系统可以通过服务方的私钥对相关标识进行签名。

注:4：物联网实体标识背书的解决方案不在本文件范围内。

5.2物联网设备标识和标识对象

一个物联网实体的身份由一个或多个标识和一个对应的标识对象组成。标识是一个唯一的字符串

（如URI、GUID或其他类型的唯一表达式），标识对象包含更多的详细信息以支持物联网实体的识别

和认证。

附录B提供了更多关于标识、标识包和标识对象的参考信息。

5.3基于区块链的物联网设备标识认证系统融合认证和识别功能

5.3.1创建、认证和注册物联网设备标识和标识对象

4

YD/T×××××—××××

物联网实体可以自己创建标识，并申请由其服务方或所有者证明。或者，服务方或所有者的认证

系统直接为物联网实体创建和认证标识，然后通过安全的通信方式将标识推送到物联网实体（见

5.1）。

图2给出了创建、认证和注册物联网设备标识和标识对象的参考步骤：

a）物联网实体创建标识和标识对象；

b）物联网实体向认证系统申请认证实体的标识和对应的标识对象；

c）物联网实体在BIAS中注册认证后的标识和对应的标识对象；

d）通过BIAS，物联网实体的标识可以存储在去中心化系统中，相应的标识对象可以存储在云中

（或者按照所有者的要求存储在去中心化系统中）。去中心化系统存储的物联网设备标识和

云存储的标识对象是可以连接起来的，使用其中一个就可以找到另外一个（见附录B）。

a)创建标识和标识对象

去中心化系统

物联网设备

c)注册标识和对应的标识对象

（物联网网关）

d.1)存储标识连接标识和对应的

标识对象

BIAS

物联网业务

d.2)存储对应的标识对象

b)申请认证标识和对应的标认证系统云存储

识对象

图2创建、认证和注册物联网设备标识和标识对象

5.3.2检索、识别和验证物联网设备标识和标识对象

当物联网设备申请访问物联网业务时，图3给出了检索、识别和验证物联网设备标识和标识对象的

参考步骤：

a）物联网实体向BIAS申请检索标识和标识对象；

b）物联网设备和业务可以通过BIAS在去中心化系统和云中检索对方的标识和标识对象，还可以

直接下载设备标识和标识对象的背书信息；

c）借助BIAS，物联网设备和业务之间可以直接相互识别和认证，无需借助传统的识别和认证系

统。物联网设备和物联网业务可以根据标识对象中提供的信息，在需要时访问相关的认证系

统以验证背书。

在这种情况下，在BIAS中，IoT设备和业务可以使用相同或不同类型的去中心化标识解决方案和

标识认证解决方案。

5

YD/T×××××—××××

去中心化系统

物联网设备

（物联网网关）a)检索经过证明的物联网

设备的标识和标识对象

连接标识和对应的

b.1)检索标识标识对象

c)互相识别和认证BIAS

b.2)检索对应的标识对象

a)检索经过认证的标识和

标识对象

物联网业务

云存储

b.3)验证证明情

况验证系统

图3检索、识别和验证物联网设备标识和标识对象

物联网实体的标识和相应的标识对象可以一起存储在去中心化系统或云中。物联网设备和业务决

定如何存储它们的标识和相应的标识对象。

注1：BIAS与不同类型的IoT标识识别解决方案（例如W3CDID[b-W3C-DID]）兼容，并且可以连接到去中心化系统

（例如，区块链平台或分布式账本系统）。

注2：BIAS与不同类型的标识验证解决方案兼容。当对方获得已认证的标识和标识对象时，它们可以协商标识和认

证解决方案，并在BIAS的支持下直接相互认证标识。

注3：BIAS可以使用不同的解决方案来认证物联网设备标识和标识对象。当物联网设备和业务获得被认证的数据

时，它们应与认证系统交换信息以验证相关认证信息。

6BIAS的特征与需求

6.1共性特征

6.1.1支持物联网设备标识和标识对象自解析

物联网实体标识和标识对象均支持自解析。当物联网设备和业务相互交互时，通过被认证的标识

和标识对象，任何一方都可以识别和认证对方。BIAS支持IoT实体管理（包括创建、证明、存储、检

索、更新、吊销等）并交换物联网设备标识和标识对象。

6.1.2在去中心化环境中支持独立的端到端标识和认证

传统的物联网实体的识别和认证操作由相关的中心化或去中心化系统执行。借助BIAS，物联网实

体可以执行独立的端到端标识和标识认证服务。标识和标识对象包含足够的信息能够标识和认证实

体。

BIAS在相关系统的协助下，确保物联网实体标识和相应标识对象的真实性、完整性、合规性和一

致性，防止它们在去中心化的环境中被非法篡改和恶意使用。

6

YD/T×××××—××××

6.1.3支持物联网设备标识和标识对象的可控存储

在BIAS中，物联网实体的所有者决定如何存储标识和标识对象。通常，物联网实体的标识和标识

对象可以分别存储，标识存储在去中心化系统中，相应的标识对象可以根据所有者的要求存储在去中

心化系统、云或实体中（见附录B）。

物联网设备或业务的标识和标识对象的分离存储机制可以发挥以下优势：

─允许一个物联网实体拥有多个标识，其中一个是主标识，其他是别名。主标识与其对应的标

识对象一一对应存储。标识的别名可以存储在去中心化系统、云或实体中。通过任何可用的

别名，可以找到和检索主标识和相应的标识对象。如果需要，所有者或服务方可以将标识的

别名过期并设置为不可用。

─支持用户可控存储标识对象。物联网设备标识对象可以存储在云中，并可以通过特定的访问

权限进行保护。

─支持撤销物联网设备标识和标识对象。由于在去中心化系统中只存储标识的别名，而相应的

标识对象是可控存储的，因此很容易被撤回，例如在去中心化系统中设置别名过期以及设置

相应的标识对象无法访问。

注：如果物联网实体标识和标识对象一同存储在去中心化的系统中，在这种情况下，物联网实体标识对象可能由

多个实体存储，这可能带来标识对象中的敏感数据被泄漏并被恶意使用的潜在风险。

6.1.4支持标识的线上线下背书

物联网设备或业务的标识和标识对象由其所有者或服务方的认证系统进行背书。经过背书后，用

于标识和认证的信息以及认证系统的信息将存储在相应的标识对象中。标识对象中的信息足以用于识

别和认证物联网实体。认证系统通常是以离线方式对标识和相应的标识对象进行背书，但是认证系统

也可以根据要求提供在线服务来进行背书。

6.1.5支持多种标识认证方案

物联网设备和业务可以使用相同或不同的标识和标识认证解决方案。当物联网实体相互识别和认

证时，如果它们使用不同的识别和认证解决方案，它们可以通过BIAS直接交换相关的必要信息。

6.2系统要求

6.2.1标识和标识对象自解析

BIAS应支持IoT实体的标识和相应的标识对象自解析；应支持IoT实体合法合规管理（包括创

建、证明、存储、检索、更新、撤销等）和交换它们的标识和标识对象。

6.2.2独立的端到端识别和认证

BIAS应支持物联网实体能够独立执行端到端识别和认证；应确保物联网设备或业务的标识和相应

标识对象的真实性、完整性、合规性和一致性，并防止它们在去中心化环境中被非法篡改和恶意使

用。

6.2.3标识和相应标识对象的可控存储

BIAS应支持标识和相应标识对象的可控存储，具体要求如下：

─使物联网设备和业务合法合规的控制标识和相应标识对象的存储，例如前者存储在去中心化

系统中，后者存储在云中。

7

YD/T×××××—××××

─如果标识和相应的标识对象分别存储在不同的系统中，BIAS应提供连接机制。

6.2.4标识的线上线下背书

BIAS应支持标识的线上线下背书，具体要求如下：

─应支持物联网实体标识和标识对象由相关所有者或服务方的认证系统进行背书。

─应支持认证系统离线或在线认证标识和相应的标识对象。

6.2.5多种标识认证方案

BIAS应支持物联网设备和业务使用相同或不同的识别和认证解决方案。

6.2.6同步和可扩展性

BIAS应提供可扩展性和同步机制，以支持可变数量的物联网设备和业务。

6.2.7安全保护和隐私保护

BIAS应在处理（如存储、传输、证明等）标识和相应的标识对象时提供安全机制和PII保护机

制。

6.2.8支持商用密码算法

BIAS应支持国家密码管理局认定公布的一系列商用密码算法，如SM2、SM3、SM4等。

7基于区块链的物联网设备标识和认证系统的参考架构

7.1基于区块链的物联网设备标识和认证系统参考架构概述

BIAS为物联网实体提供融合的标识识别和认证服务。BIAS能够集成和访问由多个物联网标识管理

系统提供的物联网标识识别和认证的功能。图4给出了基于区块链的物联网设备标识和认证系统的参考

架构示意图。

8

YD/T×××××—××××

标识背书标识存储（标识对象可选）标识对象存储

认证系统去中心化系统云

标识对象存储代

标识解析代理

理

BIAS标识解析认证管理策略管理

业务代理设备代理

R1R2R2

IoT网关

IoT业务

图例:

识别物联网设备（不受限）物联网设备（受限）

认证

图4BIAS参考架构

BIAS包括三组逻辑功能组件(FC)用于与认证和存储系统的交互，标识解析和标识认证的管理以

及与物联网设备和系统的连接，包括：

a）第一组FC包括标识解析(IDR)代理和标识对象存储(IOS)代理；

b）第二组FC包括标识解析（IR-FC）、认证管理（AM-FC）和策略管理（PM-FC）；

c）第三组FC包括业务代理和设备代理。

BIAS公开了一组与物联网设备和业务交互的参考点，包括：用于物联网业务处理标识的R1、用

于物联网设备处理标识的R2。

注1：业务代理可以部署在物联网业务中，设备代理可以部署在物联网设备或物联网网关中。

注2：IDR代理连接不同类型的去中心化系统以存储标识，IOS代理连接不同类型的云以存储相应的标识对象。

本文件未指定BIAS与认证系统、去中心化存储系统和云交互的参考点。

7.2标识解析代理（IDRagent）

BIAS的IDR代理与去中心化系统和云进行交互，提供与IoT标识解析相关的能力，如下所示：

─连接认证系统对物联网实体的标识进行背书，并在线或离线验证物联网实体标识的背书信

息；

─根据物联网实体的相关政策，支持物联网实体的标识解析和认证服务。

注：端到端身份解析和认证的功能在物联网实体中执行。

7.3标识对象存储代理（IOSagent）

BIAS的IOS代理与去中心化系统和云交互，提供与IoT标识存储相关的功能，如下所示：

9

YD/T×××××—××××

─连接去中心化系统以存储和检索物联网实体的标识，并根据物联网实体的相关政策选择性地

存储相应的标识对象；

─连接中心化系统（例如云）可选择性地存储和检索物联网实体的标识，并根据物联网实体的

相关策略存储相应的标识对象；

─根据物联网实体的相关政策，连接去中心化系统和云，以保持物联网实体的标识与其对应的

标识对象的连接；

─如果物联网实体使用不同的识别和认证解决方案，根据物联网实体的相关政策，连接去中心

化系统或云来存储和检索用于识别和认证物联网实体的模块。

注：去中心化系统和云为物联网实体提供数据同步和可扩展性机制。

7.4标识解析的功能组件(IR-FC)

BIAS的IR-FC提供了与标识解析相关的能力，如下：

─支持物联网实体根据物联网设备、业务和BIAS的相关政策注册、注销和撤销标识和相应的标

识对象；

─支持物联网实体通过标识和相应的标识对象相互识别；

─支持物联网实体在使用不同的识别解决方案时交换识别模块。

7.5认证管理的功能组件（AM-FC）

BIAS的AM-FC提供了与认证管理相关的能力，如下：

─支持物联网实体根据相关政策管理其标识和相应的标识对象以进行标识认证服务；

─支持物联网实体使用它们的标识和相应的标识对象相互认证；

─如果物联网实体使用不同的标识认证解决方案，支持它们交换标识认证模块。

7.6策略管理的功能组件（PM-FC）

BIAS的PM-FC提供了与策略管理相关的能力，如下：

─支持物联网实体管理与其标识和相应标识对象相关的策略，例如存储位置、如何解析标识以

及如何相互认证；

─根据物联网实体与BIAS的相关政策，对用于物联网业务和设备之间识别和认证的数据和服

务进行访问控制。

7.7业务代理

BIAS的业务代理与物联网业务交互，提供标识认证相关的能力，具体如下：

─支持物联网业务根据BIAS的政策管理（如创建、证明、验证、存储、交换、注册、注销、

撤销等）其标识和相应的标识对象；

─支持物联网业务管理与其标识和标识对象相关的策略，例如存储位置、如何解析标识以及如

何相互认证；

─根据物联网实体与BIAS的相关政策，支持物联网业务通过其标识和相应的标识对象端到端

地识别和认证物联网设备。

BIAS应支持多种业务代理，提供可扩展性和数据同步能力，为海量物联网业务提供服务。其中，

一个业务代理可以为一项或多项物联网业务提供服务，也可以支持不同的连接和通信技术。

注：特定地区的监管机构可能要求该地区的公民和企业的数据存储在该地区。BIAS的服务代理应遵守当地数据法

规。

10

YD/T×××××—××××

7.8设备代理

BIAS的设备代理与物联网设备交互，提供标识认证相关的能力，如下：

─支持物联网设备根据BIAS的政策管理（如创建、证明、验证、存储、交换、注册、注销、

撤销等）其标识和相应的标识对象；

─支持物联网设备管理与其标识和相应标识对象相关的策略，例如存储位置、如何解析标识以

及如何相互验证；

─支持物联网设备根据物联网实体以及BIAS的相关政策，通过使用其标识和相应的标识对象

端到端地识别和认证物联网业务。

注：特定地区的监管机构可能要求该地区的公民和企业的数据存储在该地区。BIAS的设备代理应遵守当地数据法

规。

7.9外部系统

7.9.1认证系统

存在由相同或不同服务方部署的一个或多个认证系统。认证系统提供认证物联网实体标识和相应

标识对象的能力。如下：

─应接收和认证物联网实体的标识。

─应选择为物联网实体创建和认证身份。

─应支持用于识别和认证物联网实体的模块。

─应支持在线或离线验证标识和模块，以识别和认证物联网实体。

注：通常认证系统在为物联网实体的标识背书时，可以根据预先定义的策略和该标识对应的标识对象的内容生成

摘要，然后根据预先定义的认证策略对摘要进行数字签名（例如使用其私钥对摘要进行加密）。本文件没有规定认证

系统以及如何认证物联网实体的身份。

7.9.2去中心化系统

存在由相同或不同服务方部署的一个或多个去中心化系统。去中心化系统提供与标识存储相关的

能力，如下：

─根据物联网实体和BIAS的请求，为物联网实体的标识和/或相应的标识对象提供存储。

─根据物联网实体和BIAS的要求，可选地为物联网实体的识别和认证模块提供存储。

注：去中心化系统（如分布式存储和区块链）的优点是为标识和BIAS模块提供安全和可信的存储，用于物联网实

体标识和认证。去中心化系统不在本文件范围内。

7.9.3云

存在由相同或不同服务方部署的一个或多个云。云提供了存储相关的能力，如下：

─根据物联网实体和BIAS的要求，为物联网实体的标识和/或相应的标识对象提供存储。

─根据物联网实体和BIAS的要求，可选地为物联网实体提供识别和认证模块的存储。

注：通常，物联网实体的相应标识对象存储在云端，物联网实体的标识、BIAS模块存储在去中心化系统中。物联

网实体决定在哪里以及如何存储他们的标识、标识对象和认证模块。云不在本文件范围内。

7.9.4物联网业务、物联网设备和物联网网关

IoT实体连接到BIAS以管理它们的标识、相应的标识对象以及用于识别和认证的模块。IoT业务

和IoT设备通过使用它们的标识和相应的标识对象端到端地识别和认证。

11

YD/T×××××—××××

物联网网关服务于受限物联网设备，代表受限物联网设备和标识与认证系统进行通信。

7.10参考点

BIAS的参考点R1和R2支持物联网实体：

─创建并请求对其标识进行背书，并请求验证对其标识的背书；

─可选地，创建并请求背书识别和认证模块，并请求验证其识别和认证模块的背书；

─制定管理标识以及物联网实体识别和认证模块的政策；

─在去中心化系统和/或云中存储、检索和交换标识和相应的标识对象；

─可选地，在去中心化系统和/或云