ICS33.030 CCS M21 YD 中华人民共和国通信行业标准 YD/T XXXXX—XXXX 面向公共通信业务体验的异构算力可信认 证技术要求 Technical requirements for trusted authentication of heterogeneous computing power for public communication service experience 报批稿 XXXX - XX - XX 发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布 YD/T XXXXX—XXXX 目 次 前言 II 1 范围 2 规范性引用文件 术语和定义 3 缩略语 5 概述 6 总体功能架构 7面向公共通信网络业务体验的可信算力注册要求 7.1概述... 7.2可信算力注册要求 8面向公共通信网络业务体验的可信算力证书管理要求 8.1概述... 8.2算力证书管理要求 9面向公共通信网络业务体验的可信算力鉴权要求 9.1概述 可信算力鉴权要求. 9.2 10算力全生命周期管理 10.1概述. 10.2算力全生命周期管理要求 11算力网络认证技术要求 11.1安全性要求 11.2性能要求 12服务流程， 12.1算力资源管理与认证 12.2算力资源鉴权， XXXX—XXXXX 1/△ 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国联合网络通信集团有限公司、浪潮通信信息系统有限公司、浪潮通信技术有 限公司、鹏城实验室、哈尔滨工业大学、中国信息通信研究院、中国移动通信集团有限公司、中国电信 集团有限公司、中信科移动通信技术股份有限公司。 本文件主要起草人：张岩、曹畅、王施雾、沈林江、崔超、张维、许俊东、杨熔玮、张宇、张伟哲、 王紫程、李晓华、王超、童俊杰，刘千仞、贾雪琴、马力俊、刘永生、杨玮、张宇、张伟哲、杨洋、 谭跃、曹云飞、王立文。 II XXXX—XXXXX 1/△ 面向公共通信业务体验的异构算力可信认证技术要求 1范围 本文件规定了面向公共通信业务体验的异构算力可信认证总体架构和技术要求，包括算力注册要求、 证书管理要求、算力鉴权要求等。 本文件适用于异构算力的统一纳管过程中的认证，指导算力可信认证系统全生命周期的管理和认证 服务流程。 2规范性引用文件 本文件没有规范性引用文件。 3术语和定义 下列术语和定义适用于本文件。 3. 1 算力可信认证computingpowerauthentication 通过一系列标准化的评估和验证流程，确保算力资源的可靠性、安全性和有效性。 3. 2 算力注册computingpowerregistration 将算力资源的信息进行登记和管理的过程。 3. 3 算力一致性校验computingpowerconsistencycheck 算力资源的接入、使用和管理过程中，对算力资源信息进行验证，以确保数据的一致性。 3. 4 算力鉴权computingpowercertification 确保算力资源和算力使用过程中安全性、可靠性和有效性的一种认证机制过程。 3. 5 算力全生命周期管理 computingpowerfulllifecyclemanagement 算力资源全生命周期管理是指对算力资源从接入、上线、配置、使用、维护、变更、注销、信息管 理的整个生命周期进行系统化、精细化管理的过程。 3. 6 算力异常检测 computing power anomaly detection 算力资源的使用和管理过程中，识别和定位偏离正常行为模式或性能指标的事件或数据点 4缩略语 下列缩略语适用于本文件。 IP：互联网协议（InternetProtocol） MAC：介质访问控制（MediumAccessControl） SSL：安全套阶层（SecureSocketLayer） TLS：传输层安全协议（TransportLayerSecurity） 5概述 面向公共通信业务体验的异构算力可信认证平台是一个跨云边端的、集异构算力资源接入、算力认 证、管理和安全保障于一体的综合性系统。对不同供应商和架构的算力进行统一的可信认证，实现对来 YD/T XXXXX—XXXX 自不同供应商、不同技术架构的算力资源的接入、注册、安全认证和鉴权。平台能够实时感知算力资源 的状态和服务质量，并对算力开展持续的信任度评估，及时发现和处理潜在的安全风险。 6总体功能架构 面向公共通信业务体验的异构算力可信认证总体架构如图1所示，异构算力可信认证架构旨在实现 对云边端侧的各类型算力资源进行高效管理和持续可信认证。主要包括算力注册、算力资源全生命周期 管理、算力统一证书管理、动态鉴权等功能，确保了算力资源的可信接入和管理。算力注册模块根据用 户注册请求信息，采集算力节点信息，通过校验后完成算力的注册。算力统一证书管理模块负责异构算 力证书的申请、签发、校验、管理等。算力资源全生命周期管理模块负责对认证通过的算力执行算力上 线、算力变更、算力注销、信息管理等操作。算力动态鉴权模块负责对算力的信任度进行持续评估，及 时发现和处理潜在的安全风险，支撑收集和分析算力运行的数据，实时评估信任级别并进行动态的权限 调整，在每次算力服务前对算力进行证书与信息校验。架构通过接口开放层给上层系统/用户提供安全 可靠的异构算力资源使用，实现异构算力在可信认证环境下安全有效的对外提供服务。 接口开放 个 个 个 算力资源全生命周期管理 算力统一证书管理 动态鉴权 上线配置 信息管理 基本管理 类型管理 安全管理 实时监测 持续评估 策略更新 个 个 个 算力注册 信息验证 证书申请 注册更新 标识申请 个 个 个 端算力认证 边缘算力认证 云侧算力认证 算力 算力 算力 算力 算力 算力 容器型 虚机型 容器型 虚机型 容器型 虚机型 算力 算力 算力 物理机型 物理机型 物理机型 图1面向公共通信业务体验的异构算力可信认证总体架构 7 面向公共通信网络业务体验的可信算力注册要求 7.1概述 算力注册主要完成云边端异构计算资源的采集、验证和认证。根据用户算力注册请求信息，采集算 力节点信息，完成算力证书的申请和更新的请求操作，实现云边端异构算力向算力网络可信认证平台申 请、更新算力证书的业务。同时，算力注册将信息发送给算力标识系统，请求对应的算力标识。通过算 力注册，实现异构算力资源的统一接入与认证管理。 7.2可信算力注册要求 可信算力注册要求包括： 2 XXXX—XXXXX1/0 a): 算力注册信息要求：算力注册所需要包含的基本信息应包括用户归属方信息、算力连接信息、 位置、架构信息等（算力标识信息）。且能够应根据信息上下文对算力注册信息进行补全； b) 算力节点信息验证要求：根据用户提交的注册信息，算力注册模块应验证算力资源基本信息 是否符合要求，验证设备的连通性以及实际数据是否与注册信息一致，并给出能否通过校验 的响应； c) 算力数字证书申请要求：当算力通过验证后，应将算力相关信息提交给证书管理中心申请数 字证书； d) 算力注册更新要求：平台收到算力更新请求后，应对变更后的算力进行校验和再认证，通过 校验认证后，完成信息变更等操作，并通知证书管理中心进行证书更新的操作； e) 算力标识申请要求：当算力通过验证后，平台将算力相关信息发送给标识系统，请求获得对 应算力的标识信息，并将标识信息与数字证书进行关联。 8面向公共通信网络业务体验的可信算力证书管理要求 8.1概述 算力证书管理模块在异构算力可信认证平台中支持异构算力证书的签发、更新、吊销，以及对证书 进行全生命周期管理的功能。当异构算力资源通过验证后，算力证书管理模块应签发一个可信的算力证 书给算力资源，作为其可信性的凭证。算力证书管理模块应定期或根据请求，对算力资源进行重新评估， 并更新算力证书，以确保其反映最新的信息状态。算力证书管理模块还应对证书的生命周期进行管理 包括证书的生成、存储、分发、撤销和过期处理等，确保算力证书的有效性和可信度，防止未授权的证 书使用和伪造、证书泄露或丢失等问题。 8.2算力证书管理要求 算力证书管理要求包括： a) 证书管理模块功能要求：平台应对完成注册认证的算力签发对应的可信算力证书。当接收到 算力资源使用已有的、尚未过期的算力证书对平台更新证书请求时，应对符合条件要求的请 求进行算力证书的更新。对于出现安全异常、信息篡改伪造、注册信息过期的算力资源，应 及时吊销相关的算力证书； b) 证书基本管理要求：平台应对证书有效期进行管理，管理证书适用的时间范围。对证书适用 范围进行管理，管理算力证书所适用的范围。对证书权限管理，规定并管理能够签发的证书 种类和证书权限； 证书类型管理要求：平台应从部署位置角度对算力类型进行区分，应包括云侧算力、边侧算 c) 力、端侧算力类型；从算力形式上进行区分，应包括容器型算力、虚机类型算力、物理机算 力等管理类别；从计算类型上进行区分，应包括智算、超算和通算； (P 证书安全管理要求：平台应支持对算力证书的完整性保护，防止被伪造、篡改、泄露、丢失， 应保证证书在存储过程中的完整性。证书申请方应执行证书一致性检查，只有通过证书一致性 检查后才能向发送证书申请。 9面向公共通信网络业务体验的可信算力鉴权要求 9.1概述 可信算力鉴权对算力的信任度进行持续评估，及时发现和处理潜在的安全风险，确