标准编号:T/IQA 31-2024
标准名称:去中心化软件标识技术要求
英文名称:Technical Requirements of Software Decentralized Identity
发布部门:中关村智联软件服务业质量创新联盟
起草单位:京东科技信息技术有限公司、工业和信息化部电子第五研究所、中国信息安全测评中心、中关村智联软件服务业质量创新联盟、北京奕斯伟计算技术股份有限公司、吉利汽车集团、麒麟软件有限公司、统信软件技术有限公司、苏州棱镜七彩信息科技有限公司、深圳市金蝶天燕云计算股份有限公司、深圳开源互联网安全技术有限公司、国民认证科技(重庆)有限公司、北京辰光融信技术有限公司、北京北大软件工程股份有限公司、北京人大金仓信息技术股份有限公司、北京万里红科技有限公司、武汉达梦数据库股份有限公司、北京神州新桥科技有限公司、全聚合数字技术有限公司、杭州云象网络技术有限公司、北京简单一点科技有限公司、天津南大通用数据技术股份有限公司、中信信托有限责任公司
标准状态:现行
发布日期:2024-06-28
实施日期:2024-06-29
标准格式:PDF
内容简介
1.1概述各种规模的组织都需要追踪其拥有和操作的软件,以执行用户支持、库存管理和有效安全防护有效。实现软件可跟踪性的核心是允许软件在其生产、分发、安装、运维生命周期各环节产生的信息相关联。目前,各软件生产方已在生产过程中应用唯一标识符UUID作为组织本身的认证标识,如URI(统一资源标识符)或其他UUID资源标记。但这类标识符往往由中心化权威机构发布,外部用户只允许在规定情况定向解析。这种不具备对公开、透明特性的标识,用户只能被动选择中心化认证机构,用户信认的标识数据会随着组织的失败而消失或失效,或者随着中心化网络攻击而造成数据泄露或数据恶意盗窃,即"身份盗窃"或中间人攻击事件。2022年,万维网联盟(W3C)发布《Decentralized Identifiers (DIDs) v1.0 (草案)》规范,公开了一种分布式标识算法。但这一规范在记录目标对象信息内容时,存在标识语义内容泛化问题,需要集中定义通信协议对象,并需要上链查找对应协议并获取原数据信息。
本文件面向软件生存周期领域,明确定义软件产品标识语义,并创新可配置自动化模板,可规范化实现单空间多语义表达,解决DID标识语义泛化问题。1.2目的本文件提供了去中心化软件标识技术的原则、内容、流程操作要点,旨在代码文件、软件包跨组织、跨生命周期的互认中规范使用分布式、去中心化软件标识技术。
本文件适用于采用区块链和去中心化软件标识技术,向社会公众提供软件生产可审计信息的生产者、审计机构与软件应用用户,为相关方技术和业务人员在生产、识别、存储、分发、验证软件标识中提供可操作指南。
本文件面向软件生存周期领域,明确定义软件产品标识语义,并创新可配置自动化模板,可规范化实现单空间多语义表达,解决DID标识语义泛化问题。1.2目的本文件提供了去中心化软件标识技术的原则、内容、流程操作要点,旨在代码文件、软件包跨组织、跨生命周期的互认中规范使用分布式、去中心化软件标识技术。
本文件适用于采用区块链和去中心化软件标识技术,向社会公众提供软件生产可审计信息的生产者、审计机构与软件应用用户,为相关方技术和业务人员在生产、识别、存储、分发、验证软件标识中提供可操作指南。
下载地址