习时强调“高质量发展需要新的生产力理论来指导”。传统的 ISO/OSI 等经典网络理论，虽然涵盖了联网设备之间，从物理连接、 数据传输、会话管理到应用服务的完整通信功能，但并未纳入网络用 户交互所需的身份识别、行为交互、数据解析等能力。针对当前互联 网在数据互联互通中面临的架构性与基础性瓶颈，本白皮书在参考借 鉴 OSI 网络七层模型的基础上，通过在网络传输层之上构建新型互 联协议，提出一种面向 七层模型虽然涵盖了物理连接、数据传 输、会话管理到应用服务的完整通信流程，但是受限于领域特定数据与网络公用 性的矛盾问题，传统的 ISO、TCP/IP 等经典网络理论主要定位在异构网络通信 层面，数据互联所需的身份识别、行为交互、数据语义解析等需求被当做应用层 问题由“客户端-平台（服务器）”交互模型解决。 2) 缺乏对数据的合理抽象 OSI 七层模型主要针对异构网络互联，这使得当前网络基础设施主要面向" 构互联网基础架构，实现去中心化的数字生态”。与 Web1.0（只读）、Web2.0 （读写+中心化平台）相比，Web3 强调： 面向 Web3.0 的数字实体互联白皮书 14 - 用户主权：个人拥有数据、身份和资产的完全控制权 - 去中心化协议：以区块链替代传统中心化平台作为信任基础 - 通证经济：通过加密货币和智能合约实现价值网络化 以太坊联合创始人 Gavin Wood 在 2014 年首次提出

数字经济进入快速发展的关键阶段，数字技术创新持续取得突破。与此同时， 身份信息泄露、数据算法歧视、数字资产被盗等难题也日益凸显，亟需通过数 字可信技术来解决。 中国移动作为网信领域的排头兵，积极响应国家战略，勇担新质生产力国 家队职责，携手产业上下游合作伙伴，大力建设基于区块链技术的电信级开放 可信基础设施，加力推进制定“统一目录标识、统一身份登记、统一接口要求” 的标准规范，着力构建支持“多主体、多平台、多领域、多应用”的数据要素 用”的数据要素 流通新范式，合力打造数字可信新生态。 本白皮书阐述了数字可信内涵和外延，以及其作为数字经济基础的重要性， 并构建了包含区块链、身份、数据、资产、治理监管的数字可信技术体系。通 过典型实践案例，展示了数字可信在金融、AI、数字身份、农商、医疗、司法、 文旅、贸易等领域的应用价值。最后，提出了共建数字可信生态的倡议和行动 建议，旨在推动数字经济高质量发展。 数字可信是人类 .............................. 20 3.3 数字可信服务体系 ........................................ 21 3.3.1 身份可信 ............................................21 3.3.2 可信数据 .....................................

白皮书深入探讨了联盟网络的架构设计，提出了具体的设计思路与新增功能 模块，并结合不同类型的网络给出了详细的设计示例。联盟网络的整体架构设计 着重于多主体网络互联、灵活资源和能力共享、可信权益保障、跨域安全和身份 管理以及智能化网络管理，确保网络的高效、灵活与安全运行。新增的四类功能 单元——业务单元、联盟单元、可信单元和智能体单元，协同工作，共同实现联 盟网络的核心功能与价值。 在支撑技术方面，白 管道和被连接者，需要具备 为其他网络提供管道和接受其他网络管道服务的能力。这具体体现在网络的功能 设计中，设计实现联盟网络重点在于： 一、多主体网络互联：通过联盟网络协议（例如服务注册、发现、身份认证、 安全协议等），使多个独立运营的网络（不同运营商、行业专网、私有网络）能 够在受控环境下互通。 二、灵活资源和能力共享：通过网络的开放和管理（例如对内资源能力统一 管理和对外自定义服务 管理和对外自定义服务）实现共享，降低单一网络的负载，并提升跨行业应用的 性能。 三、可信权益保障：通过广义 QoS 质量机制及多方见证技术实现共享与权益 的精确对应，保障资源能力流转的顺利进行。 四、跨域安全和身份管理：基于分布式身份（如去中心化身份（DID））和 分布式账本技术（DLT，如区块链），实现联盟网络中的安全认证与信任机制。 五、智能化网络管理：采用 AI 驱动的自主网络，结合智能体架构（AI Agents），

中国移动通信集团设计院有限公司规划所副所长 杨 林 中关村安信网络身份认证产业联盟副理事长兼秘 书长 姚辉亚 深圳前海微众银行股份有限公司数字金融发展部 负责人 成员： 国家信息中心：马潮江、王丹丹、陈栩、戴彧、涂菲菲、 徐凌验、张岳 中国移动通信集团设计院有限公司：郎晓夫、尚茹南、洪 子鸣 北京红枣科技有限公司：刘国栋、马晓军 中关村安信网络身份认证产业联盟：郝久月、国伟、蔡国 城、李頔、吴瑶 产 和居民生活提供公共数据流通利用服务，属于数据基础设施范 畴。 “可信”是可信数据空间的关键特征，分别体现为用户身份可 信、数据流通可信、收益机制可信。 “用户身份可信”是整个体系的基石，通过严格的身份验证与 信用评估机制，确保参与可信数据空间活动的用户身份真实、 行为合规，营造安全可靠的数据交互环境，让用户放心参与数 据的共享与协作。 “数据流通可信”是数据在可信数据空间内安全有序流通的根 一是作为数据流通交互平台。不同机构之间的数据资源往 往存在差异，且由于数据安全、隐私保护等原因，机构之间的 数据共享、交互、交易面临诸多困难。可信数据空间通过区块 链等技术手段，建立一套共识规则和安全可靠的身份认证、访 问控制机制，确保数据的真实性、完整性和不可篡改性，同时 明确数据的持有权和使用权，为数据资源的交互双方提供了一 个安全、可靠的环境，实现不同主体之间数据的安全、便捷共 享和交互。

BIM工程管理、BIM运维管理 GIS地图叠加各类数据 大数据分析 云和网络资源 云网一体化、物联网 建筑行业大数据 01 需求分析 1.3 人员管控 1 2 3 4 • 进出工地人员的 身份实名制管理 • 进出工地人员 的权限控制 • 施工现场人员 的行为管控 • 施工现场人员 的安全管控 01 需求分析 1.4 车辆管控 工地进出车辆 需求分析 1.8 管理决策 n 为监管部门管理决策提供数据支撑 • 工地现场情况及时采集和分析 • 数据汇总，形成多维图表 02 解决思路 02 解决目标 人员身份 工程管理 安全管理 • 实现工地进出人员的 身份有效识别，管控 人员进出； • 分析工地人员的进出 情况； • 实现工地现场人员身 份实名制，保证信息 的唯一性、准确性。 • 实现对工地内部人 员工作情况的智能 人员 进出 闸机 管控 身份 注册 工地门口 智慧工地云平台 短信报警 人员活动 微信通知 视频 监控 03 智慧工地解决方案 人员管理 人员安全培训 人员实名制管理 人脸识别技术 工地出入口管理 03 智慧工地解决方案 3.2 劳务实名制 n 人脸识别技术 • 主要功能：采用先进的人脸识别技 术，在工地大门口，对出入工地的 人员身份进行验证。 • 效益分析：人脸识别技术是非接触

保障能力；在存储场景中，通过机 密存储技术实现数据静态与传输中的端到端保护；在云场景中，依托擎天架构，提供了高安全、 强隔离的机密计算环境。同时，HCIST 通过远程证明与安全验证机制，确保平台身份与运行环境 的真实可信。未来，华为将继续深化异构硬件级保护、跨设备安全通道协议及合规框架的研发， 推动算力基础设施向更安全、更高效的方向演进。 HCIST 将能够帮助数字化运营企业更好的将“ Storage）新理念，旨在从硬件层面构建可 信根基，依托硬件身份、链路加密、双层认证和数据直通等核心技术，形成覆盖全链路的数据安全 体系。该方案面向存算分离与智能存储深度融合的架构，不仅有效降低了跨节点、跨网络传输所带 来的安全风险，还实现了高安全和高性能的兼顾。 在云安全方面，华为云基于擎天（Qingtian）架构构建了物理隔离、安全启动、硬件身份证明等机 制，防御云平台内部威胁。擎天 Enclave 够显著降低内存残留风险。此外，昇腾 NPU TEE 基于 NPU 上的可信根对其运行的系统和软件执行严格的可信启动与远程证明，生成代表 NPU 身份和安全状态的度量报告，确保运行在可信域上的软件栈没有被恶意篡改，保证算力底座的 完整性和平台身份的真实性。 需要强调的是，昇腾平台的上述保护机制对主流 AI 框架（如 PyTorch、vLLM 等）实现兼容，无需 修改模型结构或业务逻辑。这一特性极大降低了可信

... 17 6.1 身份与访问安全 ....................................................................................................................................................... 17 6.1.1 身份管理 ........... ....... 56 7.10.1 统一身份认证服务（IAM） ............................................................................................................................... 56 7.10.2 应用身份管理服务（OneAccess） ...... 和环境安全管理，物理服 务器和网络设备的管理。 华为云主要负责开发和运营其数据中心的物理基础设施，提供的 IaaS、PaaS 和 SaaS 服 务，以及各种服务的内置安全功能。华为云除了提供跨层身份认证（IAM）功能外， 还负责构建纵深防御的多层防护体系，覆盖物理层、基础设施层、平台层、应用层和 数据层。同时，还能保证运维的安全。 租户在华为云上订购的虚拟网络、平台、应用、数据、管理、安全等云服务，主要负

全管理平台、网络型流量控制产品、负载均衡产品、抗拒绝服务攻击产品、终端接入控制产品、 USB 移动存储介质管理系统、文件加密产品、数据泄露防护产品、安全配置检查产品、运维安 全管理产品、日志分析产品、身份鉴别产品、终端安全监测产品、电子文档安全管理产品等 19 类网络安全专用产品，其中每类产品均按企业名称首字母进行排序。 中国网络安全产业联盟 ..............................................................................................494 身份鉴别产品 北京数字认证股份有限公司................................................................................. 抗拒绝服务攻击产品 用于识别和拦截拒绝服务攻击、保障系统可用性的产品。 24 终端接入控制产品 提供对接入网络的终端进行访问控制功能的产品。 25 USB 移动存储介质管理 系统 对移动存储设备采取身份认证、访问控制、审计机制等管理手段 , 实现 移动存储设备与主机设备之间可信访问的产品。 26 文件加密产品 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的 产品。 27 数据泄露防护产品

平台，为实现“互联网+税务”奠定坚实的技术基础。 1.完善标准规范 税务移动安全信息化解决方案 - 3 - 税务总局制定核心业务系统的网上办税接口规范、数据标准，制定和发布 移动办税应用开发规范，统筹身份认证系统，发布标准接入规范。制定和发布 12366 系统、知识库、法规库、自助办税终端管理系统等技术标准和接口规 范。 各地税务机关在此基础上自主创新，开发和实现具有本地特色的互联网应 用产品，支持多种渠道调用和接入。 从终端自身计算环境入手，确保终端计算环境的可信，并且保障终端做为办公 资产的可管、可控。 2、接入用户不可信 由于移动终端的移动性，导致接入用户的不确定性，存在非法用户的非法 访问和用户的非法使用等安全隐患，所以需要采取严格的身份认证措施及分级 权限管理机制，确保接入用户的可信。 3、通信链路遭威胁 税务移动安全信息化解决方案 - 6 - 由于移动通信网络自身的开放性、脆弱性，使得信息在借助移动通信网络 传输过程 安全增强，构建了从芯片到应用的终端立体安全防护体系，打造了智能终 端可信安全运算环境；  系统基于 PKI 证书机制，结合 VPN、身份认证、密码等多种技术，融合移动 通讯、信息处理和计算机网络的最新的前沿技术，以专网和无线通讯技术 为依托，实现移动网络的安全接入、身份认证、信息加密传输，确保了数 据传输的安全问题；  系统以技术管理并重，通过提供统一管理服务，实现对安全移动智能终 端、核心关键网络设备实现统一管理与控制；

识别精度不足、跨域链路适配性差、意图感知协同性弱”三大挑战。 针对上述挑战，本白皮书创新性提出任务驱动式智能互联网络“敏捷意图 感知，快速目标确认，动态智能互联”的设计理念，以“任务”为锚点重 构互联逻辑，构建“终端身份识别、终端态势感知、端网任务协同、动态 群组创建、智能数据互通、跨网跨域融通”六大关键技术体系，形成从“任 务感知”到“链路构建”再到“协同互联”的全流程解决方案。最后，本 白皮书介绍了船船互 20 缩略语列表 5 16 5G-A 船船通专网实践 4 10 任务驱动式智能互联网络 10 10 11 4.1. 设计理念 4.2. 技术体系 4.3. 关键技术 4.3.1. 数字身份认证 4.3.2. 终端态势感知 4.3.3. 端网任务协同 4.3.4. 动态群组创建 4.3.5. 智能数据互通 4.3.6. 跨网跨域融通 11 12 12 12 13 14 商场 门口临时发起“远程泊车”意图（想通过手机 APP 控制车辆自动驶入地下车库），此时用户的手机 SIM 卡归属的运营商和车辆搭载的车联网卡分属不同运营商管理域，存在三重关键难题：一是跨域 身份认证难题；二是跨运营商资源调度延迟；三是目标网络归属难预判。 这对移动通信网络提出新的要求，需突破传统“单网、单域”的设计逻辑，构建“实时跨域资源调 度体系”，实现带宽、信道等资源的秒级分配和通信链路的搭建。