T-CPRA 4000.7-2025 文化数据服务平台技术要求 第7部分：统一用户管理系统

ICS35.240CCSL70T/CPRA4000.7—2025TechnicalrequirementsforculturaldataservicPart7：Unifiedusermanagements2025-06-09发布中国公共关系协会文化大数据产业委员会发布I 2规范性引用文件 3术语、定义和缩略语 3.1术语和定义 3.2缩略语 44系统架构 45系统功能 55.1概述 56系统接口 66.1登录接口 67系统安全 77.1安全管理要求 77.2安全防护要求 77.3安全响应要求 7本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。T/CPRA4000《文化数据服务平台技术要求》分为9个部分：——第1部分：通用技术要求——第2部分：文化数据确权系统——第3部分：文化数据交易系统——第4部分：文化数据分发系统——第5部分：文化数据服务运营系统——第6部分：数据管理系统——第7部分：统一用户管理系统——第8部分：服务门户——第9部分：运维管理系统本文件是T/CPRA4000的第7部分。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国公共关系协会文化大数据产业委员会提出并归口。本文件起草单位：北京玖扬科技有限公司、伏羲云（北京）文化科技有限公司、联通沃音乐文化有限公司、江苏省广电有线信息网络股份有限公司、中国广电辽宁网络股份有限公司、江苏省文化产权交易所有限公司、黑龙江北方文化产权交易所有限公司、西安文化产权交易中心有限公司、湖南大数据交易所有限公司。本文件主要起草人：高凯、唐涛涛、梁潇、毛宇新、郭晨、方建忠、余武、薛晓鹏、刘岩、尹晖、韩洋、陈泽宇、陈越、崔义娜、季方超、陈磊、陈琪、刘畅。1文化数据服务平台技术要求第7部分：统一用户管理系统本文件规定了统一用户管理系统的系统架构、系统功能、系统接口、系统安全等技术要求。本文件适用于全国、区域和省域等各级文化数据服务平台统一用户管理系统的规划、设计、建设和应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T1.1标准化工作导则第1部分：标准化文件的结构和起草规则GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T35295-2017信息技术大数据术语GB/T36626-2018信息安全技术信息系统安全运维管理指南GB/T38633-2020信息技术大数据系统运维和管理功能要求GB/T38673-2020信息技术大数据大数据系统基本要求GB50174-2017数据中心设计规范T/CPRA4000.1文化大数据服务平台技术要求第1部分：通用技术要求3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本文件。3.1.1文化数据服务中心culturaldataservicecenter文化数据服务中心是国家文化大数据体系的枢纽，为国家文化大数据体系的健康有序发展提供各类服务支撑，主要业务内容包括规划服务、保障服务、运营服务、公共服务、产业服务等。文化数据服务中心按照国家文化大数据全国中心（简称全国中心）、区域文化数据服务中心（简称区域中心）和省域文化数据服务中心（简称省域中心）三级部署。文化数据服务中心通常简称为数据中心或服务中心。全国中心是国家文化大数据体系运转的顶层枢纽，负责规划和建设国家文化大数据全国一体化数据中心，对接中国文化遗产标本库、中华民族文化基因库和中华文化素材库等国家文化大数据体系各基础2数据库，运用大数据、云计算、区块链等技术，执行国家文化大数据标准体系，采用信息与文献关联标识国际标准，建设国家文化大数据确权、交易、结算和支付平台，集成畅通文化生产和文化消费的云平台服务工具等。区域中心是依托全国有线电视网络和平台建设的数据中心，上联全国中心，下接省域中心，负责为区域内省域之间的数据、信息、产品等交易和结算提供专业化服务。省域中心建设在各省（区市），通过区域中心连通全国中心，负责本地化文化数据的存储、传输和安全保障，链接省域内供给端（本地化数据库）、生产端（数字化文化生产线）和需求端（文化体验体系），为省域内数据、信息、产品等确权、交易、结算和支付提供专业化服务。[来源：T/CPRA4100定义3.1.1]3.1.2文化数据服务平台culturaldataserviceplatform文化数据服务平台是指支撑文化数据确权、交易与分发管理、用户认证与管理、运营服务与监督等能力的信息化系统，一般部署于全国中心、区域中心和省域中心等机构，分别形成全国文化数据服务平台、区域文化数据服务平台和省域文化数据服务平台。文化数据服务平台为数字化文化生产线、文化体验设备和设施及监管部门提供服务。[来源：T/CPRA4000.1定义3.1.1]3.1.3国家文化大数据标识注册中心culturalbigdataidentificationregistrationcenter由ISLI国际标准化注册中心ISLIRA授权，为国家文化大数据体系提供文化资源数据和文化数字内容标识注册与管理服务的机构。[来源：T/CPRA101.2定义3.1.1]3.1.4文化数字内容culturaldigitalcontent以数字形式存在的文化产品，一般以文字、图片、音频、视频、多媒体和其他形式表现。通常包括传统文化产品的数字化以及以数字形式存在的文化产品。国家文化大数据体系下文化数字内容主要涵盖中华优秀传统文化、革命文化和社会主义先进文化等。文化数字内容作为数字化文化生产线的产出，由文化大数据服务平台管理与分发，并通过文化体验设施和设备消费。通常情况下，文化数字内容又称为文化数字产品、文化数字内容产品等。[来源：T/CPRA300定义3.1.1]3.1.5文化资源数据culturalresourcesdata对人类文化中传承下来并可以传播利用的文化（包括物质的和非物质的）进行数字化采集后，所得到的用于识别和展现文化的图像、文字、声音、动画、影片、三维全景、三维模型等数据。国家文化大数据体系下文化资源数据主要包括中国文化遗产标本库、中华民族文化基因库、中华文化素材库中的数3据。[来源：T/CPRA301定义3.1.1]3.1.6中国文化遗产标本库specimenrepositoryofChineseculturalheritage中国文化遗产标本库是基于历次全国性文化资源普查的数据（包括古籍、文物、美术馆藏品、地方戏曲、非物质文化遗产等普查已经获得的数据），按照国家文化大数据标准，结构化存储于服务器，并通过国家文化专网实现共享的数据。[来源：T/CPRA301定义3.1.2]3.1.7中华民族文化基因库generepositoryofChineseculture中华民族文化基因库的数据主要来自革命文物大数据库和博物馆大数据体系，通常经过高精度数据采集，导入国家文化大数据体系底层关联集成系统，完成数据标注、关联，并提取中华民族文化元素、符号和标识，最终形成中华民族文化基因库。相关数据通过国家文化专网实现共享。[来源：T/CPRA301定义3.1.3]3.1.8中华文化素材库materialrepositoryofChineseculture以文化资源数字化成果为原料，集成运用各种新技术，萃取中华文化之要素，并分门别类标签化，进而形成的可组合使用的素材库。按照文化呈现要素中华文化素材库可划分为中华字库、中华音库、中华像库、中华乐库、中华舞库、中华剧库等。中华文化素材库的来源是多元的，中国文化遗产标本库和中华民族文化基因库的数据是重要来源，文化企事业单位已建成的文化艺术、新闻出版、广播电视、网络视听、电影等数据库，也是重要来源。相关数据通过国家文化专网实现共享。[来源：T/CPRA301定义3.1.4]3.1.9文化机构culturalinstitutions文化机构是指专门从事文化工作、具有法人资格，具备独立核算能力的事业、企业单位，以及单独核算，附属于事业单位的经营性专业文化活动单位。包括从事文化艺术、新闻出版、广播电视、电影、网络文化等机构，以及其他文化机构。[来源：T/CPRA1定义3.10]3.1.10文化生产线culturalproductionline由出版社、影视公司、演出公司、设计公司等文化生产机构为主体，以创作生产某种业态文化数字内容为目标，从事文化数据的采集、标注、解构、关联、重构等活动的文化机构（包含该机构建设的文化生产线系统）。数字化文化生产线是国家文化大数据体系的基本组织，人民信赖是每条生产线生存发4展的根基。[来源：T/CPRA3000定义3.1.1]3.1.11文化体验设施culturalexperiencefacilities文化体验设施指围绕一个或多个文化主题元素进行组合创意和规划建设，构建各类体验场景，营造相应的文化氛围，采用现代科学技术和各种活动编排来呈现文化内容，以满足民众精神文化需求与学习鉴赏需求的文化传承传播的体验场地。[来源：T/CPRA5000定义3.1.1]3.1.12国家文化专网culturalprivatenetwork作为数据承载网络，为文化大数据产业各环节中相关设备和系统互联互通提供数据传输通道的专用通信网络，在国家文化大数据体系中特指由有线电视网络提供的传输通道组成的网络。为确保文化大数据安全，文化生产采取闭环管理，文化消费开环，文化数字内容可通过文化体验网关导入互联网，但是文化体验网关需保障互联网内容不进入需求端（包括线上终端）。[来源：T/CPRA4200定义3.1.1]3.1.13统一用户管理系统unifiedusermanagementsystem统一用户管理系统是一种集中管理和控制用户账号、权限和用户信息的系统。它可以对用户的身份认证进行统一管理，确保用户在不同系统的登录和访问的便捷性和安全性。3.2缩略语下列缩略语适用于本文件。WEB：全球广域网（WorldWideWeb）API：应用程序编程接口（ApplicationProgrammingInterface）RESTful：REST设计原则（RepresentationalStateTransfer）SSO：单点登录（SingleSignOn）OAuth：开放授权（OpenAuthority）AES：高级加密标准（AdvancedEncryptionStandard）RSA：一种非对称加密算法（Rivest-Shamir-Adleman）JWT：JSON令牌（JSONWebToken）4系统架构5文化数据服务平台统一用户管理系统功能架构如图1所示。图1统一用户管理系统功能架构统一用户管理系统由账号管理、权限管理、认证管理、审计管理组成，统一用户管理系统为应用系统提供统一的用户身份认证服务，相关能力如下：a)账号管理：对进入全国中心的账号进行统一管理，支持创建、修改、删除、设置用户账号角色b)权限管理：对全国中心的用户账号权限、应用系统权限进行管理。c)认证管理：对全国中心的用户账号、角色、权限、系统访问或接入进行认证。d)审计管理：对全国中心的用户登录、操作进行审计。5系统功能5.1概述统一用户管理系统为文化数据服务中心提供统一的用户身份认证基础服务，功能应包括用户账号管理、权限管理、认证管理、审计管理服务。5.1.1账号管理6账号管理主要功能包括：a)应支持用户账号管理，包括创建、审核、修改、删除、发布用户账号基本信息。b)应支持唯一标识符对用户账号身份信息进行唯一标识符管理。c)应支持用户账号密码策略设置。d)应支持配置用户账号角色、包括普通用户、平台管理用户、审计员、超级管理员等。e)应支持用户账号信息组合筛选，以来源、关键字、时间等多种方式组合方式或模糊方式筛选。5.1.2认证管理认证管理主要功能包括：a)应支持用户账号、角色、权限、系统和服务等访问或接入认证。b)应支持用户账号鉴权和密钥管理服务。c)应支持多因子认证，包括动态口令、短信、邮箱和二维码等。d)对外提供OAuth方式单点登录（SSO）。e)应支持通过CA系统获取数字证书进行身份认证的能力。5.1.3权限管理权限管理主要功能包括：a)应支持用户账号权限设置，包括页面访问权限、功能操作权限和数据访问权限等。b)应支持对应用服务或应用系统的权限管理。5.1.4审计管理审计管理主要功能包括：a)应支持用户登录、操作审计，保障系统安全性。b)应支持用户验证审计，监控访问账号身份有效性。c)应支持发现审计异常账号或用户身份信息时，应进行相应的处理。5.1.5自助服务自助服务主要功能包括：a)应支持自助用户账号注册服务。b)应支持用户查看账号信息和修改账号密码。c)支持通过多种认证方式找回密码服务或密码重置。6系统接口6.1登录接口6.1.1接口描述统一用户登录接口处理用户的登录请求，验证用户身份合法性，生成和管理用户的登录会话。该接7口是用户和应用系统之间的桥梁，确保用户可以正常使用各应用系统。6.1.2功能描述登录接口主要功能包括：a)身份验证：验证用户提供的身份信息是否有效，并确认其访问权限；b)单点登录：用户登录成功后，生成一个有效的会话标识（token用户可以在有效期内使用这个会话标识访问其它有权限的应用系统，不需要再重新输入身份信息；c)用户信息一致性：确保各应用系统能够获取到一致的用户信息。6.1.3技术要求登录接口技术要求包括：a)WEB服务技术：使用RESTful定义提供接口API；b)身份验证技术：使用OAuth2.0、OpenIDConnect、SSO登录标准实现身份认证和鉴权；c)加密技术：使用AES对称加密用于保护用户信息传输和存储的安全性；使用RSA非对称加密用户验证接入应用系统身份合法；使用数字签名方式确保信息的完整性；敏感数据脱敏展示；d)会话管理：使用JWT管理用户登录会话。7系统安全7.1安全管理要求防护应至少符合GB/T22239—2019第三级安全保护能力规定，并应具备安全监测、安全防护和安全响应等能力，通过防御、检测、响应和威胁情报的联动，构建本地协同、云端联动的动态保护体系。7.2安全防护要求安全防护能力应符合如下要求：a)对接入信息和数据应实行安全保密管理，建立严格的密钥管理机制。支持对数据传输和存储进行基于国密算法的加密保护，防止敏感数据泄露。支持使用数字签名技术，保证数据的完整性和真实性。b)系统应实施严格的访问