35.240

L

7845

27622023

based

on

DB45/T

2762—2023目 次前言

.................................................................................

II1

范圍

...............................................................................

12

規(guī)范性引用文件

.....................................................................

13

術(shù)語和定義

.........................................................................

14

技術(shù)要求

...........................................................................

24.14.24.34.4

分布式數(shù)字身份標識

.............................................................

2

.......................................................................

2

.......................................................................

2

.......................................................................

35

安全要求

...........................................................................

35.15.25.35.45.55.6

.......................................................................

3

.......................................................................

3

.......................................................................

3密碼

...........................................................................

4數(shù)據(jù)

...........................................................................

4應(yīng)用

...........................................................................

46

部署要求

...........................................................................

47

應(yīng)用要求

...........................................................................

47.17.27.3

.......................................................................

4

.......................................................................

4

.......................................................................

57.4 數(shù)據(jù)預(yù)處理

.....................................................................

57.57.67.7

.......................................................................

5

.......................................................................

5

.......................................................................

6附錄

A（資料性） 業(yè)務(wù)流程.............................................................

7IDB45/T

2762—2023前 言本文件按照

1.1—《標準化工作導(dǎo)則 第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由廣西壯族自治區(qū)大數(shù)據(jù)發(fā)展局提出并歸口。份有限公司。澤多、覃煒革、謝坤峻、陸冬妮、梁源、肖勇、朱作武、高明娟、李英華、蔡亮亮、劉偉巍、何潤澤、李娜、覃金鈺、何琛、盧藝。IIDB45/T

2762—2023基于區(qū)塊鏈的數(shù)據(jù)存證技術(shù)規(guī)范1

范圍本文件規(guī)定了基于區(qū)塊鏈的數(shù)據(jù)存證技術(shù)的技術(shù)要求、安全要求、部署要求和應(yīng)用要求。本文件適用于廣西壯族自治區(qū)行政區(qū)域內(nèi)電子數(shù)據(jù)存證業(yè)務(wù)領(lǐng)域和信息安全領(lǐng)域中使用區(qū)塊鏈技術(shù)開展數(shù)據(jù)存證的全過程。2

規(guī)范性引用文件文件。GB/T

22239 信息安全技術(shù)

GB/T

25058信息安全技術(shù)

GB/T

25070 信息安全技術(shù)

GB/T

32905 信息安全技術(shù)

密碼雜湊算法GB/T

32907 信息安全技術(shù)

分組密碼算法GB/T

32918 （所有部分）信息安全技術(shù)

SM2GB/T

33133 （所有部分）信息安全技術(shù)

祖沖之序列密碼算法GB/T

41389 信息安全技術(shù)

YD/T

3747 區(qū)塊鏈技術(shù)架構(gòu)安全要求3

術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1共識機制 consensus

mechanism區(qū)塊鏈網(wǎng)絡(luò)活動中，起到?jīng)Q定新區(qū)塊生成者和區(qū)塊鏈統(tǒng)一維護者作用的規(guī)則。3.2共識算法

consensus

algorithm區(qū)塊鏈系統(tǒng)中各節(jié)點間達成一致采用的計算方法。3.3數(shù)據(jù)記錄

數(shù)據(jù)結(jié)構(gòu)。3.4時間戳

stamp1DB45/T

2762—2023地標識某一刻的時間。3.5虛擬通道

加密的數(shù)據(jù)。3.6智能合約

以數(shù)字形式定義的能夠自動執(zhí)行條款的合約。3.7交易哈希

hash每筆交易送上區(qū)塊鏈時,,也就是轉(zhuǎn)帳記錄編號。3.8聯(lián)盟鏈

Consortium

chain由特定的幾個機構(gòu)共同參與管理的區(qū)塊鏈網(wǎng)絡(luò)，每個參與的機構(gòu)都運行著里面的某個或多個節(jié)點，其中的數(shù)據(jù)只允許系統(tǒng)內(nèi)的機構(gòu)進行讀寫和發(fā)送交易，并且共同來記錄交易數(shù)據(jù)。4

技術(shù)要求4.1 分布式數(shù)字身份標識4.1.1 數(shù)字身份標識應(yīng)綁定實名信息。4.1.2區(qū)塊鏈存證系統(tǒng)應(yīng)采用挑戰(zhàn)應(yīng)答機制驗證用戶所持私鑰的有效性。4.2 共識機制4.2.1 4.2.2共識機制應(yīng)包括以下功能：——支持共識聯(lián)盟鏈的動態(tài)創(chuàng)建和管理、參與共識的節(jié)點通過選舉機制產(chǎn)生；——支持獨立節(jié)點對區(qū)塊鏈網(wǎng)絡(luò)提交的相關(guān)信息進行有效性驗證；——具備一定的容錯性，應(yīng)容忍小于

1/2

1/3

的作惡節(jié)點，且共識過程不會被阻斷。4.3 賬本記錄4.3.1 分布式賬本1)——支持持久化存儲賬本記錄；——支持多節(jié)點擁有完整的數(shù)據(jù)記錄；——支持向獲得授權(quán)者提供真實的數(shù)據(jù)記錄；——確保具有全賬本記錄的各節(jié)點的數(shù)據(jù)一致。4.3.2 區(qū)塊鏈存證系統(tǒng)時序服務(wù)應(yīng)包括以下功能：1)

2DB45/T

2762—2023——支持統(tǒng)一賬本記錄時序；——具備時序容錯性；——能向具有

——由時間戳服務(wù)中心根據(jù)

提供時間服務(wù)。4.4 數(shù)據(jù)存證數(shù)據(jù)存證的內(nèi)容應(yīng)包括但不限于：——業(yè)務(wù)

ID——存證數(shù)據(jù)；——數(shù)據(jù)加密類型；——數(shù)據(jù)授權(quán)訪問用戶列表；——虛擬通道

ID（可選）。注：在此虛擬通道中的用戶可查看數(shù)據(jù)。5

安全要求5.1 一般要求5.1.1 應(yīng)符合

GB/T

22239、GB/T

和

25070

中規(guī)定的要求。5.1.2 應(yīng)圍繞物理環(huán)境安全、通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全、管理中心和管理制度安安全體系。5.1.3 宜針對現(xiàn)有區(qū)塊鏈技術(shù)的安全特性，對賬本數(shù)據(jù)、共識機制、智能合約、密碼私鑰等進行安全風(fēng)險分析并提供有效的安全保障。5.1.4 應(yīng)具有防止數(shù)據(jù)泄露和被篡改的機制。5.2 共識機制5.2.1 應(yīng)選擇可證明安全的共識機制。5.2.2 應(yīng)具有符合業(yè)務(wù)需求的容錯性，包括物理節(jié)點或網(wǎng)絡(luò)故障的非惡意錯誤、節(jié)點遭受非法控制的惡意錯誤，及節(jié)點產(chǎn)生不確定行為的不可控錯誤等。5.2.3 應(yīng)滿足應(yīng)用一致性要求。5.2.4 應(yīng)具備分叉管理能力。5.3 智能合約5.3.1 應(yīng)具備防纂改和抗抵賴性。5.3.2 應(yīng)具備生命周期管理能力，包括合約創(chuàng)建、部署、升級、觸發(fā)、執(zhí)行、廢止等。5.3.3 合約的每次修改應(yīng)重新部署。5.3.4合約的升級操作應(yīng)以接口調(diào)用的方式提交，達成共識后生效，升級操作事件日志應(yīng)記錄在區(qū)塊中，升級后應(yīng)保留歷史版本。5.3.5 應(yīng)具備可終止性，對其所能支配的資源進行有效限制，防止資源被惡意濫用。5.3.6 合約虛擬機應(yīng)具有合規(guī)性檢測，在處理非合規(guī)代碼時向用戶進行提示。5.3.7合約代碼應(yīng)在沙盒中運行。3DB45/T

2762—20235.3.8 應(yīng)支持智能合約的應(yīng)急響應(yīng)機制，在發(fā)現(xiàn)合約漏洞后，及時檢查和修復(fù)。5.4 密碼5.4.1 使用的密碼算法應(yīng)符合

GB/T

32905、

32907、

32918、

33133、GB/T

和YD/T

3747

5.4.2 使用的密碼產(chǎn)品與密碼模塊應(yīng)通過國家密碼管理部門核準。5.4.3 私鑰應(yīng)加密存儲在私鑰數(shù)據(jù)庫或硬件內(nèi)，并采取物理安全措施進行保護。5.5 數(shù)據(jù)5.5.1 應(yīng)具備持久化存儲賬本記錄的能力。5.5.2 應(yīng)對數(shù)據(jù)存證過程的實時異常監(jiān)控、存證、記錄，并進行提示。5.5.3 應(yīng)對關(guān)鍵數(shù)據(jù)分類分級加密存儲。5.6 應(yīng)用5.6.1 身份認證要求包括但不限于：——系統(tǒng)應(yīng)具備用戶注冊、更改與注銷功能；——系統(tǒng)認證信息應(yīng)以密文存儲和傳輸；——系統(tǒng)應(yīng)具有賬戶安全警告、鎖定、找回功能；——系統(tǒng)用戶信息應(yīng)與個人真實身份應(yīng)具有關(guān)聯(lián)性。5.6.2 訪問控制要求包括但不限于：——系統(tǒng)應(yīng)具有對不同級別的用戶授予不同權(quán)限的功能；——系統(tǒng)應(yīng)具有根據(jù)需要更改系統(tǒng)內(nèi)容的訪問等級與用戶的訪問權(quán)限等級的功能。5.6.3 隱私保護要求包括但不限于：——用戶的隱私信息不應(yīng)以明文傳輸、存儲；——獲得隱私主體的授權(quán)；——為已被授權(quán)的用戶提供隱私數(shù)據(jù)的訪問權(quán)限；——保護服務(wù)使用者的隱私，對敏感數(shù)據(jù)的存儲應(yīng)當采用加密、脫敏、隔離存儲等安全措施。6

部署要求6.1 應(yīng)滿足系統(tǒng)運行對系統(tǒng)配置的最低要求。6.2 應(yīng)基于對業(yè)務(wù)增長的預(yù)測，滿足系統(tǒng)存儲資源配置的要求。6.3 應(yīng)滿足實際業(yè)務(wù)要求。7

應(yīng)用要求7.1 業(yè)務(wù)流程業(yè)務(wù)流程參見附錄A。7.2 系統(tǒng)用戶4內(nèi)容要求交易業(yè)務(wù)類型信息安全領(lǐng)域、票據(jù)業(yè)務(wù)領(lǐng)域等業(yè)務(wù)唯一標識數(shù)據(jù)用戶待存證的原始數(shù)據(jù)JSON格式或者普通文件格式，內(nèi)容可自定義加密類型不加密、授權(quán)加密、虛擬通道等授權(quán)列表加密類型為授權(quán)加密時必填用戶承諾的原始數(shù)據(jù)所有權(quán)信息根據(jù)要求填寫DB45/T

2762—2023廣西壯族自治區(qū)行政區(qū)域內(nèi)電子數(shù)據(jù)存證業(yè)務(wù)領(lǐng)域和信息安全領(lǐng)域。7.3 數(shù)據(jù)獲取7.3.1 授權(quán)與告知以下內(nèi)容：——區(qū)塊鏈存證系統(tǒng)的基本情況，如平臺運營方信息、平臺簡要信息等；——數(shù)據(jù)收集及對外共享情況，如數(shù)據(jù)收集的類型、內(nèi)容，收集、使用數(shù)據(jù)的規(guī)則，包括收集和使用的目的、收集方式和頻率、存儲地域和期限、對外共享的有關(guān)情況等；——節(jié)點的數(shù)據(jù)共享形式和約束，如隱私政策、區(qū)塊鏈加密機制、數(shù)據(jù)主權(quán)信息等；——用戶授權(quán)確認記錄等。7.3.2數(shù)據(jù)接收表1規(guī)定了接收用戶待存證的數(shù)據(jù)請求應(yīng)包括的相關(guān)內(nèi)容及對應(yīng)的要求。表1 接收用戶待存證的數(shù)據(jù)請求的相關(guān)內(nèi)容及要求7.3.3 內(nèi)容審核應(yīng)對接收的數(shù)據(jù)進行內(nèi)容審核并保存審核數(shù)據(jù)，內(nèi)容審核包括但不限于以下內(nèi)容：——格式合規(guī)性；——內(nèi)容合規(guī)性。7.4 數(shù)據(jù)預(yù)處理7.4.1 將原始數(shù)據(jù)處理成能被區(qū)塊鏈存證系統(tǒng)接受的數(shù)據(jù)，確保處理過程能復(fù)現(xiàn)。7.