ICS35.240

CCSL70

DB51

四川省地方標準

DB51/T3189—2024

區(qū)塊鏈技術(shù)應(yīng)用規(guī)范

2024-10-08發(fā)布2024-11-08實施

四川省市場監(jiān)督管理局發(fā)布

DB51/T3189—2024

目次

前言.................................................................................II

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語和定義..........................................................................1

4縮略語..............................................................................3

5區(qū)塊鏈應(yīng)用架構(gòu)......................................................................4

5.1總體架構(gòu)........................................................................4

5.2架構(gòu)說明........................................................................4

6區(qū)塊鏈應(yīng)用基礎(chǔ)設(shè)施層建設(shè)要求........................................................5

6.1基本要求........................................................................5

6.2存儲資源........................................................................5

6.3網(wǎng)絡(luò)資源........................................................................5

6.4計算資源........................................................................5

6.5省本級、地市州及部門級基礎(chǔ)設(shè)施許可聯(lián)盟鏈網(wǎng)建設(shè)要求..............................6

7區(qū)塊鏈基礎(chǔ)資源層基本要求............................................................7

7.1區(qū)塊鏈節(jié)點管理..................................................................7

7.2分布式數(shù)字身份管理..............................................................8

7.3數(shù)據(jù)管理........................................................................9

8區(qū)塊鏈應(yīng)用支撐層基本要求...........................................................13

8.1共識機制.......................................................................13

8.2組網(wǎng)機制.......................................................................15

8.3動態(tài)訪問控制機制...............................................................15

8.4跨鏈機制.......................................................................16

9區(qū)塊鏈分布式應(yīng)用層基本要求.........................................................16

9.1業(yè)務(wù)與合約.....................................................................16

9.2服務(wù)與訪問.....................................................................18

9.3應(yīng)用與監(jiān)管.....................................................................18

10區(qū)塊鏈應(yīng)用安全保障體系要求........................................................19

10.1總體安全......................................................................19

10.2基礎(chǔ)設(shè)施層安全................................................................19

10.3基礎(chǔ)資源層安全................................................................20

10.4應(yīng)用支撐層安全................................................................20

10.5分布式應(yīng)用層安全..............................................................21

I

DB51/T3189—2024

前言

本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。

本文件由四川省發(fā)展和改革委員會提出、解釋、歸口并組織實施。

本文件起草單位：電子科技大學(xué)、四川省大數(shù)據(jù)中心、迅鰩成都科技有限公司、成都市標準化研究

院、四川省衛(wèi)生信息學(xué)會、四川省司法廳、四川省生態(tài)環(huán)境廳、四川省醫(yī)療保障局、成都市教育局、成

都市醫(yī)療保障局、國家信息中心、德陽市政務(wù)服務(wù)和大數(shù)據(jù)管理局、內(nèi)江市大數(shù)據(jù)中心、中國核動力研

究設(shè)計院、四川省特種設(shè)備檢驗研究院、北京工業(yè)大學(xué)、成都市智慧蓉城研究院有限公司、華為技術(shù)有

限公司、四川省計算機研究院、成都城投教育投資管理集團有限公司、四川華西集采電子商務(wù)有限公司、

聯(lián)通（四川）產(chǎn)業(yè)互聯(lián)網(wǎng)公司、四川省電子信息產(chǎn)業(yè)技術(shù)研究院有限公司、四川通信科研規(guī)劃設(shè)計有限

責任公司、成都武侯社區(qū)科技有限公司、亞信科技（中國）有限公司、成都飛機工業(yè)（集團）有限責任

公司、成都交子區(qū)塊鏈產(chǎn)業(yè)創(chuàng)新中心有限公司、成都中醫(yī)藥大學(xué)、國信優(yōu)易數(shù)據(jù)股份有限公司、國信優(yōu)

易（北京）數(shù)據(jù)要素科技有限公司、福建省數(shù)易科技有限公司、四川網(wǎng)道科技發(fā)展有限公司、四川迅鰩

科技有限公司、四川省大數(shù)據(jù)發(fā)展研究會。

本文件主要起草人：夏琦、周學(xué)立、高建彬、夏虎、祝玲、管慶旭、張軍、段占祺、段瑩、劉雯、

樂益矣、丁云波、曾子敬、戴子玟、周云宏、王平、溫蓓、劉易飛、張心玥、李蒙科、馮暄、趙斌、鄧

憶德、高會偉、王旭贏、劉莎、盛杰、陽麗文、陳睿、徐斌、尹嘉奇、羅英、李亞軍、單志廣、郭煜、

林曉東、向海平、明子涵、李健、董雪璠、肖麗、王楠、才虹麗、秦強子、周書田、郭凱、封博文、王

少巍、張遠民、陳偉、歐陽森山、廖丹、王亞松、王貝貝、李弋凡、阮亞芬、呂一新、馬丹、陳國平、

申林、陳華、李瑩珠、杜翔、陳慶、王越、李子欣、王鵬、李依婷、程捷、高然、白玲玉。

II

DB51/T3189—2024

區(qū)塊鏈技術(shù)應(yīng)用規(guī)范

1范圍

本文件規(guī)定了四川省區(qū)塊鏈技術(shù)應(yīng)用規(guī)范，主要包括區(qū)塊鏈應(yīng)用架構(gòu)、應(yīng)用基礎(chǔ)設(shè)施層建設(shè)要求、

基礎(chǔ)資源層基本要求、應(yīng)用支撐層基本要求、分布式應(yīng)用層基本要求、應(yīng)用安全保障體系要求等。

本文件適用于指導(dǎo)四川省區(qū)塊鏈平臺每項技術(shù)的基礎(chǔ)應(yīng)用要求，對每項要求的具體實現(xiàn)方式不作規(guī)

定。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T42752—2023區(qū)塊鏈和分布式記賬技術(shù)參考架構(gòu)

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

賬戶數(shù)據(jù)accountdata

描述區(qū)塊鏈事務(wù)的實際發(fā)起者的相關(guān)數(shù)據(jù)，使區(qū)塊中記錄的事務(wù)信息能被有效關(guān)聯(lián)。

3.2

區(qū)塊數(shù)據(jù)blockdata

由零個或多個交易記錄或?qū)灰子涗浀囊媒M成的結(jié)構(gòu)化數(shù)據(jù)。

[來源：ISO22739：2020，3.3]

3.3

區(qū)塊鏈blockchain

使用密碼技術(shù)鏈接將共識確認過的區(qū)塊按順序追加形成的分布式賬本。

注：區(qū)塊鏈被設(shè)計用來抵抗篡改，并創(chuàng)建最終的、確定的、不可變的賬本記錄。

[來源：ISO22739：2020，3.6]

3.4

共識算法consensusalgorithm

區(qū)塊鏈系統(tǒng)中各節(jié)點為達成并維護系統(tǒng)數(shù)據(jù)一致性的計算方法。

注：常見共識算法有工作量證明（ProofofWork，PoW）算法、權(quán)益證明（ProofofStake，PoS）算法、股份授

權(quán)證明（DelegatedProofofStake，DPoS）算法、實用拜占庭容錯（PracticalByzantineFaultTolerance，

PBFT）算法。

1

DB51/T3189—2024

3.5

配置數(shù)據(jù)configurationdata

區(qū)塊鏈網(wǎng)絡(luò)正常運行過程中所需的配置信息。通常包括共識協(xié)議版本號、軟件版本號和網(wǎng)絡(luò)通信底

層對等節(jié)點配置信息等。

3.6

密碼鏈接cryptographiclink

使用密碼散列函數(shù)技術(shù)構(gòu)造的、指向數(shù)據(jù)的引用。

注：區(qū)塊頭中使用密碼鏈接來引用前一個區(qū)塊，以創(chuàng)建僅可追加的、有序的鏈，從而形成區(qū)塊鏈。

[來源：ISO22739：2020，3.16]

3.7

跨鏈適配器crosschainadapter

操作特定區(qū)塊鏈的網(wǎng)絡(luò)組件，用來調(diào)用區(qū)塊鏈上的智能合約，以及對跨鏈交易指令及交易結(jié)果進行

驗證。

3.8

跨鏈可信通道crosschaintrustedchannel

連接不同區(qū)塊鏈與統(tǒng)一許可聯(lián)盟鏈網(wǎng)的網(wǎng)絡(luò)節(jié)點，實現(xiàn)跨鏈交互信息的傳遞及轉(zhuǎn)換，參與跨鏈交易

安全認證及有效性共識。

3.9

分布式數(shù)字身份文檔decentralizedidentitydocument

用于登記和驗證個體的身份信息，包括身份標識符、加密密鑰、驗證方式和服務(wù)端點等，以支持安

全的身份驗證和數(shù)據(jù)交換的數(shù)據(jù)記錄。

3.10

分布式應(yīng)用distributedapplication

使用開放分布式系統(tǒng)中的兩個或更多個應(yīng)用實體調(diào)用來完成信息處理。

3.11

分布式賬本distributedledger

在一組分布式記賬技術(shù)節(jié)點之間共享并使用共識機制同步的賬本。

注：分布式賬本被設(shè)計為防篡改、僅可追加和不可變，包含確認和驗證的交易。

[來源：ISO22739：2020，3.22]

3.12

數(shù)字簽名digitalsignature

附加在數(shù)據(jù)單元上的數(shù)據(jù)，或是對數(shù)據(jù)單元做的密碼變換，這種數(shù)據(jù)或變換被數(shù)據(jù)單元的接受者用

以確認數(shù)據(jù)單元的來源和完整性，并保護數(shù)據(jù)防止被人（例如接收者）偽造或抵賴。

[來源：GB/T25069—2022，3.576]

3.13

聯(lián)盟鏈consortiumblockchain

由若干個機構(gòu)或者組織共同參與管理的區(qū)塊鏈，每個參與的機構(gòu)或者組織都運行著里面的一個或多

個節(jié)點，其中的數(shù)據(jù)只允許系統(tǒng)內(nèi)不同的機構(gòu)進行讀寫和發(fā)送交易，并且共同來記錄交易數(shù)據(jù)。

3.14

賬本記錄ledgerrecord

分布式賬本上的記錄，包含交易記錄、交易記錄的哈希值和交易記錄的引用。

注：引用可以實現(xiàn)為密碼鏈接。

[來源：ISO22739：2020，3.44]

2

DB51/T3189—2024

3.15

許可聯(lián)盟鏈網(wǎng)licensealliancechainnetwork

采用聯(lián)盟區(qū)塊鏈系統(tǒng)設(shè)計，附帶區(qū)塊鏈的身份管理、隱私保護等安全特點，作為跨鏈體系的核心，

統(tǒng)籌管理跨鏈事務(wù)。

3.16

私有鏈privateblockchain

區(qū)塊鏈的寫入權(quán)由某個組織或者機構(gòu)控制的區(qū)塊鏈，參與到區(qū)塊鏈的節(jié)點會被嚴格限制起來。

3.17

公有鏈publicblockchain

全世界任何人都可讀取、發(fā)送交易且交易能獲得有效確認的、也可以參與其中共識過程的區(qū)塊鏈。

注：公有鏈完全是去中心化的存在，不受任何組織或者機構(gòu)掌控。

3.18

合約數(shù)據(jù)contractdata

描述事務(wù)的動態(tài)處理邏輯的數(shù)據(jù)，實際是可在虛擬機上執(zhí)行的一段計算機代碼。合約又稱智能合約。

3.19

身份存儲庫identityhub

能夠去中心化地控制用戶個人敏感數(shù)據(jù)，支持鏈下存儲和授權(quán)訪問，且兼容本地和云端部署的隱私

數(shù)據(jù)系統(tǒng)。

3.20

運行時服務(wù)runtimeservice

為中間件提供運行環(huán)境，負責系統(tǒng)內(nèi)部數(shù)據(jù)與流程的解釋與定義，對外提供接口調(diào)用的服務(wù)組件。

3.21

智能合約smartcontract

存儲在分布式記賬技術(shù)系統(tǒng)中的計算機程序，該程序的任何執(zhí)行結(jié)果都記錄在分布式賬本上。

注：智能合約可以在法律上代表合同條款，并在適用司法管轄區(qū)的法律下產(chǎn)生可強制執(zhí)行的義務(wù)。

[來源：ISO22739：2020，3.72]

3.22

交易數(shù)據(jù)transactiondata

描述區(qū)塊鏈網(wǎng)絡(luò)承載的具體業(yè)務(wù)動作的數(shù)據(jù)。通常包括業(yè)務(wù)邏輯執(zhí)行結(jié)果和交易轉(zhuǎn)賬信息等。

4縮略語

下列縮略語適用于本文件。

API：應(yīng)用程序接口（ApplicationProgrammingInterface）

CCIP：跨鏈交互協(xié)議（CrossChainInteractionProtocol）

CPU：中央處理器（CentralProcessingUnit)

DES：一種對稱加密算法（DataEncryptionStandard)

DID：分布式數(shù)字身份（DecentralizedIdentity）

ID：身份標識符（IdentityIdentifier)

I/O:計算機接口，輸入/輸出（Input/Output)

P2P：點對點（PeertoPeer）

PC:個人電腦（PersonalComputer)

RPC：遠程過程調(diào)用（RemoteProcedureCall）

3

DB51/T3189—2024

RSA:公鑰加密算法（“Rivest–Shamir–Adleman”Algorithm)

SAS：串行SCSI（SerialAttachedSCSI）

SATA：串行硬件驅(qū)動器接口（SerialAdvancedTechnologyAttachment）

SCSI：Internet小型計算機系統(tǒng)接口（InternetSmallComputerSystemInterface）

SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）

SHA256:256位安全哈希算法（SecureHashAlgorithm256-bit)

SM2:橢圓曲線公鑰密碼算法（PublicKeyCryptographicAlgorithmSM2BasedonElliptic

Curves）

SM3:密碼雜湊算法（SM3CryptographicHashAlgorithm）

SM4:分組密碼算法（SM4BlockCipherAlgorithm)

SSD：固態(tài)硬盤(SolidStateDisk）

USB:通用串行總線（UniversalSerialBus)

VC：可驗證聲明（VerifiableClaim)

5區(qū)塊鏈應(yīng)用架構(gòu)

5.1總體架構(gòu)

為了便于分析與規(guī)范說明，本規(guī)范基于區(qū)塊鏈技術(shù)特點，對區(qū)塊鏈技術(shù)進行了四層的架構(gòu)劃分以及

提供區(qū)塊鏈應(yīng)用安全保障體系。四層架構(gòu)分別為基礎(chǔ)設(shè)施層、基礎(chǔ)資源層、應(yīng)用支撐層、分布式應(yīng)用層,

總體架構(gòu)如圖1所示。

圖1四川省區(qū)塊鏈應(yīng)用總體架構(gòu)圖

5.2架構(gòu)說明

總體架構(gòu)說明如下：

a)基礎(chǔ)設(shè)施層：構(gòu)建了一個由基礎(chǔ)設(shè)施聯(lián)盟鏈網(wǎng)支撐的應(yīng)用環(huán)境，通過提供存儲、計算和網(wǎng)絡(luò)

資源，為上層應(yīng)用奠定堅實基礎(chǔ)；

4

DB51/T3189—2024

b)基礎(chǔ)資源層：基于基礎(chǔ)設(shè)施層提供的硬件和網(wǎng)絡(luò)基礎(chǔ)體系，提供核心功能支撐，包括區(qū)塊鏈

節(jié)點管理、分布式數(shù)字身份和數(shù)據(jù)管理，確保業(yè)務(wù)邏輯與監(jiān)管需求的融合，為應(yīng)用支撐層提

供相應(yīng)的功能支持服務(wù)；

c)應(yīng)用支撐層：提供組網(wǎng)、共識、動態(tài)訪問和跨鏈機制等功能，促進數(shù)據(jù)流通與訪問控制；

d)分布式應(yīng)用層：通過調(diào)用應(yīng)用支撐層的功能組件，提供多元化的服務(wù)和訪問能力，支持豐富

的分布式應(yīng)用開發(fā)與部署，形成一個完整、高效、安全的區(qū)塊鏈應(yīng)用生態(tài)系統(tǒng)；

e)區(qū)塊鏈應(yīng)用安全保障體系：針對區(qū)塊鏈應(yīng)用面臨的安全風險，對區(qū)塊鏈基礎(chǔ)設(shè)施層、基礎(chǔ)資

源層、應(yīng)用支撐層、分布式應(yīng)用層提出相應(yīng)的技術(shù)安全要求。

6區(qū)塊鏈應(yīng)用基礎(chǔ)設(shè)施層建設(shè)要求

6.1基本要求

基礎(chǔ)設(shè)施層主要包括存儲資源、計算資源、網(wǎng)絡(luò)資源、省本級、地市州及部門級基礎(chǔ)設(shè)施協(xié)同鏈網(wǎng)

涉及的跨鏈網(wǎng)絡(luò)建設(shè)，該部分均要求基于國產(chǎn)自主可控技術(shù)實現(xiàn)。

6.2存儲資源

6.2.1存儲資源提供區(qū)塊鏈運行過程中產(chǎn)生的各種類型數(shù)據(jù)，如賬本、交易信息等的寫入及查詢功能，

相關(guān)選型包括但不限于關(guān)系型數(shù)據(jù)庫、鍵值對數(shù)據(jù)庫、文件數(shù)據(jù)庫等。

6.2.2存儲資源應(yīng)滿足以下需求：

——點對點網(wǎng)絡(luò)中，能夠被每個節(jié)點部署并使用；

——能夠高效、安全、穩(wěn)定地提供數(shù)據(jù)寫入及查詢服務(wù)；

——對于采取分庫分表的數(shù)據(jù)存儲方案，存儲資源還應(yīng)包括數(shù)據(jù)的分片及路由處理能力。

6.2.3存儲基礎(chǔ)設(shè)施應(yīng)采用分布式架構(gòu)，提供可彈性擴展的虛擬化存儲硬盤。同時，存儲硬盤應(yīng)具有

高數(shù)據(jù)可靠性，高I/O吞吐能力，根據(jù)不同的應(yīng)用場景，支持SATA、SAS、SSD等多種存儲介質(zhì)。

6.2.4為保障存儲多樣性，存儲基礎(chǔ)設(shè)施需提供塊存儲、文件存儲、對象存儲等多種存儲模式。

6.2.5為保障系統(tǒng)安全可靠，存儲設(shè)備需采用國產(chǎn)化自主可控芯片。

6.3網(wǎng)絡(luò)資源

6.3.1區(qū)塊鏈系統(tǒng)運行的底層拓撲結(jié)構(gòu)是分布式對等網(wǎng)絡(luò)，應(yīng)采用對等網(wǎng)絡(luò)協(xié)議組織區(qū)塊鏈中的各個

網(wǎng)絡(luò)節(jié)點。

6.3.2各個節(jié)點間通常使用點對點通信協(xié)議完成信息交換以支撐上層功能。

6.3.3網(wǎng)絡(luò)傳輸資源通常應(yīng)滿足以下需求：

——能夠進行點對點之間的高效安全通信；

——能夠提供點對點通信基礎(chǔ)上的多播能力；

——應(yīng)支持對節(jié)點的動態(tài)添加、減少的識別。

6.3.4系統(tǒng)可實現(xiàn)網(wǎng)絡(luò)自動化部署，支持靈活彈性、業(yè)務(wù)動態(tài)變化。

6.3.5系統(tǒng)可實現(xiàn)大規(guī)模的租戶網(wǎng)絡(luò)隔離，互不干擾，各租戶可提供獨立的網(wǎng)絡(luò)服務(wù)。

6.4計算資源

6.4.1計算資源提供區(qū)塊鏈系統(tǒng)運行中的計算能力支持，包括但不限于物理機技術(shù)、虛擬機技術(shù)、云

計算技術(shù)等。

6.4.2計算機資源應(yīng)滿足以下需求：

5

DB51/T3189—2024

——對區(qū)塊鏈系統(tǒng)提供運行環(huán)境支持；

——點對點網(wǎng)絡(luò)中，能夠被每個節(jié)點采用。

6.4.3計算平臺可以分鐘級發(fā)放虛擬機設(shè)備，且這些基礎(chǔ)設(shè)施是彈性的，可以根據(jù)需求進行擴展和收

縮。為了保證虛擬機的可靠性，在發(fā)生服務(wù)器異常故障時，應(yīng)使故障服務(wù)器上的虛擬機在其它服務(wù)器通

過雙機集群功能運行起來。

6.4.4為保障系統(tǒng)安全可靠，服務(wù)器設(shè)備應(yīng)采用國產(chǎn)化自主可控設(shè)備。

6.5省本級、地市州及部門級基礎(chǔ)設(shè)施許可聯(lián)盟鏈網(wǎng)建設(shè)要求

6.5.1基礎(chǔ)設(shè)施許可聯(lián)盟鏈網(wǎng)部署架構(gòu)圖

省本級、地市州及部門級基礎(chǔ)設(shè)施許可聯(lián)盟鏈網(wǎng)部署架構(gòu)如圖2所示。

圖2基礎(chǔ)設(shè)施許可聯(lián)盟鏈網(wǎng)部署架構(gòu)圖

6.5.2跨鏈機制應(yīng)用要求

6.5.2.1應(yīng)支持基于中繼鏈、公證人、雙向錨定等技術(shù)的基礎(chǔ)設(shè)施協(xié)同跨鏈網(wǎng)絡(luò)。

6.5.2.2應(yīng)支持基于不同區(qū)塊鏈內(nèi)核所構(gòu)建的同構(gòu)及異構(gòu)鏈之間的互聯(lián)互通，打破區(qū)塊鏈數(shù)據(jù)孤島，

助力不同聯(lián)盟鏈可信互聯(lián)，促進區(qū)塊鏈產(chǎn)業(yè)生態(tài)可信融合。

6.5.2.3應(yīng)支持跨鏈申請、授權(quán)等操作行為完整保存上鏈，交易過程記錄本地賬本，全流程自動、透

明、可監(jiān)督，支持事中校驗、事后審計，保障多方權(quán)益。

6.5.2.4應(yīng)支持跨鏈賬本數(shù)據(jù)以及智能合約數(shù)據(jù)僅在所有者授權(quán)情況下才能進行訪問，基于身份體系

對跨鏈合約及賬本查詢和交易操作提供授權(quán)能力，在保護數(shù)據(jù)安全的同時，還保證數(shù)據(jù)的使用過程可以

被追溯。

6

DB51/T3189—2024

6.5.2.5應(yīng)支持基于分布式身份體系的跨鏈系統(tǒng)治理，為各個接入的區(qū)塊鏈配置通用身份標識，支持

基于標識尋址發(fā)起跨鏈訪問。

6.5.2.6應(yīng)支持跨鏈事務(wù)一致性要求，包括：保障跨鏈交易在整個流程中的事務(wù)一致性；支持事務(wù)超

時處理機制，在事務(wù)超時且不滿足一致性要求時進行回滾處理；支持實時或周期性的事務(wù)檢查機制。允

許事務(wù)回滾失敗時，通過第三方介入的方式保障事務(wù)一致性。

6.5.2.7應(yīng)支持跨鏈可靠性和可用性要求，包括：

——應(yīng)支持鏈間互操作組件出現(xiàn)故障后自動回滾；

——應(yīng)支持無單節(jié)點故障，可采用多活或負載均衡方式；

——應(yīng)支持跨鏈事務(wù)數(shù)據(jù)和配置的自動備份；

——應(yīng)支持數(shù)據(jù)備份，并支持利用備份數(shù)據(jù)在系統(tǒng)故障時快速恢復(fù)業(yè)務(wù)環(huán)境；

——應(yīng)支持賬本增量或全量備份；鏈間互操作組件宜支持賬本備份，可以為其他節(jié)點恢復(fù)數(shù)據(jù)。

6.5.2.8應(yīng)支持跨鏈隱私保護能力，保證跨鏈交互數(shù)據(jù)安全可靠，跨鏈中繼不記錄對應(yīng)鏈的數(shù)據(jù)信息，

支持跨鏈組件點對點數(shù)據(jù)交互，防止隱私泄露，有效保護跨鏈數(shù)據(jù)隱私。

6.5.2.9應(yīng)支持跨鏈接入安全要求，包括：

——應(yīng)支持通過用戶數(shù)字證書進行身份認證；

——應(yīng)支持超時斷開機制，超時后應(yīng)斷開用戶會話或重新鑒別用戶身份；

——應(yīng)支持在用戶認證失敗達到指定次數(shù)后，阻止用戶再次發(fā)起認證請求；

——宜支持動態(tài)口令卡、USBKey、指紋、智能卡認證進行身份認證，其配套設(shè)備和系統(tǒng)必須符合

國家相關(guān)規(guī)定；宜支持雙因子認證。

6.5.2.10應(yīng)支持跨鏈數(shù)據(jù)傳輸和存儲安全，包括：

——支持跨鏈交易端到端的完整性保護；

——支持跨鏈通信端到端傳輸過程中的加密保護；

——支持鏈間互操作組件賬本本地數(shù)據(jù)的加密存儲；

——跨鏈交易數(shù)據(jù)只能被目的方獲取，其它方無法獲取；

——支持區(qū)塊鏈中的非授權(quán)數(shù)據(jù)無法被鏈間互操作組件訪問。

6.5.3跨鏈接入要點

6.5.3.1跨鏈初始配置要點應(yīng)包括：

——宜在接入機構(gòu)建設(shè)跨鏈可信通道，為跨鏈可信通道配置與其他通道聯(lián)通的網(wǎng)絡(luò)環(huán)境，以在不

同機構(gòu)間構(gòu)建互通跨鏈網(wǎng)絡(luò)；

——跨鏈適配器部署于跨鏈可信通道內(nèi)，宜通過跨鏈適配器連接接入機構(gòu)的本地業(yè)務(wù)區(qū)塊鏈網(wǎng)絡(luò)；

——接入機構(gòu)應(yīng)進行身份注冊，并為其分配用于跨鏈交互時驗證身份的密鑰或證書等。

6.5.3.2跨鏈網(wǎng)絡(luò)接入要點包括接入機構(gòu)的跨鏈可信通道、跨鏈適配器、本地業(yè)務(wù)區(qū)塊鏈網(wǎng)絡(luò)均需進

行注冊，生成相應(yīng)的唯一標識符。

6.5.3.3業(yè)務(wù)區(qū)塊鏈監(jiān)測要點包括接入機構(gòu)業(yè)務(wù)區(qū)塊鏈的基本情況、運行狀態(tài)進行監(jiān)測，應(yīng)及時反映

整個跨鏈網(wǎng)絡(luò)的運行情況。

7區(qū)塊鏈基礎(chǔ)資源層基本要求

7.1區(qū)塊鏈節(jié)點管理

7.1.1共識/記賬節(jié)點

7

DB51/T3189—2024

7.1.1.1區(qū)塊鏈節(jié)點應(yīng)包括共識節(jié)點和記賬節(jié)點，應(yīng)提供管理平臺對節(jié)點進行配置，節(jié)點服務(wù)啟動時

根據(jù)配置定義共識與記賬節(jié)點。

7.1.1.2區(qū)塊鏈節(jié)點根據(jù)配置定義為共識節(jié)點，應(yīng)提供合約容器部署功能，提供共識機制，提供記賬

功能。

7.1.1.3區(qū)塊鏈節(jié)點根據(jù)配置定義為記賬節(jié)點，僅提供記賬功能。

7.1.2簽名驗簽機制

7.1.2.1區(qū)塊鏈節(jié)點應(yīng)根據(jù)配置的算法與證書驗證節(jié)點間、APP、合約等通信。

7.1.2.2區(qū)塊鏈節(jié)點應(yīng)根據(jù)配置算法與證書做數(shù)據(jù)簽名。

7.1.3加密組件庫

7.1.3.1區(qū)塊鏈節(jié)點應(yīng)支持多密碼體系并行，加強數(shù)據(jù)安全、通訊安全。

7.1.3.2區(qū)塊鏈節(jié)點應(yīng)利用賬本分離、數(shù)據(jù)加密授權(quán)訪問等加強隱私保護。

7.1.3.3區(qū)塊鏈節(jié)點應(yīng)采用加密和認證對接入消息的客戶端進行認證。

7.1.3.4區(qū)塊鏈節(jié)點宜支持RSA算法和國產(chǎn)SM2算法進行簽名和驗簽，宜支持分組密碼算法國際DES、

國產(chǎn)SM4，SM3雜湊算法SHA256，ED25519簽名算法。

7.1.4區(qū)塊/區(qū)塊鏈

應(yīng)提供交易打包落地形成區(qū)塊并按規(guī)則生成區(qū)塊鏈功能。

7.1.5Docker服務(wù)

宜提供Docker服務(wù)在共識節(jié)點上部署合約容器，提供合約容器部署、刪除、重命名等功能。

7.1.6交易/交易池

7.1.6.1區(qū)塊鏈節(jié)點調(diào)用合約生成交易，交易緩存到交易池，當規(guī)則條件滿足，打包形成區(qū)塊。

7.1.6.2宜提供交易池規(guī)則設(shè)定功能。

7.1.6.3應(yīng)通過合約執(zhí)行產(chǎn)生讀寫集生成交易。

7.1.7組網(wǎng)服務(wù)組件

區(qū)塊鏈節(jié)點通過初始化組網(wǎng)服務(wù)組建區(qū)塊鏈網(wǎng)絡(luò)并運行，宜提供區(qū)塊鏈節(jié)點更新服務(wù)、創(chuàng)世塊執(zhí)行

服務(wù)、gRPC通信服務(wù)、gossip網(wǎng)絡(luò)服務(wù)、Leader選舉服務(wù)等。

7.2分布式數(shù)字身份管理

7.2.1DID標識符

分布式數(shù)字身份應(yīng)支持使用DID標識符作為一個身份的唯一識別信息。

7.2.2DID文檔

一個DID標識符應(yīng)對應(yīng)一個DID文檔（DIDDocument），DID文檔數(shù)據(jù)應(yīng)包含的數(shù)據(jù)元素見表1。

8

DB51/T3189—2024

表1DID文檔

數(shù)據(jù)元素是否必選

DID標識符必選

加密材料集合（如公鑰）必選

數(shù)據(jù)元素是否必選

驗證方法集合非必選

服務(wù)端點集合非必選

創(chuàng)建時間非必選

更新時間非必選

7.2.3DID解析器

DID解析器應(yīng)通過DID標識符來獲取DID文檔。

7.2.4可驗證聲明

可驗證聲明數(shù)據(jù)應(yīng)包含的數(shù)據(jù)元素見表2。

表2可驗證聲明

數(shù)據(jù)元素是否必選

VC的ID必選

VC發(fā)行者非必選

聲明的主體內(nèi)容非必選

聲明的證明非必選

發(fā)行時間非必選

7.2.5身份儲存庫

用戶的隱私數(shù)據(jù)應(yīng)使用身份存儲庫（IdentityHub）存儲，且應(yīng)滿足以下要求：

——身份存儲庫應(yīng)支持去中心化和鏈下方式的個人數(shù)據(jù)存儲，應(yīng)將個人數(shù)據(jù)的控制權(quán)交給用戶，

應(yīng)支持用戶以安全而隱私的方式存儲其敏感數(shù)據(jù)，應(yīng)用支持用戶數(shù)據(jù)的授權(quán)訪問；

——身份存儲庫應(yīng)支持本地（包括手機、PC）或云端方式。

7.3數(shù)據(jù)管理

7.3.1數(shù)據(jù)結(jié)構(gòu)

區(qū)塊鏈技術(shù)相關(guān)的數(shù)據(jù)對象結(jié)構(gòu)應(yīng)包括區(qū)塊、事務(wù)、實體、合約、賬戶、配置六個主要的數(shù)據(jù)對象。

其中區(qū)塊鏈核心數(shù)據(jù)對象包括區(qū)塊、事務(wù)、實體和合約。具體各數(shù)據(jù)結(jié)構(gòu)要求包括：

9

DB51/T3189—2024

——區(qū)塊鏈的賬戶數(shù)據(jù)應(yīng)包含但不限于的數(shù)據(jù)元素見表3；

表3區(qū)塊鏈賬戶數(shù)據(jù)

數(shù)據(jù)元素是否必選

賬戶公鑰必選

賬戶私鑰必選

賬戶標識非必選

賬戶資產(chǎn)非必選

數(shù)字證書非必選

賬戶所屬機構(gòu)非必選

——區(qū)塊鏈的區(qū)塊數(shù)據(jù)應(yīng)包含但不限于的數(shù)據(jù)元素見表4；

表4區(qū)塊鏈區(qū)塊數(shù)據(jù)

數(shù)據(jù)元素是否必選

區(qū)塊高度必選

區(qū)塊標識必選

版本信息非必選

前一區(qū)塊摘要值必選

默克爾樹根事務(wù)樹根必選

區(qū)塊時間戳必選

區(qū)塊隨機數(shù)非必選

難度系數(shù)非必選

事務(wù)列表非必選

——區(qū)塊鏈的事務(wù)數(shù)據(jù)可包含但不限于的數(shù)據(jù)元素見表5；

表5區(qū)塊鏈事務(wù)數(shù)據(jù)

數(shù)據(jù)元素是否必選

事務(wù)標識必選

事務(wù)類型必選

簽名者

必選

事務(wù)時間戳

必選

10

DB51/T3189—2024

——區(qū)塊鏈的實體數(shù)據(jù)應(yīng)包含的數(shù)據(jù)元素見表6；

表6區(qū)塊鏈實體數(shù)據(jù)

數(shù)據(jù)元素是否必選

發(fā)起方地址必選

接收方地址必選

事務(wù)處理發(fā)生額非必選

事務(wù)處理費用非必選

存儲數(shù)據(jù)非必選

附件數(shù)據(jù)非必選

實體數(shù)據(jù)備注非必選

——區(qū)塊鏈的合約數(shù)據(jù)可包含但不限于的數(shù)據(jù)元素見表7；

表7區(qū)塊鏈合約數(shù)據(jù)

數(shù)據(jù)元素是否必選

合約標識必選

合約版本號必選

合約代碼必選

合約存儲必選

合約所有者必選

——區(qū)塊鏈的配置數(shù)據(jù)應(yīng)包含但不限于的數(shù)據(jù)元素見表8。

表8區(qū)塊鏈配置數(shù)據(jù)

數(shù)據(jù)元素是否必選

協(xié)議版本號非必選

版本軟件號必選

節(jié)點標識必選

節(jié)點地址必選

節(jié)點公鑰非必選

7.3.2數(shù)據(jù)通信

區(qū)塊鏈的數(shù)據(jù)通信應(yīng)具有的能力包括：

11

DB51/T3189—2024

——支持P2P通信；

——支持節(jié)點間安全通信，防止數(shù)據(jù)在傳輸途中被篡改；

——數(shù)據(jù)傳輸連接建立之前對發(fā)送方和接收方進行身份鑒別的能力；

——數(shù)據(jù)傳輸應(yīng)采用統(tǒng)一時間標準，具備對傳輸數(shù)據(jù)的可用性進行檢測的能力；

——支持節(jié)點間數(shù)據(jù)傳輸?shù)耐暾则炞C；

——節(jié)點通信提供數(shù)據(jù)廣播的能力。

7.3.3數(shù)據(jù)存儲

區(qū)塊鏈的數(shù)據(jù)存儲應(yīng)具有以下能力：

——節(jié)點數(shù)據(jù)應(yīng)具備加密存儲能力；

——支持全節(jié)點，提供獨立的、完整的數(shù)據(jù)存儲能力；

——宜提供批量數(shù)據(jù)從鏈上下載到本地數(shù)據(jù)庫的服務(wù)；

——宜提供區(qū)塊鏈瀏覽器，上鏈數(shù)據(jù)的數(shù)據(jù)查找、定位、統(tǒng)計功能；宜提供數(shù)據(jù)本地化瀏覽服務(wù)；

——需支持設(shè)置用戶訪問權(quán)限，數(shù)據(jù)信息應(yīng)進行安全保護分級；

——需具備一定容災(zāi)性功能，應(yīng)保證當任意不超過區(qū)塊鏈平臺聲明數(shù)量的節(jié)點發(fā)生故障，整個系

統(tǒng)工作正常。

7.3.4數(shù)據(jù)處理

區(qū)塊鏈的數(shù)據(jù)處理應(yīng)具有以下能力：

——需具備披露網(wǎng)絡(luò)及系統(tǒng)的配置信息的功能，包括區(qū)塊配置方式，網(wǎng)絡(luò)環(huán)境、共識機制等；

——需滿足指定業(yè)務(wù)場景的數(shù)據(jù)處理效率指標，例如交易數(shù)據(jù)和賬戶的處理；

——需符合共識機制對數(shù)據(jù)的處理標準流程，包括事務(wù)接收、事務(wù)執(zhí)行、事務(wù)打包、事務(wù)驗證和

事務(wù)提交；

——需具備現(xiàn)實數(shù)據(jù)映射上鏈應(yīng)進行標準化處理和合法性驗證的功能；

——宜支持從約定的信息系統(tǒng)或特定的數(shù)據(jù)來源渠道直接抽取或智能化采集等方式，對約定上鏈

的數(shù)據(jù)進行采集或提取，約定上鏈的數(shù)據(jù)必須是真實和準確的；

——宜支持提供數(shù)據(jù)目錄的發(fā)布、更新等數(shù)據(jù)目錄服務(wù)；

——宜支持按區(qū)塊鏈系統(tǒng)要求提供數(shù)據(jù)發(fā)布服務(wù)；

——宜提供批量數(shù)據(jù)上載發(fā)布服務(wù)功能。

7.3.5數(shù)據(jù)同步

區(qū)塊鏈的數(shù)據(jù)同步應(yīng)具有以下能力：

——需支持對全部節(jié)點或部分節(jié)點按照一定的算法同步區(qū)塊數(shù)據(jù)；

——新增節(jié)點應(yīng)能同步全部或部分鏈上信息時，需滿足區(qū)塊鏈平臺聲明的效率要求；

——所有參與共識驗證的節(jié)點在進行同步時應(yīng)達到要求的最低效率指標；

——輕節(jié)點通過全節(jié)點進行數(shù)據(jù)同步流程應(yīng)只同步關(guān)聯(lián)賬戶數(shù)據(jù)；

——數(shù)據(jù)同步內(nèi)容宜包括但不限于區(qū)塊數(shù)據(jù)結(jié)構(gòu)內(nèi)容，根據(jù)業(yè)務(wù)需求和所負職責確定具體需要同

步的內(nèi)容；

——需符合數(shù)據(jù)同步處理方式和流程：區(qū)塊將區(qū)塊內(nèi)容推送給區(qū)塊鏈網(wǎng)絡(luò)內(nèi)的其他節(jié)點時采用廣

播推送式，向其他記賬節(jié)點進行數(shù)據(jù)同步采用消息訂閱式；

——區(qū)塊鏈數(shù)據(jù)同步宜采用能減少賬本數(shù)據(jù)的重建工作的技術(shù)或技術(shù)方案來增加同步效率；

——數(shù)據(jù)同步宜采用設(shè)定系統(tǒng)的區(qū)塊數(shù)量自動檢測點、多方參與狀態(tài)數(shù)據(jù)恢復(fù)等技術(shù)方式使同步

過程具備高可靠性；

12

DB51/T3189—2024

——區(qū)塊鏈賬本數(shù)據(jù)同步能力需為各個區(qū)塊鏈引擎必備的基本能力。

8區(qū)塊鏈應(yīng)用支撐層基本要求

8.1共識機制

8.1.1共識達成的標準流程

8.1.1.1共識機制要素

共識機制要素應(yīng)包括：

——達成一致：機制將收集群體中所有一致意見；

——合作：群體中每個個體都是為了達成一致，從而群體利益一致；

——權(quán)利平等：群體中每個個體參與者都有相同的競爭權(quán)利；

——參與：群體中每個個體都需要參與；

——積極性：群體中每個個體具有相同的活躍度。

8.1.1.2共識機制流程

共識機制流程應(yīng)包括：

a)加入共識：這個階段決定哪些節(jié)點可以參與共識，縮小參與共識的節(jié)點范圍。比如在PoS里

面，則是需要持有代幣或者交保證金才能參與共識。在DPoS里面，代理人需要獲得足夠多的

投票才能參與共識；

b)生成區(qū)塊：采用共識算法（一定規(guī)則）從參與共識的節(jié)點里挑選相應(yīng)的節(jié)點，由該節(jié)點將交

易打包生成新的區(qū)塊；

c)進行驗證和投票，節(jié)點驗證更新區(qū)塊。投票涉及區(qū)塊投票和用消息投票兩種方式，每個區(qū)塊

都是一張票（票有權(quán)重，例如工作量證明），高度最長、包含的區(qū)塊（票數(shù)）最多即為勝出

的鏈。

8.1.2共識機制應(yīng)用要點

區(qū)塊鏈共識算法應(yīng)用要點見表9。

表9區(qū)塊鏈共識算法應(yīng)用要點

共識機制算法應(yīng)用要點

工作量證明類共識機制Proof-of-Work(1)應(yīng)將區(qū)塊頭數(shù)據(jù)帶入哈希函數(shù)計算公式；

(2)應(yīng)不斷調(diào)整區(qū)塊頭數(shù)據(jù)中的隨機數(shù)；

工作量證明

(3)應(yīng)計算出滿足特定標準的哈希值完成工作量證明。

13

DB51/T3189—2024

表9區(qū)塊鏈共識算法應(yīng)用要點（續(xù)）

共識機制算法應(yīng)用要點

(1)用于規(guī)范區(qū)塊鏈上新區(qū)塊的驗證；

Proof-of-Capacity

(2)更多關(guān)注內(nèi)存而不是處理能力；

容量證明

(3)將工作量證明機制中的算力資源替換為磁盤空間資源，礦工之

間通過比拼磁盤空間大小來競爭最后的記賬權(quán)。

(1)節(jié)點通過“抵押”一定數(shù)量的加密貨幣來參與區(qū)塊的驗證；

Proof-of-Stake

(2)獲得新區(qū)塊記賬權(quán)的概率與驗證者持有的代幣數(shù)量成正比；

權(quán)益證明

(3)引入了懲罰機制，如果驗證者被發(fā)現(xiàn)進行不當行為（如雙重支

付攻擊），其抵押的加密貨幣會被部分或全部沒收（稱為

“Slashing”）。

(1)通過投票選舉出一定數(shù)量的代表來達成共識；

Delegated

(2)所有節(jié)點都可以自主選擇投票的對象，選舉產(chǎn)生的代表按

Proof-of-Stake委

順序記賬。

托權(quán)益證明

(1)在PoS中用戶所擁有的網(wǎng)絡(luò)中令牌的百分比，表示了該用戶“發(fā)

Proof-of-Weight

現(xiàn)”下一個區(qū)塊的概率；

權(quán)重證明

(2)權(quán)重證明使用了完全不同的加權(quán)值。

(1)該共識機制允許拜占庭容錯，允許強監(jiān)督節(jié)點參與，具備權(quán)限

其他類共識機制Practical

分級能力；

ByzantineFault

(2)所有節(jié)點都在相同的配置下運行，且有一個主節(jié)點，其他節(jié)點

Tolerance實用拜占作為備份節(jié)點。

庭容錯

(1)將用戶的私鑰與授權(quán)的身份進行比較；

Proof-of-Identity

(2)用戶私鑰的一段加密證據(jù)，該私鑰以加密方式附加到特定的交

身份證明

易中；

(3)身份證明確保創(chuàng)建的數(shù)據(jù)的完整性和真實性。

(1)Raft共識模塊中使用心跳機制來觸發(fā)Leader選舉；

Replicationand

(2)領(lǐng)導(dǎo)者負責將日志復(fù)制到關(guān)注者。它通過發(fā)送心跳消息定期通

FaultTolerant基于

知追隨者它的存在；

領(lǐng)導(dǎo)者驅(qū)動的共識模(3)每個跟隨者都有一個超時時間，它期望領(lǐng)導(dǎo)者的心跳，接收心

型跳時重置超時時間；