TFJBCA 001-2022 聯(lián)盟鏈通用技術要求

ICS35.240CCSI65T/FJBCA福建省區(qū)塊鏈協(xié)會團體標準T/FJBCA001—2022聯(lián)盟鏈通用技術要求GeneraltechnicalrequirementsofConsortiumBlockchain2022-01-17發(fā)布 2022-02-17實施福建省區(qū)塊鏈協(xié)會??發(fā)布T/FJBCA001—2022T/FJBCA001—2022II目 次前言 II范圍 1規(guī)范性引用文件 1術語、定義和縮略語 1總體要求 3數(shù)據(jù)要求 3共識機制 4智能合約 5身份要求 5接口要求 6性能要求 6運維要求 7安全要求 9附錄A（規(guī)范性） 接口管理 10參考文獻 14T/FJBCA001—2022T/FJBCA001—2022學兔兔學兔兔標準下載前 言本文件按照GB/T1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規(guī)則》的定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由熵鏈科技（福建）有限公司提出。本文件由福建省區(qū)塊鏈協(xié)會歸口。（福建）有限公司、福建福鏈科技有限公司、數(shù)字福建區(qū)塊鏈工程實驗室、福建省工業(yè)互聯(lián)網(wǎng)+區(qū)塊鏈聯(lián)合實驗室、三明市信息產業(yè)發(fā)展有限公司本文件主要起草人：宋志剛、斯雪明、陳意斌、王超博、毛岱山、李躍發(fā)、林朱瑞、鄭松、華東、王聚師、黃勝魁、張毅瑜、王彬彬、鐘山、柯亞萍、肖苗苗、林涌、陳一彬、張耀森、柳書苗、齊賀、鄧婕II聯(lián)盟鏈通用技術要求范圍規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T5271.18—2018 信息技術 詞匯 第18部分：分布式數(shù)據(jù)處GB/T22239—2019 信息安全技術網(wǎng)絡安全等級保護基本要求GB/T25069—2010 信息安全技術 術語GB/T37043—2018 智慧城市 術語GM/T0004—2012 SM3密碼雜湊算法GM/T0009—2012 SM2密碼算法使用規(guī)范GM/T0019—2012 通用密碼服務接口規(guī)GM/T0028—2014 密碼模塊安全技術要求GM/T0029—2014 簽名驗簽服務器技術規(guī)范JR/T0184—2018 金融分布式賬本技術安全規(guī)范術語、定義和縮略語術語和定義下列術語和定義適用于本文件。區(qū)塊鏈 blockchain注：事務處理包括但不限于可信數(shù)據(jù)的產生、存取和使用等。[來源：GB/T37043—2018,2.5.8]聯(lián)盟鏈 consortiumblockchain也稱許可鏈，由多個通過身份驗證的組織經(jīng)許可后參與構成并共同運營管理的區(qū)塊鏈。智能合約 smartcontract1[來源：JR/T0184—2020，3.20，有修改]節(jié)點 node在網(wǎng)絡中，將其連接到一個或多個其他實體的實體。[來源：GB/T5271.18—2008，18.01.02]交易 transaction區(qū)塊鏈上的一次原子性賬本數(shù)據(jù)狀態(tài)變更及其過程和結果記錄。數(shù)字簽名 digitalsignature[來源：GB/T25069—2010，76]身份證書 certificate關于實體的一種數(shù)據(jù)，該數(shù)據(jù)由認證機構的私鑰或秘密密鑰簽發(fā)，并無法偽造。[來源：GB/T25069—2010，18]CA證書 CA-certificate由一個CA頒發(fā)給另一個CA的證書。[來源：GB/T25069—2010，19]散列/雜湊算法 hashfunction將比特串映射為固定長度的比特串的算法，該算法滿足下列特性：——對于給定輸出，找出映射為該輸出的輸入，在計算上是不可行的——對于給定輸入，找出映射為同一輸出的第二個輸入，在計算上是不可行的注：計算上的可行性取決于特定的安全要求和環(huán)境[來源：GB/T25069—2010，66]共識算法 consensusalgorithms縮略語下列縮略語適用于本文件。PoW工作量證明Proof-of-WorkPoS權益證明Proof-of-StakeDPoS委托權益證明Delegated-Proof-of-Stake2RAFT分布式一致性復制協(xié)議ReplicatedAndFaultTolerantPBFT實用拜占庭容錯算法PracticalByzantineFaultToleranceDDoS分布式拒絕服務DistributedDenialofServicePKI公鑰基礎設施PublicKeyInfrastructureTPS4 總體要求每秒事務處理個數(shù)TransactionsPerSecond聯(lián)盟鏈的參與組織應不少于兩個，運行節(jié)點宜不低于四個，各組織相互獨立且擁有身份證書及保存數(shù)據(jù)的節(jié)點等資源。聯(lián)盟鏈應基于某種算法提供能追溯的數(shù)據(jù)結構如分布式賬本，并通過以區(qū)塊或其他組織形式為單位將一段時間內發(fā)生的交易數(shù)據(jù)進行存儲和同步。應提供智能合約服務，具備將業(yè)務規(guī)則等集成到分布式應用程序中的能力。應提供跨鏈服務，實現(xiàn)一個鏈到另一個鏈的通信協(xié)議。本文件不對跨鏈技術實現(xiàn)做要求。應具備身份管理及權限控制機制，如基于合約、用戶、區(qū)塊鏈等級別分級進行權限控制。應具備隱私保護機制，所有加密保護機制均應符合國家加密算法規(guī)定。應具備安全防護機制，能抵抗或應對智能合約攻擊、共識機制攻擊、算法漏洞攻擊、核心代碼攻擊、網(wǎng)絡通訊攻擊、基礎協(xié)議缺陷等問題。數(shù)據(jù)要求數(shù)據(jù)結構應具有防篡改性，宜使用塊鏈式或近似塊鏈式的存儲結構并使用哈希鏈接和嵌套保證數(shù)據(jù)無法被篡改。應具有可追溯性，任何歷史數(shù)據(jù)的生成、變更、刪除，均可追溯其發(fā)起者及達成共識者。數(shù)據(jù)通信GM/T0003.3通信通道建立時，應使用工作密鑰對通信過程中的整個報文或會話進行加密處理并使用符合國家密碼標準的技術來建立安全通信通道，確保通信數(shù)據(jù)的保密性。通信協(xié)議制定時，應包含應對通信延時、中斷、數(shù)據(jù)完整性被破壞等情況的處理機制，確保通信時數(shù)據(jù)的完整性。數(shù)據(jù)存儲實行數(shù)據(jù)分類存儲制度，涉及證書、私鑰等重要/敏感信息可根據(jù)需求按本文件“12.1加密要求”進行加密處理并設置訪問權限。3設立存儲空間監(jiān)控預警機制，應提供因存儲空間問題導致的數(shù)據(jù)存儲異常應急處理方案。數(shù)據(jù)處理身份數(shù)據(jù)應按照本文件“8數(shù)據(jù)處理過程應符合本文件“12數(shù)據(jù)同步數(shù)據(jù)同步應在確保數(shù)據(jù)一致性、完整性的前提下進行，并提供相應的校驗手段確保同步后參與共識的所有節(jié)點數(shù)據(jù)一致、完整。注：數(shù)據(jù)同步與參照節(jié)點無關。交易同步應能覆蓋到所有需對此交易達成共識的節(jié)點，且交易同步需在合理時間內完成。合理時間指在交易過期前能給交易處理和交易共識留出足夠多處理時間。數(shù)據(jù)保護在區(qū)塊鏈技術實施過程中應充分考慮上鏈數(shù)據(jù)的隱私保護工作，對于不應公開的或部分公開的數(shù)據(jù)必須實施隱私保護。優(yōu)先采用密碼學算法實現(xiàn)隱私保護，如雜湊函數(shù)、對稱加密、非對稱加密、零知識證明等；對于需進行數(shù)學計算的數(shù)據(jù)，優(yōu)先考慮使用隱私計算技術，如同態(tài)加密、多方安全計算等。應采用身份證書技術和數(shù)字簽名技術確保數(shù)據(jù)真實、完整、可追溯。共識機制共識算法共識算法應具備一致性和可用性，應滿足以下要求：應能夠在參與節(jié)點互不信任的基礎上達成共識；應支持節(jié)點獨立進行智能合約的運行和驗證，節(jié)點間不相互依賴，不相互影響；應具備一致性：任意節(jié)點發(fā)起更新賬本請求，完成共識后，系統(tǒng)中參與共識的節(jié)點對該交易的處理的結果應該是一致的。且賬本狀態(tài)更新后所有節(jié)點（包括參與共識的節(jié)點和不參與共識的節(jié)點）的賬本最終狀態(tài)一致；共識的達成應該在有限時間內完成，且該時間應能滿足業(yè)務要求；應具備抗針對共識的惡意攻擊的能力，能抵抗的攻擊應至少包括女巫攻擊、日蝕攻擊、重放攻擊、DDoS共識容錯共識容錯機制應滿足以下要求：應能協(xié)調聯(lián)盟鏈各參與方有序參與數(shù)據(jù)打包和共識過程，并保證各參與方的數(shù)據(jù)一致性；系統(tǒng)無故障節(jié)點或欺詐節(jié)點時，應能在規(guī)定時間內達成共識，輸出正確結果；4在誠實節(jié)點數(shù)量超過(2n+1)/3，（n智能合約機制要求智能合約的執(zhí)行應在多方達到共識的前提下進行，未達成共識不可執(zhí)行。智能合約的執(zhí)行是原子操作，執(zhí)行過程中發(fā)生錯誤應回滾，所有的執(zhí)行被回撤，沒有中間態(tài)。智能合約的執(zhí)行應具備一致性，合約在所有參與共識節(jié)點上的執(zhí)行結果應一致。合約重復執(zhí)行時，在初始條件不變的前提下，執(zhí)行結果保持不變。智能合約應具備業(yè)務隔離性，不同合約業(yè)務數(shù)據(jù)互不干擾并按需隔離存儲。智能合約的執(zhí)行需滿足充分的檢查，至少應包括：合約調用者身份為本聯(lián)盟鏈參與組織頒發(fā)的（如針對接口和入?yún)⒌暮灻栌姓{用者簽名并能（如提供節(jié)點簽名攻擊防范要求應有機制保證智能合約的執(zhí)行需在預期時間內完成，防止系統(tǒng)因無法從無限循環(huán)等邏輯中跳出從而失去活性。智能合約在編寫中應充分考慮合約層面的安全風險，如數(shù)值溢出錯誤，本地環(huán)境數(shù)據(jù)獲取（如使用本機時間）導致的無法共識等。應有相應機制保障在系統(tǒng)遭受攻擊、服務受到影響時，維護人員可人工干預，恢復服務。身份要求身份定義PKI國際InerntioalTeecomUnin-TelcomuniatinStadarizaionSecor）X.509證書頒發(fā)CACACACA（如證書白名單）發(fā)起的交易方可被接受。證書生命周期管理應建立具有健全的證書生命周期的信息系統(tǒng)，確保生命周期內證書信息安全。5生命周期管理包括證書的申請、頒發(fā)、撤銷；聯(lián)盟鏈參與組織需有能力完成如上操作，并保證各項操作的安全性。使用證書時，應檢查證書的有效性。節(jié)點標識各節(jié)點應明確授權機構及管理員。節(jié)點加入前，應給予其在系統(tǒng)內唯一的節(jié)點標識，提供與之對應的標識鑒別信息和標識憑證，并在憑證中指定節(jié)點角色，其中：標識鑒別信息應不易被仿冒；標識憑證應具有完整性和真實性。節(jié)點之間傳輸加密前，應先通過標識鑒別信息實現(xiàn)雙向身份認證，建立一條安全的數(shù)據(jù)通信信道，并滿足本文件“12.1應設立節(jié)點標識認證失敗處理機制，采取結束通信、限制認證失敗次數(shù)和超時自動結束等措施予以處理。接口要求接口應設計良好，具有可擴展性及兼容性，并隱藏底層實現(xiàn)細節(jié)。接口的調用方法應有詳細說明。應至少包括接口的功能、編碼格式、參數(shù)、返回值、使用方式、A接口調用應保障安全性，服務方和調用方應互相驗證身份，并保障調用過程中數(shù)據(jù)隱私性及完整TLS應采用鑒權機制控制接口的訪問權限。性能要求交易性能智能合約執(zhí)行性能智能合約執(zhí)行性能以簡單轉賬（例如以太坊ERC20合約轉賬)為例，應滿足以下要求：TPS1500；TPS95%；TPS5應在異常場景發(fā)生并恢復后仍能維持智能合約調用交易性能。查詢性能查詢性能應滿足以下要求：5000/2000/65000/1000/交易和塊的同步性能交易和塊的同步性能應滿足以下要求：TPSTPS10.1.1交易同步時，節(jié)點收到的冗余交易比例不高于申明的數(shù)值；節(jié)點在網(wǎng)絡波動，重啟等異常場景恢復后，廣播/同步交易的速率應能滿足設計要求；節(jié)點同步并寫入?yún)^(qū)塊所耗費的時間應不高于出塊時間。交易確認時間單位時間內交易請求量不大于申明的TPS2運維要求系統(tǒng)監(jiān)控應支持自定義設置監(jiān)控采集數(shù)據(jù)資料庫保存時間。應支持自動警告推送功能。宜具備系統(tǒng)狀態(tài)監(jiān)控結果實時可視化展示的能力。節(jié)點管理應在系統(tǒng)保持正常服務的前提下動態(tài)或靜態(tài)增刪節(jié)點。應對節(jié)點運行狀態(tài)以及節(jié)點與其他節(jié)點的連接進行監(jiān)控。宜能提供節(jié)點數(shù)據(jù)備份能力。宜能提供新節(jié)點快速參與共識服務的能力，如通過快照恢復節(jié)點。日志管理應具備系統(tǒng)日志能力：7T/FJBCA001—2022T/FJBCA001—2022PAGEPAGE14支持各類事件日志記錄，日志需完整正確；支持對節(jié)點日志進行管理，可對各個節(jié)點日志進行檢索。密鑰管理密鑰生成密鑰算法類型和密鑰長度需滿足系統(tǒng)安全要求。密鑰存儲基于軟件方案存儲的密鑰應實現(xiàn)對密鑰的加密存儲?；谟布桨复鎯Φ拿荑€應符合國家密碼管理部門的硬件安全模塊存儲要求?？墒褂媒?jīng)國家密碼主管部門認可的其他類型密鑰存儲方式。宜避免集中存儲密鑰。密鑰使用密鑰應按需隔離使用。應支持基于非對稱密鑰對實現(xiàn)認證算法和簽名算法。應支持基于非對稱密鑰對的加解密算法。設備管理加密機應放于專門區(qū)域，指定專人管理，并定期進行維護管理。應采用白名單機制控制對加密機的訪問，阻止非授權設備訪問加密機。嚴格控制加密機的變更操作，經(jīng)過審批后才可進行變更操作，并須留下變更相關的審計日志。加密機以外的設備應遵循GB/T22239—2019“信息安全技術 網(wǎng)絡安全等級保護基本要求中的相關要求。對網(wǎng)絡中的節(jié)點性能，需要根據(jù)實際承載的業(yè)務場景協(xié)商接入標準。注：網(wǎng)絡中節(jié)點性能指標包括CPU、內存、帶寬等指標。數(shù)據(jù)/漏洞維護管理漏洞發(fā)現(xiàn)/修復要求數(shù)據(jù)備份/恢復要求賬本數(shù)據(jù)備份策略根據(jù)業(yè)務需要進行實時備份。密鑰等關鍵數(shù)據(jù)備份策略根據(jù)業(yè)務需要進行定期備份。安全要求加密要求GMT000GMT000GMT000、GM/T0010、GM/T0015、GM/T0028、GM/T0029身份安全要求應具有機密性，可采用對稱和非對稱加密技術，確保敏感信息不被竊取。應具有完整性，可采用數(shù)字摘要確保身份信息不被篡改。應具有真實性，身份鑒別可采用數(shù)字證書確保身份真實性。應具有不可抵賴性，可采用數(shù)字簽名確保數(shù)據(jù)發(fā)送方不可否認自己的信息。網(wǎng)絡傳輸安全應在參與聯(lián)盟鏈的節(jié)點之間建立安全傳輸通道，保證數(shù)據(jù)傳輸?shù)耐暾院筒豢纱鄹男?。應對?shù)據(jù)和信息采取相應的防護措施，保證其能抵抗篡改、重放等主動或被動攻擊。應保證節(jié)點間通信過程中敏感信息字段或整個報文的保密性，宜采用密碼學技術。應確保信息在存儲、傳輸過程中不被非授權用戶讀取和篡改，可采用有權限的網(wǎng)絡訪問控制，在參與分布式賬本節(jié)點之間構建虛擬專用網(wǎng)絡（VPN），降低網(wǎng)絡攻擊造成的危害。物理安全場地安全部署物理數(shù)據(jù)中心及附屬設施的，用于業(yè)務運行、數(shù)據(jù)存儲和處理的物理設備需符合國家監(jiān)管要求。節(jié)點部署安全確保部署節(jié)點的硬件設備存儲容量可擴展，避免因數(shù)據(jù)容量達到上限而無法同步賬本。硬件設備應對設備運行狀態(tài)、資源使用情況等進行監(jiān)控，能在發(fā)生異常時發(fā)出告警。設備和存儲介質在重用、報廢或更換時，能對其承載的數(shù)據(jù)進行清除且不可恢復。附 錄 A（規(guī)范性）接口管理外部接口外部接口評估內容見表A.1。表A.1 外部接口評估內容表序號實現(xiàn)要求評估方法結果判定適用對象1傳入分布式系統(tǒng)的數(shù)據(jù)應是可信的外部數(shù)據(jù)源，外部接口宜做限定來確保數(shù)據(jù)源的真實可信查閱材料測試系統(tǒng)系統(tǒng)接口文檔中提供了外部數(shù)據(jù)源接入用戶的賬戶安全認證要求。據(jù)不可篡改；或者數(shù)據(jù)修改后能否被發(fā)現(xiàn)。金融業(yè)務系統(tǒng)、科技產品2外部接口應設置白名單制度查閱材料查看系統(tǒng)測試系統(tǒng)管理員權限用戶可設置訪問白名單。鑒權成功后，調用預言機服務?？睢＝鹑跇I(yè)務系統(tǒng)、科技產品3系統(tǒng)應明確告知用戶外部方法調用查閱材料查看系統(tǒng)測試系統(tǒng)設計文檔包含接口調用方法的說明。系統(tǒng)提供了調用接口示例。系統(tǒng)提供了接口調用測試沙箱環(huán)境。金融業(yè)務系統(tǒng)、科技產品4應保證數(shù)據(jù)源傳輸?shù)椒植际较到y(tǒng)的過程中，數(shù)據(jù)真實可靠不被篡改，且傳輸?shù)椒植际较到y(tǒng)中后，應保證各節(jié)點上數(shù)據(jù)的一致性查閱材料查看系統(tǒng)測試系統(tǒng)實現(xiàn)方式有完整說明，能夠保證數(shù)據(jù)的真實可靠不被篡改。設計文檔中包含系統(tǒng)存儲外部數(shù)據(jù)結果基于節(jié)點共識描述。安全配置與設計文檔一致。5期結果。金融業(yè)務系統(tǒng)、科技產品5應支持可信執(zhí)行環(huán)境，保證數(shù)據(jù)處理過程的可信安全查閱材料查看系統(tǒng)測試系統(tǒng)的可信環(huán)境執(zhí)行方案。設計文檔為開發(fā)人員提供不同類型的可信執(zhí)行環(huán)境的接口API，并與設計文檔支持的可信執(zhí)行環(huán)境類型和版本一致。系統(tǒng)配置文件包含可信執(zhí)行環(huán)境參數(shù)配置，符合設計文檔。結果符合預期結果。金融業(yè)務系統(tǒng)、科技產品用戶接口用戶接口評估內容見表A.2。表A.2 用戶接口評估內容表序號實現(xiàn)要求評估方法結果判定適用對象1詳細說明文檔查閱材料接口說明中有接口功能和接口使用方式的詳細說明。參數(shù)至少包括參數(shù)的類型、參數(shù)取值范圍等信息。接口文檔中有接口的錯誤碼含義及產生原因相關描述。接口手冊為開發(fā)人員提供與設計實現(xiàn)版本一致的說明。金融業(yè)務系統(tǒng)、科技產品2權限查閱材料查看系統(tǒng)理到接口的粒度。用戶對接口的訪問有鑒權機制。設計文檔為開發(fā)人員提供針對不同用戶對不同接口的鑒權機制及訪問權限要求的詳細描述。系統(tǒng)配置文件中用戶的鑒權機制配置和接口訪問控制配置與設計文檔一致。金融業(yè)務系統(tǒng)、科技產品3SDK件查閱材料查看系統(tǒng)測試系統(tǒng)SDK設計文檔對不同開發(fā)語言的SDK持一致。SDKSDK系統(tǒng)配置文件中不同開發(fā)語言的SDK計文檔一致。金融業(yè)務系統(tǒng)、科技產品4針對不同版本的區(qū)塊鏈系統(tǒng)，應提供對應版本的所有相關接口文檔查閱材料查看系統(tǒng)本的接口規(guī)劃和設計。接口文檔內對于不同版本系統(tǒng)涉及的接口有詳細的功能描述及差異性解釋。金融業(yè)務系統(tǒng)、科技產品管理接口管理接口評估內容見表A.3。表A.3 管理接口評估內容表序號實現(xiàn)要求評估方法結果判定適用對象1.設計文檔包含明確的管理接口功能說明。1應提供管理接口說明查閱材料查看系統(tǒng)測試系統(tǒng)系統(tǒng)管理接口的實現(xiàn)與設計文檔說明一致?？萍籍a品4.設計文檔提供接口說明，支持編寫測試腳本進行管理接口測表A.3（續(xù)）序號實現(xiàn)要求評估方法結果判定適用對象試。系統(tǒng)能夠監(jiān)控管理接口健康狀態(tài)。1.設計文檔包含管理接口訪問方式及權限控制說明。2應保證只有登錄節(jié)點服務器的管理員，才能訪問系統(tǒng)管理員級別的運維接口查閱材料查看系統(tǒng)測試系統(tǒng)系統(tǒng)在接受管理員訪問運維接口時，具有判斷管理員是否已登錄節(jié)點服務器的判斷，且與方案說明一致。系統(tǒng)中只有登錄節(jié)點服務器的管理員才能訪問系統(tǒng)管理員級別的運維接口。設計文檔包含管理員的職責和權限。設計文檔具備符合系統(tǒng)管理員登錄、注銷和注冊機制的安全規(guī)科技產品范和標準。3應確保系統(tǒng)管理員能使用管理接口創(chuàng)建不同級別的用戶，并設置用戶可訪問的接口查閱材料查看系統(tǒng)設計文檔包含管理接口創(chuàng)建用戶的說明。RBAC文檔包含明確的系統(tǒng)管理員的職責和權限，并與實際相符。系統(tǒng)能完成用戶創(chuàng)建，創(chuàng)建后的用戶及其權限分配與設計文檔相關說明一致。6.系統(tǒng)具備記錄用戶訪問日志，便于監(jiān)管審計?？萍籍a品1.設計文檔包含系統(tǒng)管理員用戶數(shù)量限制的說明及系統(tǒng)管理員賬4應控制系統(tǒng)管理員數(shù)目，并保證其安全性查閱材料查看系統(tǒng)戶安全