區(qū)塊鏈 安全指標要求與測試方法

1區(qū)塊鏈安全指標要求與測試方法本文件規(guī)定了區(qū)塊鏈安全相關(guān)的術(shù)語和定義，區(qū)塊鏈平臺及應用的安全評價指標和評測方法。本文件適用于以產(chǎn)品形式交付的區(qū)塊鏈系統(tǒng)及平臺，也適用于技術(shù)可行的開源區(qū)塊鏈系統(tǒng)的研發(fā)、測試、評估和驗收等2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件GB/T42570—2023信息安全技術(shù)區(qū)塊鏈技術(shù)安全框架GB/T42571—2023信息安全技術(shù)區(qū)塊鏈信息服務安全規(guī)范JR/T0184—2020金融分布式賬本技術(shù)安全規(guī)范3術(shù)語和定義GB/T42570-2023、GB/T42571—2023、JR/T0184-2020界定的以及下列術(shù)語和定義適用于本文件。區(qū)塊鏈blockchain將區(qū)塊順序相連。并通過共識協(xié)議、數(shù)字簽名、雜湊函數(shù)等密碼學方式保證的抗篡改和不可偽造的分布式賬本。具有特定功能的區(qū)塊鏈組件，可獨立運行的單元區(qū)塊鏈中通過數(shù)學算法實現(xiàn)不同節(jié)點之間對交易達成一致的方法。[來源：GB/T42570—2023,定義3.9]智能合約smartcontract2YD/XXXX-XXXX存儲在分布式賬本中的計算機程序，由區(qū)塊鏈用戶部署，其任何執(zhí)行結(jié)果都記錄在分布式賬本中。智能合約的一種執(zhí)行環(huán)境，在虛擬機中執(zhí)行智能合約可獲得確定性的一致結(jié)果和一致的資源消耗。崩漬容錯crashfaulttolerance系統(tǒng)在故障的情況下，自動恢復或用其他方式保證系統(tǒng)正常運行。拜占庭容錯byzantinefaulttolerance部分共識節(jié)點產(chǎn)生任意軟件錯誤、硬件錯誤、被網(wǎng)絡敵手攻擊時，共識協(xié)議仍然具有可證明安全性。[來源：GB/T42570-2023,定義3.雙花doublespending區(qū)塊鏈或分布式賬本中，通證或加密資產(chǎn)的控制權(quán)被錯誤地轉(zhuǎn)移多次的行為。[來源：GB/T42571—2023,定義3.節(jié)點偽造多個身份產(chǎn)生多個備份，以較少的備份削弱賬本一致性的攻擊方式.攻擊者通過侵占節(jié)點的路由表，將足夠多的虛假節(jié)點添加到被攻擊節(jié)點的鄰居節(jié)點集合中，從而將被攻擊節(jié)點隔離于正常區(qū)塊鏈網(wǎng)絡之外下列縮略語適用于本文件。CA:證書頒發(fā)機構(gòu)(CertificationAuthority)DDoS:分布式拒絕服務攻擊(DistributedTLS:傳輸層安全協(xié)議(TransportLayerSecurity)UTXO:未花費的交易輸出(UnspentTransnctionOuput)YD/TXXXX-xxXX6.4數(shù)據(jù)保密性區(qū)塊鏈系統(tǒng)/平臺宜具備對特定或敏感數(shù)據(jù)隱私保護的能力。指標要求包括：a)區(qū)塊鏈系統(tǒng)/平臺應根據(jù)應用需求，對特定或敏感數(shù)據(jù)進行加密存儲，提供隱私數(shù)據(jù)的授權(quán)訪問能力：b)區(qū)塊鏈系統(tǒng)/平臺宜對用戶信息的收集范圍、保存時間、訪問控制、公開展示等過程采用最小化原則處理：c)區(qū)塊鏈系統(tǒng)/平臺宜對重要數(shù)據(jù)進行數(shù)據(jù)隔離：d)區(qū)塊鏈系統(tǒng)/平臺宜支持常用的隱私保護技術(shù)，如同態(tài)加密、零知識證明、多方安全計算等。7密碼算法安全評價指標區(qū)塊鏈系統(tǒng)/平臺及平臺使用的密碼算法應實現(xiàn)數(shù)據(jù)的機密性、完整性、真實性7.2密碼算法要求區(qū)塊鏈系統(tǒng)/平臺應使用主流的密碼算法，以及推薦使用的算法參數(shù)。指標要求包括：a)在數(shù)據(jù)需要進行簽名/驗簽或者非對稱加密時，支持采用主流算法：b)在數(shù)據(jù)需要計算區(qū)塊/交易哈希時，支持采用主流哈希算法：c)在數(shù)據(jù)需要采用對稱算法提供保密安全時，支持采用主流算法。7.3密鑰強度要求區(qū)塊鏈系統(tǒng)/平臺使用的密鑰強度保證足夠的抗攻擊性。指標要求包括：a)區(qū)塊鏈系統(tǒng)使用的密鑰強度應具備足夠的抗攻擊性，建議安全強度宜不低于128位b)區(qū)塊鏈系統(tǒng)宜支持密鑰升級。7.4私鑰管理安全區(qū)塊鏈系統(tǒng)/平臺應保證私鑰在生成、傳輸、使用等過程的安全。指標要求包括：區(qū)塊鏈系統(tǒng)應具備基于軟件或硬件的密鑰管理方案。8共識安全指標要求區(qū)塊鏈系統(tǒng)/平臺在交易、區(qū)塊上鏈的共識階段，保證交易或區(qū)塊數(shù)據(jù)不可篡改、真實區(qū)塊鏈網(wǎng)絡中參與共識的節(jié)點在數(shù)據(jù)共識一致的前提下，滿足異常容錯、抗攻擊的要求指標要求包括：a)應提供節(jié)點容錯能力，即在部分節(jié)點異常的情況，保持系統(tǒng)的正常穩(wěn)定運行，其中容錯能力包括但不限于：拜占庭容錯、故障容錯、系統(tǒng)崩潰容錯等：YD/TXXXX-xxXX智能合約的使用方使用正確的調(diào)用方式，以保證智能合約交互的安全性。指標要求包括a)合約之間存在如轉(zhuǎn)賬、調(diào)用等交互行為時，合約之間應定義好函數(shù)接口等交互方式b)外部用戶或應用與智能合約交互時，智能合約宜對部署、查詢、調(diào)用等用戶的輸入行為做嚴格檢查；c)合約中的核心邏輯宜不依賴區(qū)塊鏈系統(tǒng)中的信息作為參數(shù)；d)合約可對區(qū)塊鏈存儲狀態(tài)做出預先定義好的更改。10管理運維安全評價指標管理運維保障各個節(jié)點、用戶和賬本數(shù)據(jù)的安全可用，包括節(jié)點安全管理，賬號管理安全，用戶管理安全。權(quán)限管理安全和可審計等。10.2節(jié)點認證安全區(qū)塊鏈系統(tǒng)/平臺通過數(shù)字證書或數(shù)字簽名機制來確認區(qū)塊鏈節(jié)點的身份，區(qū)塊鏈系統(tǒng)中的非只讀節(jié)點支持授權(quán)訪問。指標要求包括：a)應對登錄節(jié)點主機和運行容器的用戶進行身份標識和鑒別：b)應通過網(wǎng)絡完成的節(jié)點身份認證。認證過程的網(wǎng)絡通信應加密：c)許可鏈的各個節(jié)點宜通過監(jiān)管方認證并授權(quán)后才能加入與退出網(wǎng)絡。10.3賬戶管理安全區(qū)塊鏈系統(tǒng)/平臺賬戶通過授權(quán)的方式進行訪問。指標要求包括：a)對于改變區(qū)塊鏈系統(tǒng)、應用狀態(tài)(如發(fā)起交易等任意寫操作)的操作，用戶應通過口令或密鑰等方式向區(qū)塊鏈系統(tǒng)/平臺證明自己身份；b)宜通過網(wǎng)絡完成的賬戶身份認證。認證過程的網(wǎng)絡通信應加密：)對不同的賬戶的權(quán)限宜做好分級分類管理。10.4用戶管理安全區(qū)塊鏈系統(tǒng)/平臺的非只讀節(jié)點支持不同權(quán)限的用戶身份。指標要求包括：a)應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；b)宜根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限；o)宜實現(xiàn)操作系統(tǒng)與狀態(tài)數(shù)據(jù)庫特權(quán)用戶的權(quán)限分離；d)宜嚴格限制默認帳戶的訪問權(quán)限，宜重命名系統(tǒng)默認帳戶，并修改帳戶的默認口令。10.5權(quán)限管理安全區(qū)塊鏈系統(tǒng)/平臺針對不同角色的權(quán)限應進行分類管理，權(quán)限包括用戶管理權(quán)限、云資源權(quán)限和區(qū)塊鏈系統(tǒng)權(quán)限。指標要求包括：a)云資源權(quán)限應包括對云資源的創(chuàng)建、刪除、修改、設置等操作的權(quán)限。為用戶組添加云資源權(quán)限，將用戶加入用戶組，可以使用戶繼承用戶組的權(quán)限：b)區(qū)塊鏈系統(tǒng)的系統(tǒng)管理和使用權(quán)限，宜通過CA證書來進行管理，管理權(quán)限包括鏈代碼管理，節(jié)點管理等，使用權(quán)限包括客戶端訪問區(qū)塊鏈系統(tǒng)權(quán)限：7YD/XXXX-XXXXc)用戶管理權(quán)限可管理用戶、用戶組及用戶組的權(quán)限，實現(xiàn)用戶及用戶組的創(chuàng)建、刪除、修改和為用戶授予相應的權(quán)限。10.6數(shù)據(jù)可審計區(qū)塊鏈系統(tǒng)/平臺具備關(guān)鍵數(shù)據(jù)和操作記錄可審計的能力。指標要求包括：a)審計范圍應覆蓋到節(jié)點主機上的每個操作系統(tǒng)用戶和狀態(tài)數(shù)據(jù)庫用戶；b)審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c)應保護審計進程，避免受到未預期的中斷；d)應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等；e)審計記錄宜包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；f)宜能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表11.1入網(wǎng)身份管理11.1.1節(jié)點組網(wǎng)準入管理測試項目b)披露節(jié)點準入機制，如：證書準入、共識準入等：c)創(chuàng)建新節(jié)點，加入已有的區(qū)塊鏈網(wǎng)絡：d)驗證符合準入機制的新節(jié)點的加入情況：e)驗證不符合準入機制的新節(jié)點的加入情況。a)披露內(nèi)容詳盡；b)符合準入機制的新節(jié)點加入網(wǎng)絡成功；c)不符合準入機制的新節(jié)點加入網(wǎng)絡失敗。11.1.2用戶準入管理測試項目a)披露用戶準入機制，如注冊審批，系統(tǒng)分配。用戶證書等；b)按照準入機制，新建用戶，展示新用戶的角色和權(quán)限：c)演示符合準入機制的新用戶權(quán)限內(nèi)功能的操作過程；d)演示不符合準入機制的新用戶的操作過程，展示錯誤提示。a)披露內(nèi)容詳盡：b)符合準入機制的新用戶加入?yún)^(qū)塊鏈網(wǎng)絡成功，并成功執(zhí)c)不符合準入機制的新用戶加入?yún)^(qū)塊鏈網(wǎng)絡失敗。11.2通信安全防護測試項目b)展示加密協(xié)議的配置信息：c)抓包驗證加密報文的加密協(xié)議和版本號。a)披露內(nèi)容詳盡；b)抓包結(jié)果和披露內(nèi)容一致。測試項目b)展示加密協(xié)議的配置信息；c)抓包驗證加密報文的加密協(xié)議和版本號。a)披露內(nèi)容詳盡：b)抓包結(jié)果和披露內(nèi)容一致。測試項目a)披露受測系統(tǒng)交易防篡改的機制；b)截獲客戶端簽名后的交易：c)慕改交易內(nèi)容，如交易金額、交易簽名等：d)發(fā)送寡改后的交易到節(jié)點：e)驗證交易執(zhí)行結(jié)果。a)披露內(nèi)容詳盡：b)交易失敗，并給出相提示，演示與披露一致。測試項目a)披露DDoS攻擊防護方案(實現(xiàn)方案不限于底層鏈),如限b)發(fā)起DDoS攻擊，并觸發(fā)DDoS攻擊的防護機制：c)驗證系統(tǒng)DDoS防護方案的有效性，驗證方式如監(jiān)控網(wǎng)絡訪問情況等：d)記錄系統(tǒng)同步交易或區(qū)塊的延時情況。a)披露內(nèi)容詳盡，DDoS防護方案生效；測試項目a)披露賬本數(shù)據(jù)的存儲方式及防篡改機制：b)篡改單個節(jié)點的賬本數(shù)據(jù)：c)新節(jié)點加入網(wǎng)絡，從被篡改數(shù)據(jù)的節(jié)點數(shù)據(jù)同步：d)驗證新增節(jié)點同步過程中，具備數(shù)據(jù)校驗能力。a)披露內(nèi)容詳盡；b)新增節(jié)點發(fā)現(xiàn)數(shù)據(jù)被篡改，并給出相應提示。測試項目b)演示驗證，篡改鏈上狀態(tài)數(shù)據(jù)，如賬戶余額、合約狀態(tài)數(shù)據(jù)等：c)發(fā)起與被篡改數(shù)據(jù)相關(guān)的交易：d)查詢交易執(zhí)行結(jié)果：e)驗證恢復被慕改的狀態(tài)數(shù)據(jù)的能力。a)披露內(nèi)容詳盡：b)鏈上數(shù)據(jù)篡改成功：c)執(zhí)行與被篡改數(shù)據(jù)相關(guān)的交易時，系統(tǒng)給出相應警告：測試項目a)披露受測系統(tǒng)的數(shù)據(jù)恢復機制；c)驗證數(shù)據(jù)恢復機制，如從其他節(jié)點同步區(qū)塊數(shù)據(jù)。a)披露內(nèi)容詳盡：b)受測系統(tǒng)成功恢復完整的數(shù)據(jù)。測試項目a)披露敏感數(shù)據(jù)隱私保護方案；b)敏感數(shù)據(jù)上鏈前進行加密處理，如脫敏、加密等；c)查詢敏感數(shù)據(jù)。a)披露內(nèi)容詳盡：b)查詢到的結(jié)果為脫敏后的數(shù)據(jù)或密文數(shù)據(jù)。測試項目隱私數(shù)據(jù)授權(quán)訪問a)披露隱私數(shù)據(jù)的訪問授權(quán)策略：b)查詢未授權(quán)的數(shù)據(jù)：c)查詢已授權(quán)的數(shù)據(jù)。a)披露內(nèi)容詳盡；b)查詢未授權(quán)的數(shù)據(jù)，無法查看結(jié)果；c)查詢已授權(quán)的數(shù)據(jù)，得到正確結(jié)果。測試項目a)披露數(shù)據(jù)隔離方案，如通道、子鏈等；b)構(gòu)造數(shù)據(jù)隔離場景，如創(chuàng)建多個通道或子鏈；c)驗證數(shù)據(jù)隔離的有效性。a)披露內(nèi)容詳盡：b)數(shù)據(jù)隔離方案有效，如不同通道或子鏈的數(shù)據(jù)無法互相訪問。測試項目算法：示代碼截圖：c)演示算法實現(xiàn)過程。a)披露內(nèi)容詳盡：b)相關(guān)材料真實有效：c)代碼演示符合披露內(nèi)容。測試項目國密算法支持能力a)披露受測系統(tǒng)支持的國密算法：b)展示支持國密算法的種類、使用的類庫，如代碼截圖、配置文件：入網(wǎng)絡。a)披露內(nèi)容詳盡：b)展示內(nèi)容與披露信息一致：c)國密證書可正常使用。測試項目區(qū)塊鏈系統(tǒng)已正常運轉(zhuǎn)一段時間機制：b)注冊用戶，申請私鑰，并查看私鑰申請結(jié)果及存儲信息：d)使用新注冊的用戶發(fā)起一筆交易，并驗證交易執(zhí)行結(jié)果。a)披露內(nèi)容詳盡；c)私鑰存儲形式為密文存儲，無法被非法獲?。篸)傳輸過程使用密文傳輸?shù)姆绞剑绨踩ㄐ艆f(xié)議、原文加密；e)交易執(zhí)行成功。測試項目a)披露基于硬件的私鑰管理方案及支持的硬件型號；b)接入至少一臺硬件設備，生成私鑰；c)使用生成的私鑰，執(zhí)行一筆交易；d)驗證交易執(zhí)行情況。a)披露內(nèi)容詳盡：b)通過硬件設備，生成私鑰成功：測試項目a)披露受測系統(tǒng)的共識機制和故障容錯數(shù)量的理論值：b)模擬節(jié)點故障，故障節(jié)點數(shù)量達到理論值：c)發(fā)起一筆合法轉(zhuǎn)賬請求：d)發(fā)起一筆非法轉(zhuǎn)賬請求，如非法簽名、金額超限。a)披露內(nèi)容詳盡：b)合法轉(zhuǎn)賬請求共識成功；c)非法轉(zhuǎn)賬請求共識失敗。測試項目以及共識流程的完整展示；b)根據(jù)披露內(nèi)容，演示驗證受測系統(tǒng)的拜占庭容錯節(jié)點發(fā)送轉(zhuǎn)賬交易：3)輸出交易執(zhí)行結(jié)果；b)在正常節(jié)點查詢第一筆交易請求成功；測試項目對措施：b)持續(xù)向受測系統(tǒng)發(fā)送交易：c)模擬任意共識節(jié)點的時鐘異常，如調(diào)整服務器時間：d)驗證受測系統(tǒng)發(fā)送、接收交易及出塊情況。a)披露內(nèi)容詳盡；b)受測系統(tǒng)正常發(fā)送、接收交易；c)受測系統(tǒng)正常出塊。11.7.4網(wǎng)絡抖動的共識容錯能力(可選)測試項目網(wǎng)絡抖動的共識容錯能力a)以一定壓力，持續(xù)向受測系統(tǒng)發(fā)送交易：b)模擬限制特定節(jié)點的網(wǎng)絡帶寬，將帶寬限制在正常情況的10%以下：c)驗證受測系統(tǒng)發(fā)送、接收交易及出塊情況。a)受測系統(tǒng)正常發(fā)送、接收交易：b)受測系統(tǒng)正常出塊。測試項目a)披露共識節(jié)點切換方案，如主節(jié)點或出塊節(jié)點；b)持續(xù)向受測系統(tǒng)發(fā)送交易；c)觸發(fā)節(jié)點切換；d)驗證受測系統(tǒng)發(fā)送、接收交易及出塊情況。a)披露內(nèi)容詳盡：b)節(jié)點切換成功：c)受測系統(tǒng)正常處理交易并出塊。測試項目“雙花攻擊”防范UTXO賬本模型：非UTXO賬本模型：a)基于同一賬戶同時發(fā)起兩筆轉(zhuǎn)賬請求，且兩筆金額總和大于賬戶余額：測試編號11.8.1測試項目a)披露合約訪問的權(quán)限控制：b)演示驗證具有合約訪問權(quán)限的用戶合約操作，如部署、調(diào)用：c)演示驗證沒有合約訪問權(quán)限的用戶合約操作，如部署、調(diào)用。a)披露內(nèi)容詳盡；b)具有合約訪問權(quán)限的用戶合約操作成功；c)不具有合約訪問權(quán)限的用戶合約操作失敗。測試項目a)披露系統(tǒng)對資源消耗的檢測機制，如監(jiān)控、限制、預防機制；b)虛擬機對異常的檢測；如棧溢出、循環(huán)調(diào)用等。1)創(chuàng)建檢測合約，合約中包含死循環(huán)的方法：2)部署被測合約，調(diào)用死循環(huán)方法；3)查詢各節(jié)點狀態(tài)和區(qū)塊hash。a)披露內(nèi)容詳盡：b)虛擬