T∕TAF 111-2022 物聯(lián)網(wǎng)終端可信上鏈技術(shù)要求

1、ICS 33.050CCS M 30團(tuán)體標(biāo)準(zhǔn)T/TAF 111-2022物聯(lián)網(wǎng)終端可信上鏈技術(shù)要求Technical requirements for trusted blockchain access of IoT Terminals2022-02-23 發(fā)布2022-02-23 實(shí)施電信終端產(chǎn)業(yè)協(xié)會(huì) 發(fā)布T/TAF 111-2022 PAGE * ROMAN III目次 HYPERLINK l _bookmark0 前言II HYPERLINK l _bookmark1 引言III HYPERLINK l _bookmark2 范圍1 HYPERLINK l _bookmark3 規(guī)范性引

2、用文件1 HYPERLINK l _bookmark4 術(shù)語(yǔ)和定義1 HYPERLINK l _bookmark5 縮略語(yǔ)2 HYPERLINK l _bookmark6 概述2 HYPERLINK l _bookmark7 物聯(lián)網(wǎng)終端上鏈參考架構(gòu)2 HYPERLINK l _bookmark8 支持上鏈的物聯(lián)網(wǎng)終端參考架構(gòu)3 HYPERLINK l _bookmark9 終端安全要求4 HYPERLINK l _bookmark10 安全目標(biāo)4 HYPERLINK l _bookmark11 基本安全要求4 HYPERLINK l _bookmark12 針對(duì)不同終端的增強(qiáng)安全要求5 HYP

3、ERLINK l _bookmark13 終端上鏈功能要求5 HYPERLINK l _bookmark14 上鏈基本功能要求5 HYPERLINK l _bookmark15 上鏈內(nèi)容要求6 HYPERLINK l _bookmark16 上鏈路徑要求6 HYPERLINK l _bookmark17 區(qū)塊鏈節(jié)點(diǎn)連接與容錯(cuò)功能要求8 HYPERLINK l _bookmark18 附錄 A（資料性）物聯(lián)網(wǎng)終端可信上鏈及數(shù)據(jù)驗(yàn)真參考模型9 HYPERLINK l _bookmark19 附錄 B（資料性）物聯(lián)網(wǎng)終端上鏈應(yīng)用場(chǎng)景11 HYPERLINK l _bookmark20 參考文獻(xiàn)12前

4、言本文件按照 GB/T 1.1-2020標(biāo)準(zhǔn)化工作導(dǎo)則 第 1 部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由電信終端產(chǎn)業(yè)協(xié)會(huì)提出并歸口。本文件起草單位：中國(guó)信息通信研究院、上海摩聯(lián)信息技術(shù)有限公司、鄭州信大捷安信息技術(shù)股份有限公司、安謀科技（中國(guó)）有限公司、深圳市廣和通無線股份有限公司、上海移柯通信技術(shù)股份有限公司、杭州宇鏈科技有限公司、微軟（中國(guó)）有限公司、深圳市有方科技股份有限公司、青島海爾通信有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司、中國(guó)移動(dòng)通信集團(tuán)終端有限公司、華為技術(shù)有限公司、杭州甘道智能科技有限公司、阿里巴

5、巴（中國(guó)）有限公司、北京芯安微電子技術(shù)有限公司、四川長(zhǎng)虹電子控股集團(tuán)有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、紫光同芯微電子有限公司、紫光展銳(上海)科技有限公司。本文件主要起草人：許慕鴻、于力、許剛、林瑤、李蘭飛、康亮、劉獻(xiàn)倫、王駿超、羅俊、潘峰、程希冀、趙剛、于保華、林學(xué)春、李洋、謝仁艿、梁小華、張子怡、林煬平、宋學(xué)武、黃天寧、王葉松、薛亞輝、魏茂堅(jiān)、唐博、黃德俊、敖萌、邵兵、周智勇、蘇陣陣。引言隨著區(qū)塊鏈這種新的信任模式的產(chǎn)生，物聯(lián)網(wǎng)數(shù)據(jù)上鏈之后的抗篡改性得到了廣泛的認(rèn)可。然而區(qū)塊鏈本身只能保證數(shù)據(jù)上鏈之后抗篡改，還必須保證鏈上的數(shù)據(jù)是由真實(shí)的物聯(lián)網(wǎng)終端設(shè)備產(chǎn)生的真實(shí)數(shù)據(jù)，才能實(shí)現(xiàn)數(shù)據(jù)信任

6、的全鏈條傳遞。物聯(lián)網(wǎng)終端設(shè)備作為數(shù)據(jù)源頭，是數(shù)據(jù)信任鏈條的起點(diǎn)。由于物聯(lián)網(wǎng)具有高度碎片化的特點(diǎn)，終端差異性很大，因此規(guī)范物聯(lián)網(wǎng)數(shù)據(jù)上鏈的技術(shù)要求，保證數(shù)據(jù)安全可信，制定相應(yīng)標(biāo)準(zhǔn)規(guī)范，為規(guī)范各設(shè)備生產(chǎn)企業(yè)遵循要求提供具備數(shù)據(jù)上鏈功能的產(chǎn)品，保證上鏈數(shù)據(jù)可信供參考指導(dǎo)，具有重要的現(xiàn)實(shí)意義。T/TAF 111-2022 PAGE 12物聯(lián)網(wǎng)終端可信上鏈技術(shù)要求范圍本文件規(guī)定了物聯(lián)網(wǎng)終端可信上鏈技術(shù)要求，包括物聯(lián)網(wǎng)終端可信上鏈的總體架構(gòu)、設(shè)備功能要求和安全要求等。本文件適用于不同步賬本不參與共識(shí)的能力受限的物聯(lián)網(wǎng)終端設(shè)備。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其

7、中，注日期的引用文件， 僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 38636 信息安全技術(shù) 傳輸層密碼協(xié)議（TLCP） T/TAF 062-2020 物聯(lián)網(wǎng)設(shè)備安全平臺(tái)技術(shù)要求和分級(jí)方法術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1物聯(lián)網(wǎng)終端設(shè)備 IoT terminal具備網(wǎng)絡(luò)（例如蜂窩、WiFi、藍(lán)牙、Zigbee、LoRa等）接入功能，可對(duì)物進(jìn)行信息采集和處理，支持?jǐn)?shù)據(jù)通信的終端設(shè)備。3.2能力受限物聯(lián)網(wǎng)終端設(shè)備 capability-constrained IoT terminal計(jì)算能力、存儲(chǔ)能力、通信能力、功耗水平等受限

8、的物聯(lián)網(wǎng)終端設(shè)備。本文件中指受到上述限制，無法同步區(qū)塊鏈賬本和參與共識(shí)的能力受限物聯(lián)網(wǎng)終端。3.3智能合約（鏈碼） smart contract (chain code)智能合約是一套以數(shù)字形式定義的承諾，包括合約參與方可以在上面執(zhí)行這些承諾的協(xié)議。本規(guī)范中，特指運(yùn)行于區(qū)塊鏈上的智能合約。本文件中，術(shù)語(yǔ)“智能合約”與術(shù)語(yǔ)“鏈碼”等同。3.4遠(yuǎn)程過程調(diào)用 remote procedure call (RPC)設(shè)備或主機(jī)通過網(wǎng)絡(luò)，請(qǐng)求遠(yuǎn)端另一主機(jī)提供服務(wù)。在區(qū)塊鏈網(wǎng)絡(luò)中，區(qū)塊鏈節(jié)點(diǎn)向區(qū)塊鏈客戶端提供遠(yuǎn)程過程調(diào)用接口，以便區(qū)塊鏈客戶端能夠訪問區(qū)塊鏈服務(wù)。3.5可信執(zhí)行環(huán)境 trusted execu

9、tion environment (TEE)針對(duì)開放系統(tǒng)、基于芯片級(jí)隔離與安全引導(dǎo)、用于保證程序執(zhí)行安全與數(shù)據(jù)存儲(chǔ)真實(shí)性、完整性、機(jī)密性目標(biāo)構(gòu)建的一種軟件運(yùn)行環(huán)境。其中，芯片級(jí)隔離是指基于主芯片安全擴(kuò)展機(jī)制通過對(duì)計(jì)算資源的固定劃分或動(dòng)態(tài)共享，保證所隔離資源不被開放系統(tǒng)訪問的一種安全機(jī)制。3.6完整性 integrity完整性指對(duì)于接收到的數(shù)據(jù)要保證不會(huì)以任何方式被改變。其目的是通過阻止威脅或者探測(cè)威脅，保護(hù)可能遭到不同方式危害的數(shù)據(jù)的完整性和數(shù)據(jù)相關(guān)屬性的完整性。本文中的完整性指在可信執(zhí)行環(huán)境啟動(dòng)的過程中或者可行執(zhí)行環(huán)境執(zhí)行過程中，所涉及到的數(shù)據(jù)、代碼等信息要保證不會(huì)被惡意的篡改。3.7物聯(lián)網(wǎng)

10、終端上鏈 IoT terminal to access blockchain物聯(lián)網(wǎng)終端上鏈?zhǔn)侵肝锫?lián)網(wǎng)終端，通過與區(qū)塊鏈網(wǎng)絡(luò)約定的方式直接或間接調(diào)用鏈上智能合約，將物聯(lián)網(wǎng)終端所采集或生成的數(shù)據(jù)傳遞給智能合約做鏈上處理。縮略語(yǔ)下列縮略語(yǔ)適用于本文件。BoT: 物聯(lián)網(wǎng)區(qū)塊鏈（Blockchain of Things）dApp: 去中心化應(yīng)用（de-centralized Application） MAC：消息驗(yàn)證碼（Message Authentication Code） RPC：遠(yuǎn)程過程調(diào)用（Remote Procedure Call）SE：安全元件（Secure Element）TEE：可信執(zhí)行

11、環(huán)境（Trusted Execution Environment）TLCP：傳輸層密碼協(xié)議（Transport Layer Cryptography Protocol）概述物聯(lián)網(wǎng)終端上鏈參考架構(gòu)基于區(qū)塊鏈的物聯(lián)網(wǎng)的網(wǎng)絡(luò)參考架構(gòu)如圖1所示。注：該參考架構(gòu)源自中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)“物聯(lián)網(wǎng)+區(qū)塊鏈”應(yīng)用與發(fā)展白皮書（2019）。圖 1 基于區(qū)塊鏈的物聯(lián)網(wǎng)網(wǎng)絡(luò)參考架構(gòu)參考如上架構(gòu)，區(qū)塊鏈網(wǎng)絡(luò)由一定數(shù)量的區(qū)塊鏈節(jié)點(diǎn)構(gòu)成。區(qū)塊鏈節(jié)點(diǎn)依據(jù)其功能特點(diǎn)，一般可粗略分為全節(jié)點(diǎn)和輕節(jié)點(diǎn)。全節(jié)點(diǎn)記錄和維護(hù)完整區(qū)塊賬本，并依照一定規(guī)則參與賬本共識(shí)；輕節(jié)點(diǎn)只記錄區(qū)塊頭部信息，不參與共識(shí)，僅在必要時(shí)向全節(jié)點(diǎn)查詢完整區(qū)塊內(nèi)容。

12、具備較強(qiáng)計(jì)算能力、存儲(chǔ)能力和通信能力的全功能物聯(lián)網(wǎng)終端可以作為全節(jié)點(diǎn)或輕節(jié)點(diǎn)加入?yún)^(qū)塊鏈網(wǎng)絡(luò)，但絕大多數(shù)物聯(lián)網(wǎng)終端受成本、功耗等因素限制，其能力通常是較為受限的，能力受限物聯(lián)網(wǎng)終端難以作為全節(jié)點(diǎn)或輕節(jié)點(diǎn)直接接入?yún)^(qū)塊鏈網(wǎng)絡(luò)。如無特別說明，本文件所述物聯(lián)網(wǎng)終端，特指不同步賬本不參與共識(shí)的能力受限的物聯(lián)網(wǎng)終端。在物聯(lián)網(wǎng)終端上鏈過程中，物聯(lián)網(wǎng)終端直接或間接作為客戶端向區(qū)塊鏈節(jié)點(diǎn)發(fā)起智能合約調(diào)用交易， 一般具有如圖2所示的典型參考架構(gòu)。上云區(qū)塊鏈節(jié)點(diǎn)區(qū)塊鏈節(jié)點(diǎn)區(qū)塊鏈網(wǎng)關(guān)物聯(lián)網(wǎng)數(shù)據(jù)平臺(tái)物聯(lián)網(wǎng)數(shù)據(jù)使用者區(qū)塊鏈客戶端物聯(lián)網(wǎng)終端（數(shù)據(jù)生產(chǎn)者）間接上鏈直接上鏈區(qū)塊鏈節(jié)點(diǎn)圖 2 物聯(lián)網(wǎng)終端上鏈參考模型在物聯(lián)網(wǎng)終端上鏈

13、參考模型中，物聯(lián)網(wǎng)終端作為數(shù)據(jù)生產(chǎn)者，在原有將數(shù)據(jù)上云的基礎(chǔ)上，將相關(guān)信息直接或經(jīng)由區(qū)塊鏈網(wǎng)關(guān)間接上鏈。而物聯(lián)網(wǎng)數(shù)據(jù)使用者，則通過訪問區(qū)塊鏈獲得可信的上鏈數(shù)據(jù)， 并結(jié)合云上數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的可信使用。本文件主要針對(duì)物聯(lián)網(wǎng)終端在數(shù)據(jù)可信上鏈過程中的技術(shù)要求給予規(guī)定。支持上鏈的物聯(lián)網(wǎng)終端參考架構(gòu)支持上鏈的物聯(lián)網(wǎng)終端作為客戶端應(yīng)具備直接或間接調(diào)用鏈上智能合約的功能，其參考架構(gòu)如圖3 所示。支持上鏈的物聯(lián)網(wǎng)終端設(shè)備安全容器單元信任根密鑰管理密碼算法區(qū)塊鏈遠(yuǎn)程過程調(diào)用報(bào)文或數(shù)據(jù)指紋報(bào)文組裝單元物聯(lián)網(wǎng)應(yīng)用通信單元傳感器圖 3 支持上鏈的物聯(lián)網(wǎng)終端參考架構(gòu)支持上鏈的物聯(lián)網(wǎng)終端應(yīng)具有：區(qū)塊鏈遠(yuǎn)程過程調(diào)用報(bào)文組裝

14、單元或數(shù)據(jù)指紋報(bào)文組裝單元區(qū)塊鏈遠(yuǎn)程過程調(diào)用報(bào)文組裝單元用于組裝區(qū)塊鏈交易的報(bào)文，并調(diào)用密碼算法單元和密鑰管理單元進(jìn)行數(shù)字簽名后，將已簽名的交易報(bào)文通過遠(yuǎn)程過程調(diào)用發(fā)送給區(qū)塊鏈節(jié)點(diǎn)或區(qū)塊鏈網(wǎng)關(guān)。數(shù)據(jù)指紋報(bào)文組裝單元用于計(jì)算數(shù)據(jù)指紋，并將數(shù)據(jù)及其數(shù)據(jù)指紋組裝成報(bào)文，發(fā)送給區(qū)塊鏈網(wǎng)關(guān)。區(qū)塊鏈遠(yuǎn)程過程調(diào)用報(bào)文組裝單元和數(shù)據(jù)指紋報(bào)文組裝單元，根據(jù)終端能力應(yīng)具備其中之一。密鑰管理單元，用于生成、保存、更新、刪除物聯(lián)網(wǎng)終端用于訪問區(qū)塊鏈的密鑰。密碼算法單元，用于執(zhí)行密碼學(xué)算法計(jì)算。安全容器單元（可信執(zhí)行環(huán)境或安全元件）（可選），用于對(duì)密鑰及密碼學(xué)算法的執(zhí)行環(huán)境進(jìn)行保護(hù)。信任根（可選），用于為終端提供唯一的

15、身份標(biāo)識(shí)，并提供身份認(rèn)證方法。終端安全要求安全目標(biāo)物聯(lián)網(wǎng)終端可信上鏈的安全目標(biāo)是使其上鏈的數(shù)據(jù)具有可溯源、可驗(yàn)真等特點(diǎn)，且在數(shù)據(jù)傳播過程中能夠保持可信。由于物聯(lián)網(wǎng)終端差異性較大，安全目標(biāo)分為兩個(gè)類別來考慮：抗遠(yuǎn)程攻擊：攻擊者與終端無物理接觸的情況下，抵抗其遠(yuǎn)程攻擊，例如：抵御攻擊者在真實(shí)終端數(shù)據(jù)上鏈途中篡改數(shù)據(jù)。抵御攻擊者偽裝成區(qū)塊鏈節(jié)點(diǎn)或區(qū)塊鏈網(wǎng)關(guān)誘騙終端訪問。抵御攻擊者偽裝成真實(shí)終端偽造數(shù)據(jù)上鏈?？贡镜毓簦汗粽吲c終端有物理接觸（例如本地連接并登錄終端設(shè)備、對(duì)終端設(shè)備進(jìn)行測(cè)量、拆解終端設(shè)備等）條件下，抵抗其物理攻擊，例如：抵御攻擊者竊取密鑰及非法克隆真實(shí)終端設(shè)備。抵御攻擊者侵入終端設(shè)備、

16、篡改證書和程序，偽造上鏈數(shù)據(jù)。根據(jù)以上安全目標(biāo)，制定以下相應(yīng)的安全要求，其中，6.2節(jié)所述基本安全要求主要針對(duì)抗遠(yuǎn)程攻擊的安全目標(biāo)，6.3節(jié)所述增強(qiáng)安全要求主要在此基礎(chǔ)上增強(qiáng)抗本地攻擊的安全目標(biāo)?；景踩笞鳛榛景踩螅湘溄K端應(yīng)當(dāng)具備抵御來自通信鏈路的遠(yuǎn)程攻擊的能力。這些攻擊行為通常從遠(yuǎn)程網(wǎng)絡(luò)發(fā)起，攻擊者不直接或近距接觸被攻擊的終端設(shè)備，常見手段包括利用軟件漏洞侵入設(shè)備并非法獲取信息、在通信鏈路中篡改數(shù)據(jù)、篡改DNS使終端訪問釣魚服務(wù)器等。上鏈終端應(yīng)當(dāng)滿足如下基本安全要求：終端所使用的區(qū)塊鏈密鑰對(duì)應(yīng)一機(jī)一密，不得批量終端共用相同的密鑰對(duì)。終端與區(qū)塊鏈節(jié)點(diǎn)或區(qū)塊鏈網(wǎng)關(guān)建立連接時(shí)，應(yīng)當(dāng)對(duì)區(qū)

17、塊鏈節(jié)點(diǎn)或區(qū)塊鏈網(wǎng)關(guān)進(jìn)行認(rèn)證，認(rèn)證通過后才能進(jìn)行業(yè)務(wù)通信。連接區(qū)塊鏈節(jié)點(diǎn)或網(wǎng)關(guān)的信道應(yīng)進(jìn)行加密。上鏈數(shù)據(jù)宜加密。如使用TLS、TLCP等進(jìn)行認(rèn)證并建立安全通道，應(yīng)采用無已知重大安全漏洞的版本。如果終端允許通過口令進(jìn)行遠(yuǎn)程登錄，不得在生產(chǎn)時(shí)設(shè)定統(tǒng)一的默認(rèn)登錄口令。密鑰、口令復(fù)雜度及相關(guān)密碼算法應(yīng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。終端應(yīng)遵循不開放無必要的服務(wù)端口的原則。針對(duì)不同終端的增強(qiáng)安全要求概述針對(duì)增強(qiáng)安全要求，如終端不具備可信執(zhí)行環(huán)境和安全元件，則應(yīng)滿足以下6.3.2節(jié)中相關(guān)要求； 如終端同時(shí)具有可信執(zhí)行環(huán)境和安全元件，相關(guān)安全要求滿足6.3.3和6.3.4節(jié)中的一種即可。級(jí)別一終端本級(jí)別終端應(yīng)滿

18、足如下安全要求：區(qū)塊鏈私鑰在非易失性存儲(chǔ)器中持久化存儲(chǔ)時(shí)，應(yīng)采用軟件混淆（Obfuscation）方式加以保護(hù)，所述軟件混淆的常見技術(shù)如符號(hào)重命名、死代碼插入、代碼重排序、指令替代、代碼加密等。區(qū)塊鏈私鑰及用于加密等目的的對(duì)稱密鑰在易失性存儲(chǔ)器中，應(yīng)遵循用后即毀原則，不得長(zhǎng)時(shí)間保留在易失性存儲(chǔ)器中。若終端操作系統(tǒng)具備訪問權(quán)限控制能力，區(qū)塊鏈私鑰以及相關(guān)證書應(yīng)存放在限制訪問的區(qū)域。若終端操作系統(tǒng)具備訪問權(quán)限控制能力且允許本地登錄，則終端應(yīng)具備設(shè)備生命周期管理能力， 且在出廠時(shí)應(yīng)禁止默認(rèn)以具有不受限權(quán)限的身份本地登錄。級(jí)別二終端終端具備可信執(zhí)行環(huán)境（TEE），并滿足T/TAF 062-2020所述

19、一級(jí)或以上安全要求。區(qū)塊鏈私鑰應(yīng)在可信執(zhí)行環(huán)境內(nèi)安全保存，私鑰不得離開可信執(zhí)行環(huán)境。上鏈相關(guān)證書應(yīng)在可信執(zhí)行環(huán)境內(nèi)安全保存。上鏈相關(guān)且涉及密鑰的密碼學(xué)運(yùn)算應(yīng)在TEE內(nèi)執(zhí)行。級(jí)別三終端終端具備安全元件（Secure Element），并滿足T/TAF 062-2020所述一級(jí)或以上安全要求。區(qū)塊鏈私鑰應(yīng)在安全元件內(nèi)安全保存，私鑰不得離開安全元件。上鏈相關(guān)證書應(yīng)在安全元件內(nèi)安全保存。上鏈相關(guān)且涉及密鑰的密碼學(xué)運(yùn)算應(yīng)在安全元件內(nèi)執(zhí)行。終端上鏈功能要求上鏈基本功能要求物聯(lián)網(wǎng)終端數(shù)據(jù)上鏈，是指物聯(lián)網(wǎng)終端作為客戶端訪問鏈上的智能合約服務(wù)，并且通常（但不限于） 以物聯(lián)網(wǎng)數(shù)據(jù)作為訪問智能合約服務(wù)時(shí)的參數(shù)。對(duì)區(qū)

20、塊鏈上智能合約而言，物聯(lián)網(wǎng)終端通過數(shù)據(jù)上鏈的過程，扮演了區(qū)塊鏈預(yù)言機(jī)（Oracle）的角色。上鏈的數(shù)據(jù)既可在合約中存儲(chǔ)下來用于后續(xù)可信驗(yàn)真， 也可以作為合約邏輯輸入條件或運(yùn)算的輸入?yún)?shù)等。不同的區(qū)塊鏈在遠(yuǎn)程過程調(diào)用（RPC）接口協(xié)議、密碼算法、流程等方面有所差異，但終端數(shù)據(jù)上鏈一般應(yīng)遵循如下基本功能要求：物聯(lián)網(wǎng)終端應(yīng)當(dāng)能夠產(chǎn)生區(qū)塊鏈私鑰，或者能夠在生產(chǎn)時(shí)向物聯(lián)網(wǎng)終端注入?yún)^(qū)塊鏈私鑰。區(qū)塊鏈私鑰應(yīng)當(dāng)能夠在受控條件下更新或銷毀。物聯(lián)網(wǎng)終端應(yīng)當(dāng)能夠配置和/或感知區(qū)塊鏈節(jié)點(diǎn)或網(wǎng)關(guān)的必要參數(shù)。物聯(lián)網(wǎng)終端應(yīng)當(dāng)能夠按照約定接口和協(xié)議，組裝區(qū)塊鏈智能合約調(diào)用報(bào)文或其他遠(yuǎn)程過程調(diào)用報(bào)文，并解析其響應(yīng)。如果終端數(shù)據(jù)

21、同時(shí)上云和上鏈，終端應(yīng)建立兩者的關(guān)聯(lián)。上鏈內(nèi)容要求數(shù)據(jù)原文上鏈功能要求物聯(lián)網(wǎng)數(shù)據(jù)原文上鏈，指物聯(lián)網(wǎng)終端上鏈的數(shù)據(jù)中，包含了終端所采集的原始數(shù)據(jù)，或者經(jīng)端側(cè)清洗處理且仍反映原始信息的數(shù)據(jù)。通常，若鏈上智能合約包含對(duì)具體物聯(lián)網(wǎng)數(shù)據(jù)內(nèi)容的處理（例如根據(jù)數(shù)據(jù)的值進(jìn)行特定的邏輯處理），則上鏈數(shù)據(jù)中應(yīng)包含相應(yīng)的原始數(shù)據(jù)或能反映原始信息的數(shù)據(jù)。數(shù)據(jù)原文上鏈，一般應(yīng)滿足以下功能要求：應(yīng)遵循最小必要原則，控制上鏈的數(shù)據(jù)量和上鏈頻度，避免區(qū)塊鏈網(wǎng)絡(luò)擁塞。若上鏈數(shù)據(jù)涉及需授權(quán)訪問的信息，應(yīng)對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密，并通過密鑰分發(fā)體系向被授權(quán)方分發(fā)訪問密鑰。若上鏈數(shù)據(jù)涉及個(gè)人信息，應(yīng)根據(jù)需要按最小必要上鏈。數(shù)據(jù)指紋上鏈功能

22、要求物聯(lián)網(wǎng)數(shù)據(jù)指紋上鏈，指物聯(lián)網(wǎng)終端上鏈的數(shù)據(jù)，是反映終端所采集的原始數(shù)據(jù)特征的摘要。這些摘要不直接反映原始信息，但能夠驗(yàn)證原始數(shù)據(jù)的完整性，故稱為數(shù)據(jù)指紋或數(shù)據(jù)特征值。通常，若通過區(qū)塊鏈實(shí)現(xiàn)數(shù)據(jù)驗(yàn)真，則可以采取原始數(shù)據(jù)上云，數(shù)據(jù)指紋上鏈的方式組合進(jìn)行。數(shù)據(jù)指紋上鏈，一般應(yīng)滿足以下功能要求：數(shù)據(jù)指紋可采用雜湊密碼算法計(jì)算獲取。被計(jì)算指紋的數(shù)據(jù)，可以是原始數(shù)據(jù)，也可以是經(jīng)過端側(cè)清洗處理且仍包含原始信息的數(shù)據(jù)。數(shù)據(jù)指紋上鏈一般與數(shù)據(jù)上云結(jié)合使用，鏈上的數(shù)據(jù)指紋用于在事后驗(yàn)證云上數(shù)據(jù)的完整性。上鏈的數(shù)據(jù)指紋可以與上云的數(shù)據(jù)一一對(duì)應(yīng)，也可將若干組上云數(shù)據(jù)的指紋組合起來（例如以默克爾樹的形式組合），計(jì)算

23、指紋組合的指紋，將該指紋組合的指紋（例如默克爾樹根）上鏈， 以降低數(shù)據(jù)上鏈的頻度和數(shù)量。若上鏈的數(shù)據(jù)指紋與上云的數(shù)據(jù)一一對(duì)應(yīng)，上鏈信息和/或上云信息中應(yīng)包含能夠關(guān)聯(lián)兩者的標(biāo)識(shí)；若上鏈的數(shù)據(jù)指紋與一組上云數(shù)據(jù)對(duì)應(yīng)，則上鏈信息中應(yīng)包含能夠關(guān)聯(lián)該鏈上數(shù)據(jù)指紋與云上數(shù)據(jù)組的信息。上鏈路徑要求直接上鏈功能要求終端直接上鏈指物聯(lián)網(wǎng)終端組裝區(qū)塊鏈交易報(bào)文，并直接訪問區(qū)塊鏈節(jié)點(diǎn)實(shí)施數(shù)據(jù)上鏈。若物聯(lián)網(wǎng)終端具備按照約定接口和協(xié)議，組裝區(qū)塊鏈智能合約調(diào)用報(bào)文或其他遠(yuǎn)程過程調(diào)用報(bào)文并解析其響應(yīng)的能力，并且能夠與區(qū)塊鏈節(jié)點(diǎn)建立雙向通信，則物聯(lián)網(wǎng)終端可以直接上鏈。間接上鏈功能要求概述物聯(lián)網(wǎng)終端可能因多種原因，無法直接訪問

24、區(qū)塊鏈節(jié)點(diǎn)的服務(wù)。這些原因常常包括，物聯(lián)網(wǎng)終端處在某個(gè)內(nèi)網(wǎng)中且不能直接連接互聯(lián)網(wǎng)；蜂窩物聯(lián)網(wǎng)終端的流量為定向流量且不能連接區(qū)塊鏈節(jié)點(diǎn)；物聯(lián)網(wǎng)終端不支持區(qū)塊鏈節(jié)點(diǎn)遠(yuǎn)程過程調(diào)用所使用的通信協(xié)議；物聯(lián)網(wǎng)終端不支持區(qū)塊鏈交易所要求的密碼算法等。在物聯(lián)網(wǎng)終端不能直接訪問區(qū)塊鏈節(jié)點(diǎn)服務(wù)時(shí)，可將上鏈數(shù)據(jù)發(fā)送至區(qū)塊鏈網(wǎng)關(guān)，再由區(qū)塊鏈網(wǎng)關(guān)上鏈。具備組裝區(qū)塊鏈調(diào)用報(bào)文能力的終端若物聯(lián)網(wǎng)終端具備按照約定接口和協(xié)議，組裝區(qū)塊鏈智能合約調(diào)用報(bào)文或其他遠(yuǎn)程過程調(diào)用報(bào)文并解析其響應(yīng)的能力，但由于通信鏈路、通信協(xié)議等原因，物聯(lián)網(wǎng)終端無法直接訪問區(qū)塊鏈節(jié)點(diǎn)服務(wù)，在此情況下，可經(jīng)由區(qū)塊鏈網(wǎng)關(guān)轉(zhuǎn)發(fā)上鏈，并應(yīng)滿足以下要求：物聯(lián)網(wǎng)終端

25、與區(qū)塊鏈網(wǎng)關(guān)應(yīng)能建立雙向通信連接。物聯(lián)網(wǎng)終端組裝區(qū)塊鏈遠(yuǎn)程過程調(diào)用報(bào)文（包括必要時(shí)使用其區(qū)塊鏈私鑰進(jìn)行簽名），將報(bào)文整體發(fā)送給區(qū)塊鏈網(wǎng)關(guān)，網(wǎng)關(guān)在物聯(lián)網(wǎng)終端與區(qū)塊鏈節(jié)點(diǎn)之間做報(bào)文及其響應(yīng)的轉(zhuǎn)發(fā)。若物聯(lián)網(wǎng)終端不支持區(qū)塊鏈節(jié)點(diǎn)遠(yuǎn)程過程調(diào)用接口的通信協(xié)議（通常為HTTP/HTTPS），但支持區(qū)塊鏈網(wǎng)關(guān)所支持的其他通信協(xié)議（例如MQTT），則區(qū)塊鏈網(wǎng)關(guān)進(jìn)行協(xié)議轉(zhuǎn)換和轉(zhuǎn)發(fā)。具備數(shù)字簽名能力的終端若物聯(lián)網(wǎng)終端不具備組裝區(qū)塊鏈智能合約調(diào)用報(bào)文或其他遠(yuǎn)程過程調(diào)用報(bào)文的能力，但支持?jǐn)?shù)字簽名，在此情況下，可經(jīng)由區(qū)塊鏈網(wǎng)關(guān)二次簽名后上鏈，并應(yīng)滿足以下要求：物聯(lián)網(wǎng)終端應(yīng)支持?jǐn)?shù)字簽名密碼算法并具有終端公私密鑰對(duì)（不要求與

26、區(qū)塊鏈采用相同的密碼算法）。區(qū)塊鏈網(wǎng)關(guān)應(yīng)具有區(qū)塊鏈密鑰對(duì)，且其安全性不低于對(duì)終端的要求。物聯(lián)網(wǎng)終端使用終端私鑰對(duì)上鏈數(shù)據(jù)進(jìn)行簽名，并將上鏈數(shù)據(jù)、簽名以及終端公鑰（或可關(guān)聯(lián)終端公鑰的其他信息）發(fā)送給區(qū)塊鏈網(wǎng)關(guān)。區(qū)塊鏈網(wǎng)關(guān)將這些數(shù)據(jù)構(gòu)造為區(qū)塊鏈遠(yuǎn)程過程調(diào)用報(bào)文，并使用其自身的區(qū)塊鏈私鑰簽名上鏈。后續(xù)的數(shù)據(jù)驗(yàn)真過程中，應(yīng)包含對(duì)終端簽名的驗(yàn)證。具備對(duì)稱加密能力的終端若物聯(lián)網(wǎng)終端不具備數(shù)字簽名能力，但具備對(duì)稱密鑰以及對(duì)稱加密密碼算法能力，在此情況下，可經(jīng)由區(qū)塊鏈網(wǎng)關(guān)二次簽名后上鏈，并應(yīng)滿足以下要求：物聯(lián)網(wǎng)終端應(yīng)支持對(duì)稱加密密碼算法并具有已經(jīng)過登記的對(duì)稱密鑰；區(qū)塊鏈網(wǎng)關(guān)應(yīng)具有區(qū)塊鏈密鑰對(duì)，且其安全性不低于

27、對(duì)終端的要求。物聯(lián)網(wǎng)終端使用對(duì)稱加密對(duì)上鏈數(shù)據(jù)計(jì)算消息認(rèn)證碼（MAC），并將上鏈數(shù)據(jù)、消息認(rèn)證碼以及可以關(guān)聯(lián)終端對(duì)稱密鑰的信息（例如設(shè)備唯一標(biāo)識(shí)）發(fā)送給區(qū)塊鏈網(wǎng)關(guān)；區(qū)塊鏈網(wǎng)關(guān)將這些數(shù)據(jù)構(gòu)造為區(qū)塊鏈遠(yuǎn)程過程調(diào)用報(bào)文，并使用其自身的區(qū)塊鏈私鑰簽名上鏈。后續(xù)的數(shù)據(jù)驗(yàn)真過程中，應(yīng)包含對(duì)終端消息認(rèn)證碼的驗(yàn)證。不具備可獨(dú)立調(diào)用的數(shù)字簽名和加密能力的終端若物聯(lián)網(wǎng)終端既不具備可獨(dú)立調(diào)用的數(shù)字簽名能力，也不具備可獨(dú)立調(diào)用的對(duì)稱加密能力，在此情況下，物聯(lián)網(wǎng)終端可將數(shù)據(jù)傳送給區(qū)塊鏈網(wǎng)關(guān)，由區(qū)塊鏈網(wǎng)關(guān)簽名后上鏈，并應(yīng)滿足如下要求：物聯(lián)網(wǎng)終端應(yīng)將上鏈數(shù)據(jù)以及設(shè)備唯一標(biāo)識(shí)發(fā)送給區(qū)塊鏈網(wǎng)關(guān)；區(qū)塊鏈網(wǎng)關(guān)將這些數(shù)據(jù)構(gòu)造為區(qū)塊鏈

28、遠(yuǎn)程過程調(diào)用報(bào)文，并使用其自身的區(qū)塊鏈私鑰簽名上鏈。若區(qū)塊鏈網(wǎng)關(guān)本身亦為物聯(lián)網(wǎng)數(shù)據(jù)平臺(tái)，應(yīng)盡量縮短從收到物聯(lián)網(wǎng)終端上傳的數(shù)據(jù)，到將數(shù)據(jù)上鏈的間隔。此場(chǎng)景退化為區(qū)塊鏈網(wǎng)關(guān)的數(shù)據(jù)上鏈，物聯(lián)網(wǎng)終端僅提供數(shù)據(jù)來源，但不提供任何可驗(yàn)證數(shù)據(jù)來源及完整性的密碼學(xué)憑據(jù)，因此，鏈上數(shù)據(jù)信任只能驗(yàn)證到區(qū)塊鏈網(wǎng)關(guān)，不能驗(yàn)證到物聯(lián)網(wǎng)終端。此類終端上鏈的數(shù)據(jù)，應(yīng)當(dāng)關(guān)注數(shù)據(jù)信任的局限性。注：“可獨(dú)立調(diào)用”指該算法可以基于單獨(dú)的密鑰被單獨(dú)調(diào)用。如果終端雖然具備數(shù)字簽名或?qū)ΨQ加密能力，但該能力封裝于其他不可拆解的過程中，無法被單獨(dú)調(diào)用，則不屬于“可獨(dú)立調(diào)用”。例如，封裝于AT命令中的HTTPS 傳輸命令，雖然其中必然包含相關(guān)

29、密碼學(xué)算法，但如果不可拆出來單獨(dú)調(diào)用，則不屬于“可獨(dú)立調(diào)用”。區(qū)塊鏈節(jié)點(diǎn)連接與容錯(cuò)功能要求物聯(lián)網(wǎng)終端至少需要直接或間接連接到一個(gè)區(qū)塊鏈節(jié)點(diǎn)實(shí)現(xiàn)數(shù)據(jù)上鏈。為獲得更佳的容錯(cuò)性，終端宜具備以下能力：多節(jié)點(diǎn)連接能力：可以為終端配置多個(gè)區(qū)塊鏈節(jié)點(diǎn)，并依據(jù)一定規(guī)則選擇可用節(jié)點(diǎn)。節(jié)點(diǎn)發(fā)現(xiàn)能力：終端通過約定的鏈上或云上服務(wù)，獲得可用節(jié)點(diǎn)列表，并依據(jù)一定規(guī)則選用。拜占庭容錯(cuò)能力：終端依據(jù)容錯(cuò)要求，與多個(gè)節(jié)點(diǎn)分別建立針對(duì)同一交易的遠(yuǎn)程過程調(diào)用，并遵照容錯(cuò)算法聚合不同節(jié)點(diǎn)的調(diào)用結(jié)果，從而容忍一定數(shù)量的惡意或失效節(jié)點(diǎn)。附 錄 A（資料性）物聯(lián)網(wǎng)終端可信上鏈及數(shù)據(jù)驗(yàn)真參考模型物聯(lián)網(wǎng)終端直接上鏈參考模型上云直接上鏈區(qū)塊鏈

30、節(jié)點(diǎn)區(qū)塊鏈節(jié)點(diǎn)物聯(lián)網(wǎng)數(shù)據(jù)平臺(tái)物聯(lián)網(wǎng)數(shù)據(jù)使用者區(qū)塊鏈客戶端物聯(lián)網(wǎng)終端（數(shù)據(jù)生產(chǎn)者）區(qū)塊鏈節(jié)點(diǎn)圖 A.1 物聯(lián)網(wǎng)終端直接上鏈參考模型物聯(lián)網(wǎng)終端直接上鏈的參考模型見圖A.1,其前置條件為：區(qū)塊鏈上已經(jīng)部署存儲(chǔ)數(shù)據(jù)的智能合約；物聯(lián)網(wǎng)終端具備組裝區(qū)塊鏈合約調(diào)用交易報(bào)文的能力，并能連接區(qū)塊鏈節(jié)點(diǎn)；物聯(lián)網(wǎng)終端已經(jīng)生成或注入?yún)^(qū)塊鏈公私密鑰對(duì)。物聯(lián)網(wǎng)終端數(shù)據(jù)直接上鏈及驗(yàn)真過程為：物聯(lián)網(wǎng)終端采集或產(chǎn)生物聯(lián)網(wǎng)數(shù)據(jù)，物聯(lián)網(wǎng)數(shù)據(jù)中包含終端唯一標(biāo)識(shí)（例如蜂窩設(shè)備的IMEI） 以及時(shí)間戳；物聯(lián)網(wǎng)終端計(jì)算物聯(lián)網(wǎng)數(shù)據(jù)的第一雜湊值；物聯(lián)網(wǎng)終端構(gòu)造智能合約調(diào)用交易報(bào)文并以終端區(qū)塊鏈私鑰簽名，將終端唯一標(biāo)識(shí)、時(shí)間戳以及第一雜湊值在交

31、易中傳遞給智能合約；智能合約保存終端唯一標(biāo)識(shí)、時(shí)間戳以及第一雜湊值；物聯(lián)網(wǎng)終端將物聯(lián)網(wǎng)數(shù)據(jù)上傳到云端物聯(lián)網(wǎng)數(shù)據(jù)平臺(tái)；物聯(lián)網(wǎng)數(shù)據(jù)使用者從云端物聯(lián)網(wǎng)數(shù)據(jù)平臺(tái)取得物聯(lián)網(wǎng)數(shù)據(jù)，并計(jì)算其第二雜湊值；物聯(lián)網(wǎng)數(shù)據(jù)使用者根據(jù)物聯(lián)網(wǎng)數(shù)據(jù)中包含的終端唯一標(biāo)識(shí)和時(shí)間戳信息，從區(qū)塊鏈智能合約取得對(duì)應(yīng)的第一雜湊值；物聯(lián)網(wǎng)數(shù)據(jù)使用者比較第一雜湊值與第二雜湊值是否相同，如果相同，表明該數(shù)據(jù)在物聯(lián)網(wǎng)數(shù)據(jù)平臺(tái)存儲(chǔ)期間未發(fā)生過篡改。具備數(shù)字簽名的物聯(lián)網(wǎng)終端間接上鏈參考模型上云物聯(lián)網(wǎng)終端（數(shù)據(jù)生產(chǎn)者）間接上鏈物聯(lián)網(wǎng)數(shù)據(jù)平臺(tái)區(qū)塊鏈客戶端區(qū)塊鏈節(jié)點(diǎn)區(qū)塊鏈節(jié)點(diǎn)區(qū)塊鏈節(jié)點(diǎn)區(qū)塊鏈網(wǎng)關(guān)物聯(lián)網(wǎng)數(shù)據(jù)使用者圖 A.2 物聯(lián)網(wǎng)終端間接上鏈參考模型物聯(lián)網(wǎng)終端間接上鏈的參考模型見圖A.2，其前置條件為：區(qū)塊鏈上已經(jīng)部署存儲(chǔ)數(shù)據(jù)的智能合約；物聯(lián)網(wǎng)終端不具備組裝區(qū)塊鏈合約調(diào)用交易報(bào)文的能力，但具備數(shù)字簽名能力；物聯(lián)網(wǎng)終端已經(jīng)生成或注入終端公私密鑰對(duì)（不