TSCBA 003-2023 區(qū)塊鏈用戶密鑰管理規(guī)范

kkkkkkkkkkkICS35.240CCSL70kkkkkkkkkkk團(tuán) 體 標(biāo) 準(zhǔn)T/SCBA 區(qū)塊鏈用戶密鑰管理規(guī)范SpecificationforUserKeyManagementofBlockchain2023-07-01發(fā)布 2023-07-20實(shí)施四川省區(qū)塊鏈行業(yè)協(xié)會(huì) 發(fā)布目 錄前 言 1范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮寫語 3密鑰應(yīng)用架構(gòu) 3終端密鑰管理 3密碼載體 3密鑰生成與存儲(chǔ) 4密鑰應(yīng)用 4密鑰生命終止 4實(shí)名身份綁定 4身份服務(wù)機(jī)構(gòu) 4身份綁定方式 4實(shí)名身份驗(yàn)證 4密鑰托管服務(wù) 5服務(wù)主體 5服務(wù)內(nèi)容 5服務(wù)系統(tǒng) 5服務(wù)安全 5監(jiān)管審計(jì)要求 5爛爛爛爛前 言本標(biāo)準(zhǔn)按照GB/T1.1—2020給出的規(guī)則起草。本標(biāo)準(zhǔn)由四川省區(qū)塊鏈行業(yè)協(xié)會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：四川領(lǐng)鏈科技有限公司、豪符密碼檢測技術(shù)(成都)有限責(zé)任公司、嘉凱宇拓（成都本標(biāo)準(zhǔn)主要起草人：肖自信、徐順斌、安紅章、楊偉、鄧力涵、吳華、尹才敏、支紅杰、張晨曦、唐興、張開翔、胡章一、左川民。

T/SCBA003—2023范圍本文件規(guī)定了區(qū)塊鏈服務(wù)平臺(tái)的用戶密鑰管理規(guī)范，包括終端密鑰管理、實(shí)名身份綁定和密鑰托管服務(wù)三個(gè)方面的要求。本規(guī)范適用于指導(dǎo)區(qū)塊鏈用戶端，以及區(qū)塊鏈應(yīng)用系統(tǒng)或第三方密鑰托管服務(wù)的密鑰管理方案的設(shè)計(jì)與實(shí)現(xiàn)。規(guī)范性引用文件GB/T37092-2018信息安全技術(shù)密碼模塊安全技術(shù)要求；GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求；GB/T25069-2010信息安全技術(shù)術(shù)語；GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求；GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范；GB/T25058信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南；GB/T25070信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求；GB/T38561—2020信息安全技術(shù)網(wǎng)絡(luò)安全管理支撐系統(tǒng)技術(shù)要求；GM∕T0111-2021區(qū)塊鏈密碼應(yīng)用技術(shù)要求；術(shù)語和定義GM∕T0111-2021、GB/T25069-2010、GB/T39786-2021界定的以及下術(shù)語和定義適用于本文件。3.1區(qū)塊鏈blockchain3.2區(qū)塊鏈服務(wù)平臺(tái)blockchainplatform在區(qū)塊鏈上對外提供上鏈存證、查詢驗(yàn)證等服務(wù)的信息系統(tǒng)或軟件。3.31爛爛爛爛33T/SCBA003—2023交易transaction數(shù)字資產(chǎn)的一次轉(zhuǎn)賬或者對智能合約的一次調(diào)用。3.4合規(guī)性compliance3.5密鑰key控制密碼算法運(yùn)算的關(guān)鍵信息或參數(shù)。3.6公鑰publickey非對稱密鑰對中可以公開的密鑰。3.7私鑰privatekey非對稱密鑰對中只能由用戶使用的不公開密鑰。3.8加密密鑰encryptionkey對密鑰進(jìn)行加密保護(hù)的密鑰。3.9數(shù)字資產(chǎn)digitalassets以電子數(shù)據(jù)形式存在，持有者可以出售或者交換的有價(jià)資產(chǎn)。3.10智能合約smartcontract一套以數(shù)字形式定義的約定。3.11密鑰托管keyhosting以簽署協(xié)議的方式將密鑰托管給第三方可信服務(wù)廠商管理，并授權(quán)密鑰相關(guān)的操作權(quán)限。2kkkkkkkkkT/SCBA003—2023kkkkkkkkk縮寫語下列縮略語適用于本文件。CA（CertificateAuthority）證書認(rèn)證機(jī)構(gòu)密鑰應(yīng)用架構(gòu)區(qū)塊鏈用戶密鑰應(yīng)用架構(gòu)如下圖所示，主要包括用戶終端密鑰管理和密鑰托管服務(wù)兩種應(yīng)用模式，以及實(shí)名身份綁定應(yīng)用要求。圖1區(qū)塊鏈用戶密鑰應(yīng)用架構(gòu)終端密鑰管理：用戶通過密碼終端自行進(jìn)行密鑰管理，并為密鑰管理承擔(dān)全部責(zé)任。密鑰托管服務(wù)：用戶委托第三方進(jìn)行密鑰管理，通過協(xié)議方式將密鑰管理的權(quán)利與責(zé)任委托給第三方，以獲取統(tǒng)一的密鑰管理服務(wù)。實(shí)名身份綁定：依托可信身份服務(wù)機(jī)構(gòu)對用戶進(jìn)行實(shí)名身份鑒別，并通過數(shù)字證書等方式將用戶公鑰與實(shí)名身份進(jìn)行綁定。終端密鑰管理主要規(guī)范用戶密碼終端的密鑰生成、存儲(chǔ)、應(yīng)用、生命終止等相關(guān)要求。密碼載體用戶終端密鑰管理須依托密碼模塊進(jìn)行；GB/T37092-20182級以上測評。T/SCBA003—2023密鑰生成與存儲(chǔ)用戶公私鑰對應(yīng)在密碼模塊中生成及安全存儲(chǔ)；用戶私鑰不得以任何明文或密文形式暴露于密碼模塊安全區(qū)域以外的任何地方。密鑰應(yīng)用應(yīng)實(shí)施密鑰授權(quán)訪問，調(diào)取使用密鑰前應(yīng)對用戶進(jìn)行身份鑒別；密鑰應(yīng)用所涉及密碼協(xié)議應(yīng)通過安全證明；對關(guān)鍵密鑰應(yīng)用操作應(yīng)進(jìn)行可靠記錄，支持審計(jì)。密鑰生命終止應(yīng)使用密碼模塊生命終止流程清理或銷毀密碼模塊內(nèi)的敏感信息（如敏感安全參數(shù)、用戶數(shù)據(jù)等）；在密鑰清理或銷毀前，應(yīng)確認(rèn)由此密鑰保護(hù)的數(shù)據(jù)信息不再需要。實(shí)名身份綁定主要規(guī)范身份服務(wù)機(jī)構(gòu)為用戶提供實(shí)名身份綁定服務(wù)，及區(qū)塊鏈平臺(tái)進(jìn)行實(shí)名身份驗(yàn)證的相關(guān)要求。身份服務(wù)機(jī)構(gòu)應(yīng)為國家授權(quán)的身份服務(wù)機(jī)構(gòu)（CA機(jī)構(gòu)）；資質(zhì)在有效期內(nèi)；具有相應(yīng)服務(wù)能力；應(yīng)在區(qū)塊鏈平臺(tái)進(jìn)行登記。身份綁定方式通過簽發(fā)數(shù)字證書的方式將用戶實(shí)名身份與用戶公鑰進(jìn)行綁定；GB/T38561—2020信息安全技術(shù)網(wǎng)絡(luò)安全管理支撐系統(tǒng)技術(shù)要求》有關(guān)要求；綁定后應(yīng)將有關(guān)身份信息上鏈存儲(chǔ)，上鏈信息應(yīng)包括數(shù)字證書編號、發(fā)證機(jī)構(gòu)、用戶區(qū)塊鏈公鑰信息；實(shí)名身份驗(yàn)證區(qū)塊鏈平臺(tái)應(yīng)支持通過提供標(biāo)準(zhǔn)智能合約查詢用戶身份綁定、記錄、綁定日志等信息；4T/SCBA003—2023區(qū)塊鏈平臺(tái)智能合約在接收交易申請時(shí)應(yīng)確認(rèn)用戶是否擁有合法身份證書。密鑰托管服務(wù)主要規(guī)范密鑰托管服務(wù)在服務(wù)主體、服務(wù)內(nèi)容、服務(wù)系統(tǒng)、服務(wù)安全及監(jiān)管審計(jì)方面的要求。服務(wù)主體密鑰托管服務(wù)可以為以下類型主體：專門的第三方托管服務(wù)機(jī)構(gòu)；由應(yīng)用系統(tǒng)廠商提供密鑰托管服務(wù)。服務(wù)內(nèi)容密鑰托管服務(wù)應(yīng)支持以下對象托管：用戶密鑰托管：用戶密鑰包括公鑰、私鑰等，代理用戶進(jìn)行密鑰有關(guān)操作；用戶數(shù)字資產(chǎn)托管：與用戶密鑰關(guān)聯(lián)的數(shù)字資產(chǎn)，代理用戶進(jìn)行數(shù)字資產(chǎn)的保管、交易等操作。服務(wù)系統(tǒng)6部分終端密鑰管理所有要求；7部分實(shí)名身份綁定所有要求；3級測評和商用密碼應(yīng)用安全性評估；密鑰托管系統(tǒng)應(yīng)通過商用密碼產(chǎn)品檢測認(rèn)證。服務(wù)安全密鑰托管機(jī)構(gòu)應(yīng)取得國家密碼管理局要求的有關(guān)資質(zhì)；應(yīng)與用戶簽訂服務(wù)協(xié)議，明確服務(wù)內(nèi)容及相關(guān)安全責(zé)任界定；為用戶提供服務(wù)時(shí)，應(yīng)進(jìn)行用戶實(shí)名身份驗(yàn)證；7*24小時(shí)正常運(yùn)作；應(yīng)具有數(shù)據(jù)、系統(tǒng)備份等措施，確保用戶資產(chǎn)安全性與可用性；應(yīng)具有用戶資產(chǎn)密鑰更新等應(yīng)急處理措施；應(yīng)具有用戶身份鑒別、自主訪問控制、用戶數(shù)據(jù)保護(hù)、惡意代碼防范等技術(shù)能力。監(jiān)管審計(jì)要求應(yīng)對用戶所有操作進(jìn)行詳細(xì)日志記錄；參考文獻(xiàn)GMT0028-2014密碼模塊安全技術(shù)要求GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T38561—2020信息安全技術(shù)網(wǎng)絡(luò)安全管理支撐系統(tǒng)技術(shù)要求[4GB/T25069-2010GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T25058信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南；GB/T25070信息安全技術(shù)信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T25069-2010信息安全技術(shù)術(shù)語GB/T35273-2017信息安全技術(shù)個(gè)人信息安全規(guī)范GM∕T0111-2021區(qū)塊鏈密碼應(yīng)用技術(shù)要求中華人民共和國工業(yè)和信息化部.中國區(qū)塊鏈技術(shù)和應(yīng)用發(fā)展白皮書，2016[12