DB51-T 3189-2024 區(qū)塊鏈技術(shù)應(yīng)用規(guī)范

DB51I 3 4 4 4 5 5 5 5 56.5省本級、地市州及部門級基礎(chǔ)設(shè)施許可 6 8 9 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件由四川省發(fā)展和改革委員會(huì)提出、解釋、歸口并1區(qū)塊鏈技術(shù)應(yīng)用規(guī)范基礎(chǔ)資源層基本要求、應(yīng)用支撐層基本要求、分布式應(yīng)用層基本要求、應(yīng)用安全保障體系要求等。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保GB/T25069—2022信息安全技術(shù)術(shù)語GB/T42752—2023區(qū)塊鏈和分布式記賬技術(shù)注：常見共識算法有工作量證明（ProofofWork，PoW）算法、權(quán)益證明（ProofofStake，PoS）算法、股份授2跨鏈適配器crosschaina跨鏈可信通道crosschaintrustedc注：分布式賬本被設(shè)計(jì)為防篡改、僅可追加和不可變，個(gè)節(jié)點(diǎn)，其中的數(shù)據(jù)只允許系統(tǒng)內(nèi)不同的機(jī)構(gòu)進(jìn)行讀寫和3描述區(qū)塊鏈網(wǎng)絡(luò)承載的具體業(yè)務(wù)動(dòng)作的數(shù)據(jù)。通常包括業(yè)務(wù)邏輯執(zhí)行結(jié)果和交易轉(zhuǎn)賬信4縮略語API：應(yīng)用程序接口（ApplicationPrograCCIP：跨鏈交互協(xié)議（CrossChainICPU：中央處理器（CentralProcessingUDES：一種對稱加密算法（DataEncryptionStandDID：分布式數(shù)字身份（DecentrPC:個(gè)人電腦（PersonalComputRPC：遠(yuǎn)程過程調(diào)用（RemoteProcedure4SAS：串行SCSI（SerialAttachSATA：串行硬件驅(qū)動(dòng)器接口（SerialAdvancedTechnologyAttachSCSI：Internet小型計(jì)算機(jī)系統(tǒng)接口（InternetSmallCompuSDK：軟件開發(fā)工具包（SoftwareDevelopmeSHA256:256位安全哈希算法（SecureHashAlgorithm2SM2:橢圓曲線公鑰密碼算法（PublicKeyCryptographicAlgorithmSM2BasedonEllipticSM3:密碼雜湊算法（SM3CryptogSM4:分組密碼算法（SM4BlockCipherAlgorithmUSB:通用串行總線（UniversalSerialBuVC：可驗(yàn)證聲明（VerifiableClaim)5.2架構(gòu)說明a)基礎(chǔ)設(shè)施層：構(gòu)建了一個(gè)由基礎(chǔ)設(shè)施聯(lián)盟鏈網(wǎng)支撐的應(yīng)用環(huán)境，通過提供存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)5b)基礎(chǔ)資源層：基于基礎(chǔ)設(shè)施層提供的硬件和網(wǎng)絡(luò)基礎(chǔ)體系，提供核心功能支撐，包括區(qū)塊鏈節(jié)點(diǎn)管理、分布式數(shù)字身份和數(shù)據(jù)管理，確保業(yè)務(wù)邏輯與監(jiān)管需求的融合，為應(yīng)用支撐層提c)應(yīng)用支撐層：提供組網(wǎng)、共識、動(dòng)態(tài)訪問和跨鏈機(jī)制等功能，促進(jìn)數(shù)據(jù)流通與訪問控制；d)分布式應(yīng)用層：通過調(diào)用應(yīng)用支撐層的功能組件，提供多元化的服務(wù)和訪問能力，支持豐富e)區(qū)塊鏈應(yīng)用安全保障體系：針對區(qū)塊鏈應(yīng)用面臨的安全風(fēng)險(xiǎn)，對區(qū)塊鏈基礎(chǔ)設(shè)施層、基礎(chǔ)資——能夠高效、安全、穩(wěn)定地提供數(shù)據(jù)寫入及查詢服務(wù)；——對于采取分庫分表的數(shù)據(jù)存儲(chǔ)方案，存儲(chǔ)資源還應(yīng)包括數(shù)據(jù)的分片及路由處理能力。6.2.3存儲(chǔ)基礎(chǔ)設(shè)施應(yīng)采用分布式架構(gòu)，提供可彈性擴(kuò)展的虛擬化存儲(chǔ)硬盤。同時(shí)，存儲(chǔ)硬盤應(yīng)具有6.2.4為保障存儲(chǔ)多樣性，存儲(chǔ)基礎(chǔ)設(shè)施需提供塊存儲(chǔ)、文件存儲(chǔ)、對象存儲(chǔ)等多種存儲(chǔ)模式。6.3.1區(qū)塊鏈系統(tǒng)運(yùn)行的底層拓?fù)浣Y(jié)構(gòu)是分布式對等網(wǎng)絡(luò)，應(yīng)采用對等網(wǎng)絡(luò)協(xié)議組織區(qū)塊鏈中的各個(gè)6.3.2各個(gè)節(jié)點(diǎn)間通常使用點(diǎn)對點(diǎn)通信協(xié)議完成信息交換以支撐上層——能夠進(jìn)行點(diǎn)對點(diǎn)之間的高效安全通信；6.3.5系統(tǒng)可實(shí)現(xiàn)大規(guī)模的租戶網(wǎng)絡(luò)隔離，互6.4.1計(jì)算資源提供區(qū)塊鏈系統(tǒng)運(yùn)行中的計(jì)算能力支持，包括但不限于物理機(jī)技術(shù)、虛擬機(jī)技術(shù)、云6——對區(qū)塊鏈系統(tǒng)提供運(yùn)行環(huán)境支持；——點(diǎn)對點(diǎn)網(wǎng)絡(luò)中，能夠被每個(gè)節(jié)點(diǎn)采用。6.4.3計(jì)算平臺可以分鐘級發(fā)放虛擬機(jī)設(shè)備，且這些基礎(chǔ)設(shè)施是彈性的，可以根據(jù)需求進(jìn)行擴(kuò)展和收6.4.4為保障系統(tǒng)安全可靠，服務(wù)器設(shè)備應(yīng)采用國產(chǎn)化自主可控6.5省本級、地市州及部門級基礎(chǔ)設(shè)施許可聯(lián)盟鏈網(wǎng)建設(shè)省本級、地市州及部門級基礎(chǔ)設(shè)施許可聯(lián)盟鏈網(wǎng)部署架6.5.2.1應(yīng)支持基于中繼鏈、公證人、雙向錨定等技術(shù)的基礎(chǔ)設(shè)施協(xié)同跨鏈網(wǎng)絡(luò)。助力不同聯(lián)盟鏈可信互聯(lián)，促進(jìn)區(qū)塊鏈產(chǎn)業(yè)生態(tài)可信6.5.2.3應(yīng)支持跨鏈申請、授權(quán)等操作行為完整保存上鏈，交易過程記錄本地賬本，全流程自動(dòng)、透6.5.2.4應(yīng)支持跨鏈賬本數(shù)據(jù)以及智能合約數(shù)據(jù)僅在所有者授權(quán)情況下才能進(jìn)行訪問，基于身份體系76.5.2.5應(yīng)支持基于分布式身份體系的跨鏈系統(tǒng)治理，為各個(gè)接入的區(qū)塊鏈配置通用身份標(biāo)識，支持6.5.2.6應(yīng)支持跨鏈?zhǔn)聞?wù)一致性要求，包括：保障跨鏈交易在整個(gè)流程中的事務(wù)一致性；支持事務(wù)超——應(yīng)支持?jǐn)?shù)據(jù)備份，并支持利用備份數(shù)據(jù)在系統(tǒng)故障時(shí)快速恢復(fù)業(yè)務(wù)環(huán)境；支持跨鏈組件點(diǎn)對點(diǎn)數(shù)據(jù)交互，防止隱私泄露，有效保護(hù)跨鏈數(shù)據(jù)隱——應(yīng)支持超時(shí)斷開機(jī)制，超時(shí)后應(yīng)斷開用戶會(huì)話或重新鑒別用戶身份；——宜支持動(dòng)態(tài)口令卡、USBKey、指紋、智能卡認(rèn)證進(jìn)行身份認(rèn)證，其配套設(shè)——支持鏈間互操作組件賬本本地?cái)?shù)據(jù)的加密存儲(chǔ)；——跨鏈交易數(shù)據(jù)只能被目的方獲取，其它方無法獲取；——宜在接入機(jī)構(gòu)建設(shè)跨鏈可信通道，為跨鏈可信通道配置與其他通道聯(lián)通的網(wǎng)絡(luò)環(huán)境，以在不——接入機(jī)構(gòu)應(yīng)進(jìn)行身份注冊，并為其分配用于跨鏈交6.5.3.2跨鏈網(wǎng)絡(luò)接入要點(diǎn)包括接入機(jī)構(gòu)的跨鏈可信通道、跨鏈適配器、本地業(yè)務(wù)區(qū)塊鏈網(wǎng)絡(luò)均需進(jìn)6.5.3.3業(yè)務(wù)區(qū)塊鏈監(jiān)測要點(diǎn)包括接入機(jī)構(gòu)業(yè)務(wù)區(qū)塊鏈的基本情況、運(yùn)行狀態(tài)進(jìn)行監(jiān)測，應(yīng)及時(shí)反映87.1.1.1區(qū)塊鏈節(jié)點(diǎn)應(yīng)包括共識節(jié)點(diǎn)和記賬節(jié)點(diǎn)，應(yīng)提供管理平臺對節(jié)點(diǎn)進(jìn)行配置，節(jié)點(diǎn)服務(wù)啟動(dòng)時(shí)7.1.1.2區(qū)塊鏈節(jié)點(diǎn)根據(jù)配置定義為共識節(jié)點(diǎn)，應(yīng)提供合約容器部署功能，提供共識機(jī)制，提供記賬7.1.2.1區(qū)塊鏈節(jié)點(diǎn)應(yīng)根據(jù)配置的算法與證書驗(yàn)證節(jié)點(diǎn)間、APP、合7.1.2.2區(qū)塊鏈節(jié)點(diǎn)應(yīng)根據(jù)配置算法與證書做7.1.3.1區(qū)塊鏈節(jié)點(diǎn)應(yīng)支持多密碼體系并行，加強(qiáng)數(shù)據(jù)安全、通訊7.1.3.2區(qū)塊鏈節(jié)點(diǎn)應(yīng)利用賬本宜提供Docker服務(wù)在共識節(jié)點(diǎn)上部署合約容7.1.6.1區(qū)塊鏈節(jié)點(diǎn)調(diào)用合約生成交易，交易緩存到交易7.1.6.3應(yīng)通過合約執(zhí)行產(chǎn)生讀寫集服務(wù)、gRPC通信服務(wù)、gossip網(wǎng)絡(luò)服務(wù)、Leader分布式數(shù)字身份應(yīng)支持使用DID標(biāo)識符作為一個(gè)身份的一個(gè)DID標(biāo)識符應(yīng)對應(yīng)一個(gè)DID文檔（DIDDocument），DID文檔數(shù)9其中區(qū)塊鏈核心數(shù)據(jù)對象包括區(qū)塊、事務(wù)、實(shí)體和合約。具體各數(shù)據(jù)結(jié)構(gòu)要求包——區(qū)塊鏈的區(qū)塊數(shù)據(jù)應(yīng)包含但不限于的數(shù)據(jù)元素見表4；——支持節(jié)點(diǎn)間安全通信，防止數(shù)據(jù)在傳輸途中被篡改；——數(shù)據(jù)傳輸連接建立之前對發(fā)送方和接收方進(jìn)行身份鑒別的能力；——需支持設(shè)置用戶訪問權(quán)限，數(shù)據(jù)信息應(yīng)進(jìn)行安全保護(hù)分級；——需具備一定容災(zāi)性功能，應(yīng)保證當(dāng)任意不超過區(qū)塊鏈平臺聲明數(shù)量的節(jié)點(diǎn)發(fā)生故障，整個(gè)系——需滿足指定業(yè)務(wù)場景的數(shù)據(jù)處理效率指標(biāo)，例如交易數(shù)據(jù)和賬戶的處理；——需符合共識機(jī)制對數(shù)據(jù)的處理標(biāo)準(zhǔn)流程，包括事務(wù)接收、事務(wù)執(zhí)行、事務(wù)打包、事務(wù)驗(yàn)證和——宜支持從約定的信息系統(tǒng)或特定的數(shù)據(jù)來源渠道直接抽取或智能化采集等方式，對約定上鏈——宜支持提供數(shù)據(jù)目錄的發(fā)布、更新等數(shù)據(jù)目錄服務(wù)；——需支持對全部節(jié)點(diǎn)或部分節(jié)點(diǎn)按照一定的算法同步區(qū)塊數(shù)據(jù)；——所有參與共識驗(yàn)證的節(jié)點(diǎn)在進(jìn)行同步時(shí)應(yīng)達(dá)到要求的最低效率指標(biāo)；——數(shù)據(jù)同步內(nèi)容宜包括但不限于區(qū)塊數(shù)據(jù)結(jié)構(gòu)內(nèi)容，根據(jù)業(yè)務(wù)需求和所負(fù)職責(zé)確定具體需要同——需符合數(shù)據(jù)同步處理方式和流程：區(qū)塊將區(qū)塊內(nèi)容推送給區(qū)塊鏈網(wǎng)絡(luò)內(nèi)的其他節(jié)點(diǎn)時(shí)采用廣播推送式，向其他記賬節(jié)點(diǎn)進(jìn)行數(shù)據(jù)同步采用消息——區(qū)塊鏈數(shù)據(jù)同步宜采用能減少賬本數(shù)據(jù)的重建——數(shù)據(jù)同步宜采用設(shè)定系統(tǒng)的區(qū)塊數(shù)量自動(dòng)檢測點(diǎn)、多方參與狀態(tài)數(shù)據(jù)恢復(fù)等技術(shù)方式使同步——區(qū)塊鏈賬本數(shù)據(jù)同步能力需為各個(gè)區(qū)塊鏈引擎必備的基本能力。a)加入共識：這個(gè)階段決定哪些節(jié)點(diǎn)可以參與共識，縮小參與共識的節(jié)點(diǎn)范圍。比如在PoS里b)生成區(qū)塊：采用共識算法（一定規(guī)則）從參與共識的節(jié)點(diǎn)里挑選相應(yīng)的節(jié)點(diǎn)，由該節(jié)點(diǎn)將交c)進(jìn)行驗(yàn)證和投票，節(jié)點(diǎn)驗(yàn)證更新區(qū)塊。投票涉及區(qū)塊投票和用消息投票兩種方式，每個(gè)區(qū)塊都是一張票（票有權(quán)重，例如工作量證明），高度最長、包含的區(qū)塊（票數(shù)）最多即為勝出），(2)所有節(jié)點(diǎn)都可以自主選擇投票的對象，選舉產(chǎn)生的代表按順序記賬。型計(jì)算機(jī)網(wǎng)絡(luò)中沒有中心節(jié)點(diǎn)，所有節(jié)點(diǎn)地位相同，應(yīng)滿足以下業(yè)務(wù)應(yīng)用共識應(yīng)計(jì)算共識過程中耗費(fèi)的CPU、內(nèi)存、網(wǎng)絡(luò)資源與電力消耗等資源，并減少共識機(jī)制——待確認(rèn)交易數(shù)量增加的可擴(kuò)展性。識機(jī)制算法或?qū)追N算法進(jìn)行組合使用，以達(dá)到共識算法最優(yōu)化，應(yīng)滿足以下——公有鏈情景下，所有節(jié)點(diǎn)擁有平等的權(quán)力并且引入代幣激勵(lì)機(jī)制，選擇容錯(cuò)性較高且具有代——聯(lián)盟鏈情景下，網(wǎng)絡(luò)節(jié)點(diǎn)規(guī)?？煽?，內(nèi)部存在不對等信任的節(jié)點(diǎn)，應(yīng)選擇容算性與性能效率——應(yīng)支持網(wǎng)絡(luò)運(yùn)維服務(wù)，包括網(wǎng)絡(luò)整體運(yùn)行狀態(tài)、網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)與、網(wǎng)絡(luò)拓?fù)?、服?wù)器性能監(jiān)——智能合約訪問權(quán)限應(yīng)支持接口訪問控制、用戶訪問控制和混合訪問控制；——全局權(quán)限應(yīng)支持用戶部署和讀取智能合約權(quán)限?！酥С滞ㄟ^如跨鏈可信通道類的跨鏈組件，將不同區(qū)塊鏈網(wǎng)絡(luò)打通，形成協(xié)同跨鏈網(wǎng)絡(luò)；——對于跨鏈可信通道類的跨鏈組件，宜支持將區(qū)塊鏈傳來的——由省本級、地市州及部門級基礎(chǔ)設(shè)施協(xié)同鏈網(wǎng)形成的統(tǒng)一協(xié)作鏈作為跨鏈體系的核心，應(yīng)統(tǒng)——應(yīng)支持對區(qū)塊鏈之間的跨鏈交互操作進(jìn)行類型劃分，規(guī)范跨鏈調(diào)用行為。來源跨鏈服務(wù)，格式：<OrgID>:<BuChainID>:<Ser9區(qū)塊鏈分布式應(yīng)用層基本要求9.1業(yè)務(wù)與合約9.1.1.1合約機(jī)制要素9.1.1.2合約機(jī)制標(biāo)準(zhǔn)流程9.1.2智能合約技術(shù)要求9.1.2.1去中心化自治組織9.1.2.2隱私保護(hù)智能合約I/O應(yīng)該具備隱私保護(hù)能力，應(yīng)具備隱私保護(hù)能力，可以使用如同態(tài)加密，零知識證明等9.1.2.3透明度9.1.2.4時(shí)間效率9.1.2.5操作精度9.1.2.6可信性9.2服務(wù)與訪問9.2.1區(qū)塊鏈應(yīng)用接口調(diào)用基本要求——區(qū)塊鏈應(yīng)用中接口調(diào)用方式應(yīng)支持SDK，或者遠(yuǎn)程過程調(diào)用（RPC、RESTful——區(qū)塊鏈應(yīng)用中應(yīng)提供以下與區(qū)塊相關(guān)的業(yè)務(wù)：創(chuàng)建業(yè)務(wù)表接口、交易發(fā)送接口、查詢交易接——區(qū)塊鏈應(yīng)用中應(yīng)提供以下接口以處理智能合約相關(guān)的業(yè)務(wù)：創(chuàng)建智能合約接口、智能合約上9.2.2區(qū)塊鏈應(yīng)用接口調(diào)用方法——基于公有鏈已有協(xié)議和開源工具庫等，開發(fā)或調(diào)用鏈上已有代碼、協(xié)議和接口，實(shí)現(xiàn)區(qū)塊鏈——基于共鏈協(xié)議與開源工具庫等，開發(fā)或調(diào)用鏈上代碼和接口，搭建應(yīng)用區(qū)塊鏈底層，實(shí)現(xiàn)區(qū)——基于聯(lián)盟鏈已有協(xié)議和工具庫等，開發(fā)和調(diào)用鏈上代碼和接口，實(shí)現(xiàn)區(qū)塊鏈行業(yè)應(yīng)用的目標(biāo)——基于私有鏈已有協(xié)議和工具庫等，開發(fā)和調(diào)用鏈上代碼和接口，實(shí)現(xiàn)區(qū)塊鏈行業(yè)應(yīng)用的目標(biāo)9.3應(yīng)用與監(jiān)管——建立負(fù)面清單機(jī)制應(yīng)包括：——數(shù)據(jù)存儲(chǔ)服務(wù)應(yīng)保證賬本數(shù)據(jù)的冗余性，防止因單個(gè)節(jié)點(diǎn)失效而造成總賬本數(shù)據(jù)的丟失；——數(shù)據(jù)存儲(chǔ)服務(wù)應(yīng)保證存儲(chǔ)空間可擴(kuò)展，滿足高可用性。保證數(shù)據(jù)查詢和更新等操作的響應(yīng)時(shí)——專用硬件如需使用外部存儲(chǔ)器件存儲(chǔ)敏感數(shù)據(jù)，應(yīng)對數(shù)據(jù)進(jìn)行保護(hù)，以防止數(shù)據(jù)被惡意篡改——通過節(jié)點(diǎn)身份認(rèn)證、分層網(wǎng)絡(luò)路由以及限制來源IP數(shù)量等技術(shù)手段，應(yīng)對常見的網(wǎng)絡(luò)攻擊；——節(jié)點(diǎn)離線后重新加入系統(tǒng)的節(jié)點(diǎn)，應(yīng)進(jìn)行狀態(tài)同步，保障賬本的一致性；——節(jié)點(diǎn)通信應(yīng)采用密碼技術(shù)保障敏感信息傳輸?shù)谋Ｃ苄院屯暾?；區(qū)塊同步時(shí)長、總交易數(shù)、總區(qū)塊數(shù)、單個(gè)區(qū)塊的交易數(shù)、平均出塊時(shí)長、熱點(diǎn)合約、合約——跨鏈鏈管宜采用DID標(biāo)識符等方式作為參與鏈管的區(qū)塊鏈設(shè)置唯一的身份標(biāo)識；——跨鏈鏈管宜支持對區(qū)塊鏈的基礎(chǔ)信息查看，如區(qū)塊鏈名稱、歸屬機(jī)構(gòu)、共識方式等信息；——跨鏈鏈管宜支持對區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)的信息查看，如節(jié)——應(yīng)對系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對——應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控；——應(yīng)對網(wǎng)絡(luò)鏈路和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測?！矸菡J(rèn)證接口應(yīng)使用密碼技術(shù)保證數(shù)據(jù)傳輸?shù)耐暾浴⒈Ｃ苄院筒豢煞裾J(rèn)性，同時(shí)應(yīng)對敏感——身份管理應(yīng)實(shí)現(xiàn)對節(jié)點(diǎn)的準(zhǔn)入和退出管理；通過對網(wǎng)絡(luò)中節(jié)點(diǎn)進(jìn)行安全性認(rèn)證，實(shí)現(xiàn)過濾非——身份認(rèn)證服務(wù)應(yīng)通過密碼技術(shù)保護(hù)用戶隱私，采用雙因素或多因素結(jié)合的身份認(rèn)證技術(shù)——應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、業(yè)務(wù)——應(yīng)采用密碼技術(shù)保證數(shù)據(jù)在存儲(chǔ)過程中的保密性，包括但不限于鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和個(gè)人——應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將數(shù)據(jù)——使用基于真實(shí)共識算法的共識機(jī)制，保持所有正確共