ICS 35.240 CCS L 78 45 广 西 壮 族 自 治 区 地方标准 DB45/T 2762 2023 基于区块 链的数 据存 证技术规 范 Technical specification for data evidence preservation based on blockchain 2023-12-12 发布 2024-02-01 实施 广西壮族 自治区 市场监 督管理 局 发 布 DB45/T 2762 2023 I 目 次 前言.II 1 范围.1 2 规范性引 用文件.1 3 术语和定 义.1 4 技术要求.2 分布式 数字身份 标识.2 4.1 共识机 制.2 4.2 账本记 录.2 4.3 数据存 证.3 4.4 5 安全要求.3 一般要 求.3 5.1 共识机 制.3 5.2 智能合 约.3 5.3 密码.4 5.4 数据.4 5.5 应用.4 5.6 6 部署要求.4 7 应用要求.4 业务流 程.4 7.1 系统用 户.4 7.2 数据获 取.5 7.3 数据预 处理.5 7.4 生成区 块.5 7.5 数据上 链.5 7.6 数据查 询.6 7.7 附录 A（资料 性）业务流程.7 DB45/T 2762 2023 II 前 言 本文件按照GB/T 1.1 2020 标准化 工作导则 第1 部分：标准化文 件的结构 和起草规则 的规定起草。请注意本文 件的某些 内容可能 涉及专利。本文件 的发 布机构不承 担识别专 利的责任。本文件由 广 西壮族自 治区大数 据发展局 提出并归 口。本文件起草 单位：广西壮 族自治 区信息中 心、广西壮 族自治区标 准技术研 究院、浪潮 工业互联 网股份有限公司。本文件主要 起草人：彭新永、周飞、赵 钦、商广 勇、蔡耀君、徐 华福、蔡 杰杰、林 建业、刘 宁、韦泽多、覃炜革、谢坤峻、陆冬妮、梁 源、肖勇、朱作 武、高明娟、李 英华、蔡 亮亮、刘伟 巍、何润 泽、李娜、覃金 钰、何琛、卢艺。DB45/T 2762 2023 1 基于区块 链的数 据存证 技术规 范 1 范围 本文件规定 了基 于区 块链的数 据存证技 术的技术 要求、安全要求、部署要 求和 应用 要求。本 文件适 用于广 西壮族 自治区 行政区域 内电子 数据存证 业务领 域和信 息安全 领域 中 使用区块 链 技术开展数据 存证的全 过程。2 规范性引用 文件 下列文件中 的内容通 过文中的 规范性引 用而构成 本文 件必不可少 的条款。其中，注日 期的引用 文件，仅该日期对 应的版本 适用于本 文件；不 注日期的 引用 文件，其最 新版本（包括所有 的修改单）适用于 本文件。GB/T 22239 信息安 全技术 网 络安全等 级保护 基本 要求 GB/T 25058 信息安 全技术 网 络安全等 级保护 实施 指南 GB/T 25070 信息安 全技术 网 络安全等 级保护 安全 设计技术要 求 GB/T 32905 信息安 全技术 SM3 密码杂 凑算法 GB/T 32907 信息安 全技术 SM4 分组密 码算法 GB/T 32918（所有 部分）信 息安全技 术 SM2椭 圆曲 线公钥密码 算法 GB/T 33133（所有 部分）信 息安全技 术 祖冲 之序 列密码算法 GB/T 41389 信息安 全技术 SM9 密码算 法使用规 范 YD/T 3747 区块链技 术架构安 全要求 3 术语和定义 下列术语和 定义适用 于本文件。3.1 共识 机制 consensus mechanism 区块链网络 活动中，起到决定 新区块生 成者和区 块链 统一维护者 作用的规 则。3.2 共识算法 consensus algorithm 区块链系统 中各节点 间达成一 致采用的 计算方法。3.3 数据记录 data record 采用区块链 分布式账 本存储的 链式数据，用来把 一段 时间内发生 的事务处 理结果持 久化为成 块链式数据结构。3.4 时间戳 time stamp DB45/T 2762 2023 2 表示一份数 据在某个 特定时间 点已经存 在的、完 整的、可验证的 数据，通 常是一个 字符序列，唯一地标识某一 刻的时间。3.5 虚拟通道 virtual channel 在应用层创 建的一个 群组，群 组 中的成 员可以查 看通 道内加密的 数据，而 群组外的 成员则无 法看到加密的数据。3.6 智能合约 smart contract 以数字形式 定义的能 够自动执 行条款的 合约。3.7 交易哈希 transaction hash 每笔交易送 上区块链 时,都会获 得一组独 一无二 的交 易编码,也就 是 转帐记 录编号。3.8 联盟链 Consortium chain 由特定的几个机 构共同参 与管理的区 块链网络，每个 参与的机构都运 行着里面 的某个或多 个节点，其中的数据 只允许系 统内的机 构进行读 写和发送 交易，并且共同 来记录交 易数据。4 技术要求 分布式数字 身份标识 4.1 4.1.1 数字身份标 识应绑定 实名信息。4.1.2 区块链存证 系统 应采 用挑战应 答机制验 证用户所 持 私 钥的有效性。共识机制 4.2 4.2.1 在 区块链存 证系统 中，应 根据 不同的业 务需求、区块链 网络组织形 式选择不 同的适用 共识算法。4.2.2 共识机制应 包括以下 功能：支持共识联 盟链的动 态创建和 管理、参 与共识的 节点 通过选举机 制产生；支持独立节 点对区块 链网络提 交的相关 信息进行 有效 性验证；具备一定的 容错性，应容忍小 于 1/2 的 物理、网 络故 障节点或小 于 1/3 的 作恶节点，且共识过程不会被 阻断。账本记录 4.3 4.3.1 分布式账本1)应包 括以下功 能：支持持久化 存储账本 记录；支持多节点 拥有完整 的数据记 录；支持向获得 授权者提 供真实的 数据记录；确保 具有全 账本记录 的各节点 的数据一 致。4.3.2 区块链存 证 系统 时序 服务应包 括以下功 能：1)分布式账本作为区块 链中分布 式数据的 存储方式，通过不 同节点对 账本 的共同记录与 维护，形 成区块链 系统中数 据的公共 管理、防 篡改、可信任的 记录。DB45/T 2762 2023 3 支持统一账 本记录时 序；具备时序容 错性；能向具有 RFC3161 电 子证书的 时间戳服 务中心请 求时 间戳；由时间戳服 务中心根 据 RFC3161 提供时 间服务。数据 存证 4.4 数据存证的 内容应包 括但不限 于：业务ID，唯 一标识数 据；存证数据；数据加密类 型；数据授权访 问用户列 表；虚拟通道 ID（可选）。注：在此 虚拟 通道 中的 用户 可查 看数 据。5 安全要求 一般要求 5.1 5.1.1 应符合GB/T 22239、GB/T 25058 和 GB/T 25070 中规 定的要求。5.1.2 应围绕物理环境 安全、通 信网络 安全、区域边界 安全、计算环境 安全、管理中 心和管理制 度 安全、管理机 构 安全、管理人员 安全、建 设管理 安 全、运维管理安全 等方面，从技术 和制度两 个维度构 建安全体系。5.1.3 宜针对现有区块 链技术的 安全特性，对账本数据、共 识机制、智能合 约、密码 私钥等进行 安全风险分析并 提供有效 的安全保 障。5.1.4 应具有防止 数据泄露 和被篡改 的机制。共识机制 5.2 5.2.1 应选择可证 明安全的 共识机制。5.2.2 应具有符合业务 需求的容 错性，包括 物理节点或 网络 故障的非恶意错 误、节点 遭受非法控 制的恶意错误，及节点产 生不确定 行为的不 可控错误 等。5.2.3 应满足应用 一致性要 求。5.2.4 应具备分叉 管理能力。智能合约 5.3 5.3.1 应具备防纂 改和抗抵 赖性。5.3.2 应具备生命 周期管理 能力，包 括合约创 建、部署、升 级、触发、执行、废 止等。5.3.3 合约的每次 修改应 重 新部署。5.3.4 合约的升级操作 应以接口 调用的方式 提交，达成 共识 后生效，升级操 作 事件日 志 应记录在 区块中，升级后 应保留历史 版本。5.3.5 应具备可终 止性，对 其所能支 配的资源 进行有效 限制，防止资源 被恶意滥 用。5.3.6 合约虚拟机 应具有合 规性检测，在处理 非合规代 码时 向用户进行 提示。5.3.7 合约代码应 在沙盒中 运行。DB45/T 2762 2023 4 5.3.8 应支持智能 合约的应 急响应机 制，在发 现合约漏 洞后，及时检查 和修复。密码 5.4 5.4.1 使用的密码算法应 符合 GB/T 32905、GB/T 32907、GB/T 32918、GB/T 33133、GB/T 41389 和YD/T 3747 中 的 规定。5.4.2 使用的密码 产品与密 码模块应 通过国家 密码管理 部门 核准。5.4.3 私钥应加密 存储在私 钥数据库 或硬件内，并采取 物理 安全措施进 行保护。数据 5.5 5.5.1 应具备 持久 化存储账 本记录的 能力。5.5.2 应 对数据存 证过程的 实时 异常 监控、存证、记录，并 进行 提示。5.5.3 应对关键数 据 分类分 级加密存 储。应用 5.6 5.6.1 身份认证要 求包括但 不限于：系统应具备 用户注册、更改与 注销功能；系统认证信 息应以密 文存储和 传输；系统应具有 账户安全 警告、锁 定、找回 功能；系统用户信 息应与个 人真实身 份应具有 关联性。5.6.2 访问控制要 求包括但 不限于：系统应具有 对不同级 别的用户 授予不同 权限的功 能；系统应具有 根据需要 更改系统 内容的访 问等级与 用户 的访问权限 等级的功 能。5.6.3 隐私保护要 求包括但 不限于：用户的隐私 信息不应 以明文传 输、存储；获得隐私主 体的授权；为已被授权 的用户提 供隐私数 据的访问 权限；保护服务使 用者的隐 私，对敏 感数据的 存储应当 采用 加密、脱敏、隔离存 储等安全 措施。6 部署要求 应满足系统 运行对系 统配置的 最低要求。6.1 应基于对业 务增长的 预测，满 足系统存 储资源配 置的 要求。6.2 应满足 实际 业务 要求。6.3 7 应用要求 业务 流程 7.1 业务流程参 见 附录A。系统 用户 7.2 DB45/T 2762 2023 5 通过数字身 份认证形 式进行系统 用户身 份验证，校验 登记用户的 实名信息。系统 用 户包括但 不限于：广西壮族自 治区行政 区域内电 子数据存 证业务领 域和 信息安全领 域。数据获取 7.3 7.3.1 授权与告知 在进行数据 存证前，应告 知用户 相应的权 利与义务，取得用户授 权。授权与告 知内容 包括但不 限于以下内容：区块链存证 系统 的基 本情况，如平台运 营方信息、平 台简要信息 等；数据收集及 对外共享 情况，如 数据收集 的类型、内容，收集、使 用数据的 规则，包 括收集和使用的目的、收集方 式和频率、存储地 域和期限、对 外共享的有 关情况等；节点的数据 共享形式 和约束，如隐私政 策、区块 链加 密机制、数 据主权信 息等；用户授权确 认记录等。7.3.2 数据接收 表1规定了接 收用户待 存证的数 据请求应 包括的 相关 内容及对应 的要求。表1 接收用户待 存证的数 据请求的 相关内容 及要求 内容 要求 交易 业务 类型 信息 安全 领域、票 据业 务领 域等 业务ID 唯一 标识 数据 用户 待存 证的 原始 数据 JSON 格式 或者 普通 文件 格式，内 容可 自定 义 加密 类型 不加 密、授权 加密、虚 拟通 道等 授权 列表 加密 类型 为授 权加 密时 必填 用户 承诺 的原 始数 据所 有权 信息 根据 要求 填写 7.3.3 内容审核 应对接收的 数据进行 内容审核 并保存审 核数据，内容 审核包括但 不限于 以 下内容：格式合规性；内容合规性。数据预处理 7.4 7.4.1 将原始数据 处理成能 被 区块链 存证系统 接受的数 据，确保处理过 程能复现。7.4.2 数据预处理时，可验证原 始数据的完 整性，包括 实体 完整性、域完整 性、参照 完整性、用 户自定义完整性。生成区块 7.5 区块数据应 包含7.4.1 中规定的 数据预处 理流程 所产 生的结果数 据。数据上链 7.6 7.6.1 广播、验证 区块数据，达成共 识后更新 区块链。过程 应包括但不 限于 以下 内容：区块链节点 对接收到 的区块进 行验证；DB45/T 2762 2023 6 区块验证完 成后更新 区块链。7.6.2 返回 存证平 台上链存 证结果。其结果应 包括但不 限于 以下内容：交易响应标 识；提示信息，如“成功”；交易哈希；交易时间；交易发起方；共识方信息。数据查询 7.7 7.7.1 按照数据加 密类型，采取以下 相应的数 据解密方 式：不加密类型 数据不必 解密；授权加密类 型数据按 相应的解 密算法进 行解密；虚拟通道类 型的，虚 拟通道中 的群组成 员能查看 加密 的数据。7.7.2 以列表形式 返回的数 据存证结 果，应包 括但不限 于以 下内容：数据存证量，如总条 数；每条数据存 证结果基 础信息，如交易哈 希、业务 类型、业务 ID、存证用户、交易时 间、加密类型等。7.7.3 以明细形式 返回的数 据存证结 果，应包 括但不限 于以 下内容：业务类型；业务 ID；存证用户；交易时间；交易哈希；区块号；签名；公钥；交易内容。DB45/T 2762 2023 7 A A 附录A（资料性）业务 流程 图A.1 给出了 业务 流程。图A.1 业务流程图