ICSxx.xx

Lxx.xx

團(tuán)體標(biāo)準(zhǔn)

T/CIITAxxx-xxxx

區(qū)塊鏈關(guān)鍵服務(wù)安全技術(shù)要求

Blockchain－Criticalservice－Requirementsforsecurity

TechnicalSecurityRequirementsforBlockchainService

（征求意見稿）

本稿完成日期：2021-10-25

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中國信息產(chǎn)業(yè)商會(huì)發(fā)布

T/CASXXXXX

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)

定起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利,本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中國信息產(chǎn)業(yè)商會(huì)提出并歸口。

本文件起草單位：西安四葉草信息技術(shù)有限公司、深圳零時(shí)科技有限公司、西北大學(xué)、西安

靈動(dòng)計(jì)算機(jī)系統(tǒng)有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司、成都信息工程大學(xué)、中國信息

產(chǎn)業(yè)商會(huì)信息安全分會(huì)。

本文件主要起草人：孫騫、童小敏、鄧永凱、張躍、楊波、劉藝琨、張繼龍、晏梓桐、李

輝、張臻、李軍、翟瑞飛、馬坤、鄭瑋、趙培源、朱利軍、彭麗、姚昌林、肖龍、鄭慶霄。

本文件為2021年第一次發(fā)布。

V

T/CASXXXXX

區(qū)塊鏈關(guān)鍵服務(wù)安全技術(shù)要求

1范圍

區(qū)塊鏈產(chǎn)業(yè)發(fā)展迅速，由于區(qū)塊鏈服務(wù)，尤其是針對(duì)關(guān)鍵服務(wù)的安全管理和技術(shù)保障能力要求缺失，

增大了區(qū)塊鏈新應(yīng)用的安全風(fēng)險(xiǎn)。本文件針對(duì)智能合約、錢包、公鏈、分布式存儲(chǔ)等常見的區(qū)塊鏈關(guān)鍵

服務(wù)，提出其應(yīng)滿足的基本安全要求，各關(guān)鍵服務(wù)的增強(qiáng)性要求，以及驗(yàn)證測(cè)試要點(diǎn)，規(guī)范了區(qū)塊鏈關(guān)

鍵服務(wù)技術(shù)的安全保障，適用于區(qū)塊鏈應(yīng)用運(yùn)營者構(gòu)建安全的關(guān)鍵服務(wù)業(yè)務(wù)，也適用于對(duì)區(qū)塊鏈關(guān)鍵服

務(wù)的安全性評(píng)估。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本

文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求

DB61/T1283-2019區(qū)塊鏈安全測(cè)評(píng)指標(biāo)體系

3術(shù)語和定義

GB/T25069-2010中界定的以及下列術(shù)語和定義適用于本文件。

3.1

關(guān)鍵服務(wù)criticalservice

運(yùn)用區(qū)塊鏈技術(shù)或軟硬件等進(jìn)行的重要業(yè)務(wù)，對(duì)公共通信和信息服務(wù)、能源、交通、水利、金

融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的區(qū)塊鏈業(yè)務(wù)具有重要應(yīng)用價(jià)值，一旦遭到破壞、喪失功

能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵服務(wù)，主要包括智能合約、錢

包、公鏈、分布式文件存儲(chǔ)等區(qū)塊鏈服務(wù)。

3.2

區(qū)塊鏈服務(wù)blockchainService

一類基于開放的分布式賬本底層架構(gòu)，通過將區(qū)塊鏈底層計(jì)算資源、傳輸資源、存儲(chǔ)資源及上層

區(qū)塊鏈記賬能力、應(yīng)用開發(fā)能力和區(qū)塊鏈配套設(shè)施能力轉(zhuǎn)化為可編程接口，對(duì)外提供封裝化模塊化的

分布式存儲(chǔ)、密碼機(jī)制、點(diǎn)對(duì)點(diǎn)通信、共識(shí)機(jī)制、智能合約等區(qū)塊鏈核心技術(shù)能力，可支持基于區(qū)塊

鏈技術(shù)的網(wǎng)絡(luò)連接、系統(tǒng)建設(shè)管理、應(yīng)用開發(fā)、部署運(yùn)行的資源環(huán)境、運(yùn)維等能力，或?yàn)閰^(qū)塊鏈系統(tǒng)

提供性能、安全、管理等多方面增強(qiáng)能力的技術(shù)服務(wù)。

3.3

1

T/CASXXXXX

智能合約smartcontractr

是一種旨在以信息化方式傳播、驗(yàn)證或執(zhí)行合同的，以代碼形式寫入到計(jì)算機(jī)的一種協(xié)議，

其在區(qū)塊鏈上體現(xiàn)為可自動(dòng)執(zhí)行的計(jì)算機(jī)程序，當(dāng)達(dá)到參與雙方協(xié)定條件時(shí)，智能合約就會(huì)自動(dòng)

執(zhí)行。

3.4

錢包wallet

區(qū)塊鏈系統(tǒng)中用于存儲(chǔ)用戶私鑰的軟件或者硬件。

3.5

公鏈publicchain

指對(duì)全世界所有人都開放的區(qū)塊鏈，任何人都可以參與該區(qū)塊鏈的讀取以及參與其中的共識(shí)過

程。

3.6

分布式賬本distributedledger

在多個(gè)站點(diǎn)、不同地理位置或者多個(gè)機(jī)構(gòu)組成的網(wǎng)絡(luò)里實(shí)現(xiàn)共同治理及分享的資產(chǎn)數(shù)據(jù)庫。

3.7

共識(shí)算法consensusalgorithm

區(qū)塊鏈系統(tǒng)共識(shí)層的一種算法，可將鏈上多個(gè)節(jié)點(diǎn)達(dá)成一致。

3.8

基礎(chǔ)設(shè)施infrastructure

在區(qū)塊鏈服務(wù)生命周期的各個(gè)階段中，基礎(chǔ)設(shè)施可以提供安全可靠的運(yùn)行環(huán)境，如需要網(wǎng)絡(luò)與通

信設(shè)施提供安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境，需要加密算法與數(shù)據(jù)存儲(chǔ)環(huán)境保證數(shù)據(jù)的隱私性和完整性，需要可

靠的編程環(huán)境保證代碼的健壯性等。

4縮略語

下列縮略語適用于本文件。

P2P：點(diǎn)對(duì)點(diǎn)技術(shù)（Point-to-pointTechnology）

IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）

DDOS：分布式拒絕服務(wù)（DistributedDenialofService）

WAF：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)（WebApplicationFirewall）

EFS：加密文件系統(tǒng)（EncryptedFileSystem）

2

T/CASXXXXX

DAPP：去中心化應(yīng)用（DecentralizedApplication）

DNS：域名解析服務(wù)器（DomainNameResolution）

HTTPS：安全超文本傳輸協(xié)議（HyperTextTransferProtocoloverSecureSocketLayer）

SSL：安全套接字協(xié)議（SecureSocketsLayer）

5區(qū)塊鏈服務(wù)安全框架

本文件基于區(qū)塊鏈服務(wù)生命周期運(yùn)行過程，從基本安全要求、服務(wù)增強(qiáng)要求和服務(wù)安全性測(cè)評(píng)三個(gè)

方面，提出區(qū)塊鏈安全服務(wù)框架，見圖一。

a)基本安全方面，提出了區(qū)塊建立安全、基礎(chǔ)功能安全、網(wǎng)絡(luò)傳輸安全、數(shù)據(jù)安全、共識(shí)邏輯安

全、應(yīng)用協(xié)議安全、證書安全、終端鏈設(shè)備安全、瀏覽器安全和服務(wù)運(yùn)維安全等多種服務(wù)安全

要求，涵蓋了區(qū)塊鏈從上鏈到運(yùn)維整個(gè)生命周期中的主要安全要素。

b)服務(wù)增強(qiáng)方面，歸納了安全基礎(chǔ)設(shè)施、安全服務(wù)功能和安全運(yùn)行管理三大安全服務(wù)要求。

c)服務(wù)安全性測(cè)評(píng)方面，從基礎(chǔ)設(shè)施安全、協(xié)議與機(jī)制安全、數(shù)據(jù)安全和應(yīng)用安全四個(gè)維度，提

出了區(qū)塊鏈服務(wù)的安全性測(cè)評(píng)要求。

圖一區(qū)塊鏈服務(wù)技術(shù)安全框架

6區(qū)塊鏈服務(wù)基本安全要求

6.1區(qū)塊建立安全

a)使用時(shí)間戳保證所有節(jié)點(diǎn)時(shí)間的一致性；

b)使用真隨機(jī)數(shù)等國家標(biāo)準(zhǔn)隨機(jī)數(shù)生成方式，保證隨機(jī)數(shù)的安全性；

c)使用哈希算法保證區(qū)塊數(shù)據(jù)的完整性；

d)使用非對(duì)稱加密來保證數(shù)據(jù)傳輸過程中的安全性；

e)使用數(shù)字簽名來標(biāo)識(shí)數(shù)據(jù)收發(fā)雙方的真實(shí)身份。

6.2基礎(chǔ)功能安全

a)在查詢區(qū)塊鏈數(shù)據(jù)內(nèi)容時(shí)，采用身份驗(yàn)證、訪問控制等方式保障數(shù)據(jù)的安全性；

3

T/CASXXXXX

b)在利用區(qū)塊鏈進(jìn)行交易時(shí)，保證交易數(shù)據(jù)安全；

c)在區(qū)塊鏈?zhǔn)褂闷陂g，將全節(jié)點(diǎn)全過程進(jìn)行存證，保障信息的真實(shí)性和可靠性；

d)采用接口確保數(shù)據(jù)訪問和調(diào)用時(shí)的合法性。

6.3網(wǎng)絡(luò)傳輸安全

a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力達(dá)到規(guī)定的閾值；

b)網(wǎng)絡(luò)節(jié)點(diǎn)的監(jiān)控能力應(yīng)達(dá)到及時(shí)發(fā)現(xiàn)和抵抗網(wǎng)絡(luò)攻擊的要求

c)使用簽名機(jī)制等安全措施保證傳輸過程的數(shù)據(jù)完整性；

d)使用非對(duì)稱加密算法等安全措施保證數(shù)據(jù)只可以被授權(quán)接收者所獲取。

6.4數(shù)據(jù)安全保護(hù)

a)數(shù)據(jù)存儲(chǔ)、訪問、傳輸時(shí)，采用適當(dāng)?shù)募用芩惴?，通過設(shè)置相應(yīng)的端口數(shù)據(jù)，控制用戶的訪問

權(quán)限，并建立可靠的安全信道以及相應(yīng)的恢復(fù)控制措施；

b)應(yīng)當(dāng)采取訪問控制等必要措施，確保區(qū)塊鏈服務(wù)所收集的個(gè)人信息或重要數(shù)據(jù)的安全性，防止

數(shù)據(jù)泄露、被竊??；

b)區(qū)塊鏈的應(yīng)用終端上的數(shù)據(jù)在進(jìn)行存儲(chǔ)、訪問等相關(guān)過程時(shí)，對(duì)數(shù)據(jù)和過程進(jìn)行周期性的備份；

c)在數(shù)據(jù)備份時(shí)，采用可靠的備份介質(zhì)，并保存在安全環(huán)境；

d)在數(shù)據(jù)出現(xiàn)差錯(cuò)時(shí)，應(yīng)利用備份文件和日志能夠進(jìn)行數(shù)據(jù)的完整恢復(fù)。

6.5數(shù)據(jù)安全管理

a)制定數(shù)據(jù)安全合規(guī)審計(jì)的相關(guān)制度，加強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)防控。

b)對(duì)于數(shù)據(jù)使用進(jìn)行日常審計(jì)，確保其不被泄露。

c)應(yīng)具有數(shù)據(jù)安全監(jiān)管的功能模塊或系統(tǒng)接口，為行業(yè)主管監(jiān)管部門或其他職能部門進(jìn)行數(shù)據(jù)安

全監(jiān)管提供支持。

d)數(shù)據(jù)采集應(yīng)明確告知，并僅限于業(yè)務(wù)需求,避免采集過度采集，采集數(shù)據(jù)來源可追溯管理。

6.6共識(shí)邏輯安全

a)多方參與業(yè)務(wù)共識(shí)，避免信息數(shù)據(jù)在增加或修改的過程中出現(xiàn)差錯(cuò)；

b)設(shè)立審計(jì)機(jī)構(gòu)，用于查看區(qū)塊鏈運(yùn)行中的數(shù)據(jù)和活動(dòng)，避免信息泄露；

c)實(shí)現(xiàn)證書機(jī)制，在進(jìn)行身份驗(yàn)證后，通過第三方的確認(rèn)，保證用戶的合法性。

6.7應(yīng)用協(xié)議安全

a)區(qū)塊鏈應(yīng)用需通過安裝DDoS防火墻等方式，防止外界對(duì)區(qū)塊鏈發(fā)動(dòng)DDoS攻擊；

b)區(qū)塊鏈應(yīng)用需通過身份驗(yàn)證，防止有人盜取他人的賬戶信息；

c)在采用共識(shí)機(jī)制和智能合約時(shí)，需采用加密、安全審計(jì)等方式，避免安全漏洞的出現(xiàn)。

6.8證書安全

a)使用節(jié)點(diǎn)證書保障節(jié)點(diǎn)的安全性；

b)使用用戶證書，用于身份驗(yàn)證；

c)使用通信證書，保障區(qū)塊鏈的通信安全。

6.9終端鏈設(shè)備安全

a)具備身份識(shí)別的功能，防止非法登錄；

b)應(yīng)用程序在用戶對(duì)數(shù)據(jù)進(jìn)行增加、修改等操作時(shí)，能查驗(yàn)其合法性；

4

T/CASXXXXX

c)具備安全審計(jì)的功能，定期對(duì)數(shù)據(jù)、用戶進(jìn)行審查。

6.10瀏覽器安全

a)在瀏覽或查詢區(qū)塊鏈的信息過程中，瀏覽器為其提供的功能、模塊需保證安全性；

b)采用對(duì)外開放接口，進(jìn)行信息查詢、安全配置等，保障網(wǎng)頁的安全性。

6.11服務(wù)運(yùn)維安全

a)區(qū)塊鏈應(yīng)用應(yīng)該在安全的環(huán)境下進(jìn)行，使用加密算法，防止信息泄露；

b)在版本更新的過程中，為防止發(fā)生錯(cuò)誤，應(yīng)保留更行時(shí)的相關(guān)信息；

c)區(qū)塊鏈節(jié)點(diǎn)擴(kuò)展時(shí)，保障數(shù)據(jù)的同步更新，并要求新節(jié)點(diǎn)滿足區(qū)塊鏈標(biāo)準(zhǔn)。

7智能合約安全要求

7.1服務(wù)概述

智能合約運(yùn)行在開放的環(huán)境中，實(shí)現(xiàn)資產(chǎn)管理、多方游戲等各類去中心化應(yīng)用，需要對(duì)服務(wù)全生命

周期進(jìn)行安全管理，包含服務(wù)構(gòu)建、基礎(chǔ)設(shè)施、安全功能、管理運(yùn)行、服務(wù)提供與服務(wù)結(jié)束等階段，如

圖二所示。

圖二智能合約服務(wù)過程

7.2安全基礎(chǔ)設(shè)施

7.2.1虛擬機(jī)安全

虛擬機(jī)安全是智能合約安全的重要內(nèi)容，合約執(zhí)行功能的正確性、區(qū)塊鏈系統(tǒng)的安全性都與之密切

關(guān)聯(lián)。

具體安全要求：

a)能保證合約程序的終止性；

b)能夠安全處理異常調(diào)用；

5

T/CASXXXXX

c)不包含存在明顯安全隱患的特性；

d)不存在虛擬機(jī)逃逸漏洞；

e)不存在任意代碼執(zhí)行漏洞；

f)不存在DOS漏洞；

g)預(yù)編譯合約（內(nèi)建合約、系統(tǒng)合約）調(diào)用與執(zhí)行安全。

7.2.2區(qū)塊鏈節(jié)點(diǎn)安全

智能合約通過交易的形式在節(jié)點(diǎn)上部署和執(zhí)行，而節(jié)點(diǎn)則會(huì)開放接口供外部調(diào)用或查詢合約，節(jié)

點(diǎn)需做好最壞情況下的安全防護(hù)，確保主機(jī)安全。

具體要求：

a)區(qū)塊鏈系統(tǒng)（節(jié)點(diǎn)）需要做好安全防護(hù)，保障主機(jī)安全；

b)區(qū)塊鏈系統(tǒng)（節(jié)點(diǎn)）需要防止已部署合約代碼被任意篡改；

c)提供合約查詢和調(diào)用的節(jié)點(diǎn)需確保自身狀態(tài)正確；

d)防止合約部署或調(diào)用占用節(jié)點(diǎn)過多計(jì)算資源；

e)防止合約部署或調(diào)用引起節(jié)點(diǎn)崩潰；

f)能夠正常防范針對(duì)節(jié)點(diǎn)發(fā)起的其他形式的攻擊。

7.2.3合約編碼安全

a)智能合約代碼應(yīng)符合安全編碼規(guī)范要求，包含代碼書寫規(guī)范、邏輯要求等，應(yīng)使用廣泛應(yīng)用的

安全技術(shù)和工具進(jìn)行風(fēng)險(xiǎn)分析；

b）合約和函數(shù)應(yīng)模塊化，邏輯簡潔，不宜使用過時(shí)的語法，避免已知的邏輯漏洞和錯(cuò)誤，如轉(zhuǎn)賬

前余額未校驗(yàn)，未檢查返回值的調(diào)用等。

c)智能合約應(yīng)使用已經(jīng)廣泛應(yīng)用的合約語言，宜采用最新的穩(wěn)定版本。確保編程語言與編譯器的

一致性，合約源碼在編譯成字節(jié)碼之后應(yīng)保證前后邏輯一致性。

7.3安全服務(wù)功能

7.3.1形式化驗(yàn)證

智能合約的形式化驗(yàn)證應(yīng)包含合約制定、形式描述、建模驗(yàn)證、代碼生成和一致性測(cè)試等一系列過

程測(cè)試驗(yàn)證智能合約代碼的正確性。

a)應(yīng)按照需求約定形式規(guī)范來設(shè)計(jì)合約，編寫智能合約文本；

b)應(yīng)根據(jù)智能合約模型描述和性能描述要求，對(duì)文本進(jìn)行形式化描述；

c)應(yīng)選擇合適的建模語言和工具對(duì)形式化描述進(jìn)行建模和驗(yàn)證；

d)將驗(yàn)證模型生成符合形式化描述的標(biāo)準(zhǔn)化合約代碼；

e)生成代碼與標(biāo)準(zhǔn)合約文本進(jìn)行一致性測(cè)試。

7.3.2服務(wù)調(diào)用安全

接口調(diào)用安全

應(yīng)具備對(duì)智能合約的操作權(quán)限設(shè)置功能，避免越權(quán)操作，惡意調(diào)用導(dǎo)致的業(yè)務(wù)錯(cuò)誤。

合約間調(diào)用

a)合約間相互調(diào)用時(shí)，應(yīng)使用“檢查-生效-交互”模式；

b)與外部數(shù)據(jù)交互的智能合約要嚴(yán)格限制其影響范圍，不應(yīng)影響整體區(qū)塊鏈系統(tǒng)運(yùn)行。

6

T/CASXXXXX

預(yù)言機(jī)調(diào)用

a)接口入?yún)?yīng)明確參數(shù)類型、數(shù)量及輸入信息，接口返回?cái)?shù)據(jù)應(yīng)明確數(shù)據(jù)類型、數(shù)量及輸出信息；

b)接口描述文件應(yīng)為預(yù)言機(jī)提供的結(jié)構(gòu)化描述語言，接口協(xié)議應(yīng)包含安全傳輸協(xié)議。

7.3.3合約版本安全

a)智能合約的每次修改應(yīng)為獨(dú)立版本，并在源代碼中通過區(qū)塊鏈平臺(tái)指定方式定義版本號(hào)；

b)若在配置文件中定義版本號(hào)，該配置文件需要與智能合約代碼一同部署。

7.3.4合約升級(jí)安全

a)智能合約的升級(jí)操作應(yīng)由客戶端發(fā)起，以接口調(diào)用方式在區(qū)塊鏈中提交，達(dá)成共識(shí)生效；

b)合約升級(jí)后區(qū)塊鏈中應(yīng)保留前一版本，區(qū)塊中記錄的交易信息中應(yīng)明確交易調(diào)用的合約版本。

7.3.5安全審計(jì)

智能合約的安全審計(jì)和評(píng)估對(duì)象應(yīng)包括智能合約設(shè)計(jì)與業(yè)務(wù)邏輯安全、源代碼安全審計(jì)、編譯環(huán)境

審計(jì)及相關(guān)的應(yīng)急響應(yīng)措施等；

a)應(yīng)對(duì)智能合約的業(yè)務(wù)邏輯、業(yè)務(wù)流程進(jìn)行安全性測(cè)試和評(píng)估；

b)應(yīng)利用審計(jì)工具和人工審閱相結(jié)合的方式對(duì)代碼漏洞進(jìn)行逐項(xiàng)分析檢查；

c)應(yīng)通過人工觀察智能合約編譯器的名稱和版本，識(shí)別有漏洞的版本；

d)應(yīng)具備應(yīng)急響應(yīng)措施，發(fā)現(xiàn)漏洞后及時(shí)檢查和修復(fù)合約源代碼。

7.4安全運(yùn)行管理

7.4.1合約部署安全

a)應(yīng)具備相應(yīng)機(jī)制控制智能合約的部署行為，防止惡意部署智能合約；

b)應(yīng)提供運(yùn)行載體，保證智能合約運(yùn)行環(huán)境與外隔離,調(diào)用智能合約不能修改區(qū)塊鏈系統(tǒng)。

7.4.2合約實(shí)例化安全

a)應(yīng)校驗(yàn)智能合約的實(shí)例化實(shí)體、通道寫入策略和簽名；

b)將合約狀態(tài)作為合約賬戶的屬性、合約內(nèi)容的哈希值保存在區(qū)塊鏈網(wǎng)絡(luò)；

c)在運(yùn)行智能合約前,應(yīng)檢查該智能合約和鏈上智能合約的哈希值的一致性。

7.4.3合約執(zhí)行安全

a)合約在智能合約運(yùn)行時(shí)環(huán)境中的執(zhí)行結(jié)果應(yīng)具備事務(wù)一致性；

b)當(dāng)智能合約出現(xiàn)錯(cuò)誤時(shí),宜提供智能合約掛起或重啟恢復(fù)功能。

7.4.4合約廢止安全

a)調(diào)用智能合約廢止時(shí)，應(yīng)進(jìn)行權(quán)限訪問控制；

b)智能合約廢止后，應(yīng)在區(qū)塊鏈網(wǎng)絡(luò)中保存被終止版本的智能合約代碼；

在管理智能合約運(yùn)行過程中，增強(qiáng)防護(hù)要求能有效保障合約免受惡意攻擊。

7.4.5合約攻擊防范

a)應(yīng)有相應(yīng)機(jī)制保證系統(tǒng)能對(duì)抗由智能合約引起的DDoS攻擊，防止其長時(shí)間占用資源；

b)應(yīng)有相應(yīng)機(jī)制保障在系統(tǒng)遭受DDoS攻擊、服務(wù)受到影響時(shí)，智能合約的運(yùn)行可被干預(yù)；

c)應(yīng)有相應(yīng)機(jī)制防止隔離執(zhí)行環(huán)境中的智能合約訪問其執(zhí)行環(huán)境之外的資源。

7

T/CASXXXXX

7.4.6合約安全檢測(cè)

a)應(yīng)基于智能合約安全規(guī)則庫和問題合約模式庫實(shí)現(xiàn)智能合約的漏洞檢測(cè)；

b)應(yīng)提供合約安全監(jiān)測(cè)等手段，確?？杉皶r(shí)發(fā)現(xiàn)和處置出現(xiàn)的問題，降低安全風(fēng)險(xiǎn)；

c)在受到惡意攻擊的時(shí)候，應(yīng)對(duì)其所有支配資源進(jìn)行有效限制防止被惡意調(diào)用。

8錢包安全要求

8.1服務(wù)概述

錢包服務(wù)安全包含錢包基礎(chǔ)服務(wù)設(shè)施安全，錢包功能安全，錢包節(jié)點(diǎn)安全，傳輸安全，存儲(chǔ)安全，

加密算法安全，錢包測(cè)試與加固等內(nèi)容，如圖三所示。

圖三錢包服務(wù)安全技術(shù)模型

8.2安全基礎(chǔ)設(shè)施

8.2.1網(wǎng)絡(luò)傳輸安全

a)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力達(dá)到規(guī)定的閾值；

b)網(wǎng)絡(luò)節(jié)點(diǎn)應(yīng)能應(yīng)達(dá)到及時(shí)發(fā)現(xiàn)和抵抗網(wǎng)絡(luò)攻擊的功能；

a)錢包應(yīng)對(duì)證書進(jìn)行校驗(yàn)，防止黑客通過替換證書來實(shí)施中間人攻擊；

b)軟件錢包應(yīng)能檢測(cè)是否使用代理，防止黑客通過設(shè)置代理劫持錢包網(wǎng)絡(luò)通信；

c)軟件錢包應(yīng)能檢測(cè)DNS是否被劫持，防止黑客通過劫持DNS來劫持網(wǎng)絡(luò)通信；

d)錢包通信信道應(yīng)采用SSL安全協(xié)議，使用HTTPS加密通信；

e)軟件錢包應(yīng)按照實(shí)際情況對(duì)數(shù)據(jù)包請(qǐng)求和響應(yīng)數(shù)據(jù)包的內(nèi)容進(jìn)行加密，防止黑客截取到請(qǐng)求和

響應(yīng)數(shù)據(jù)包后獲得敏感信息。

8.2.2錢包存儲(chǔ)安全

a)錢包生成的私鑰必須通過加密算法加密后才能進(jìn)行存儲(chǔ)，防止明文私鑰信息被竊??；

b)錢包的本地靜態(tài)文件不得含有明文的敏感信息，如：用戶個(gè)人信息，數(shù)據(jù)加解密密鑰，用戶持

有的數(shù)字貨幣數(shù)量等。

8.2.3設(shè)備物理安全

8

T/CASXXXXX

a)應(yīng)保證基礎(chǔ)設(shè)施所在物理環(huán)境的安全，避免基礎(chǔ)設(shè)施服務(wù)器遭受物理損壞；

b)應(yīng)保證基礎(chǔ)設(shè)施線路的安全，避免線路上電磁泄漏導(dǎo)致信息泄漏或者被截獲；

c)應(yīng)保證基礎(chǔ)設(shè)施存儲(chǔ)媒介的安全，應(yīng)對(duì)存儲(chǔ)媒介上的數(shù)據(jù)進(jìn)行加密，當(dāng)存儲(chǔ)媒介報(bào)廢或重用時(shí)

應(yīng)完整清除所有數(shù)據(jù)。

8.2.4運(yùn)行環(huán)境安全

a)基礎(chǔ)設(shè)施應(yīng)具備入侵檢測(cè)能力和入侵防護(hù)能力，能夠檢測(cè)并防護(hù)針對(duì)基礎(chǔ)設(shè)施進(jìn)行的網(wǎng)絡(luò)攻擊

行為；

b)基礎(chǔ)設(shè)施應(yīng)具備檢測(cè)、發(fā)現(xiàn)和查殺惡意代碼的能力；

c)應(yīng)對(duì)基礎(chǔ)設(shè)施進(jìn)行漏洞和風(fēng)險(xiǎn)管理，及時(shí)發(fā)現(xiàn)和處置存在的漏洞和風(fēng)險(xiǎn)。

8.2.5加密算法安全

a)加密算法應(yīng)使用國際主流的算法和我國商密算法，例如RSA,AES256,SM2,SM4,SM7等；

b)應(yīng)具有明確的密鑰管理方案，確保錢包底層安全機(jī)制正常運(yùn)行；

c)加密算法應(yīng)能安全的生成隨機(jī)數(shù)；

d)加密算法應(yīng)具備抵抗破解的能力，定期審核加密算法的安全性。

8.3安全服務(wù)功能

8.3.1錢包認(rèn)證安全

a)錢包認(rèn)證過程中必須設(shè)置錢包解鎖密碼用于解鎖錢包，錢包交易密碼用于發(fā)起交易，錢包日志

密碼用于瀏覽錢包日志；

b)用戶使用錢包必須設(shè)置解鎖密碼，用戶必須設(shè)置解鎖密碼才能夠使用錢包，防止設(shè)備丟失后錢

包信息被竊??；

c)用戶使用錢包進(jìn)行交易簽名必須設(shè)置支付密碼，用戶需設(shè)置支付密碼，防止解鎖后解密的私鑰

被竊??；

d)用戶使用錢包日志功能必須設(shè)置日志密碼，防止錢包密碼丟失后攻擊者直接清除錢包操作日

志；

e)密碼的強(qiáng)度必須達(dá)到要求，用戶設(shè)置的密碼強(qiáng)度必須達(dá)到要求，防止弱密碼被暴力破解；

f)交易密碼需使用多因素認(rèn)證，用戶設(shè)置的交易密碼需使用多因素認(rèn)證，例如：指紋、面部識(shí)別、

OTP令牌、短信驗(yàn)證碼等，防止密碼泄露導(dǎo)致私鑰丟失；

g)錢包程序退出后必須重新解鎖，防止未授權(quán)用戶使用錢包；

h)認(rèn)證機(jī)制必須有防止暴力破解的措施，即設(shè)置驗(yàn)證失敗重試次數(shù)，超過驗(yàn)證次數(shù)則停用一段時(shí)

間并記錄相關(guān)日志。

8.3.2錢包生成安全

a)助記詞必須通過隨機(jī)的方法生成，生成的助記詞為12個(gè)及以上，防止助記詞數(shù)量過少被黑客

采用暴力破解的方式進(jìn)行攻擊；

b)助記詞展示界面不允許進(jìn)行截圖操作，防止惡意程序進(jìn)行截圖獲取助記詞；

c)私鑰生成完成后需立即清除內(nèi)存中的數(shù)據(jù)；防止惡意程序通過讀取內(nèi)存中數(shù)據(jù)盜取私鑰；

d)生成私鑰后需讓用戶重新輸入助記詞，驗(yàn)證是否記錄正確，防止助記詞遺忘導(dǎo)致錢包私鑰丟失。

8.3.3錢包交易安全

a)錢包發(fā)出的所有交易必須進(jìn)行簽名，確保發(fā)出交易的不可被抵賴；

9

T/CASXXXXX

b)進(jìn)行交易簽名時(shí)必須通過輸入支付密碼解密私鑰；

c)交易簽名必須離線生成，簽名過程不接觸網(wǎng)絡(luò)；

d)交易簽名生成后必須清除內(nèi)存中解密后的私鑰，防止內(nèi)存中的私鑰被竊取而泄漏；

e)進(jìn)行交易時(shí)，能夠檢測(cè)生成的交易數(shù)據(jù)是否被篡改，防止黑客通過篡改交易數(shù)據(jù)進(jìn)行攻擊。

8.3.4錢包數(shù)據(jù)安全

a)錢包使用的數(shù)據(jù)庫必須經(jīng)過加密處理，防止惡意用戶讀取數(shù)據(jù)庫中的敏感信息；

b)用戶刪除數(shù)據(jù)時(shí)，應(yīng)同時(shí)刪除備份的數(shù)據(jù)并對(duì)刪除后的數(shù)據(jù)進(jìn)行覆蓋處理，防止刪除后的數(shù)據(jù)

被恢復(fù)。

8.3.5錢包日志安全

a)錢包需記錄錢包的操作日志，方便用戶進(jìn)行審計(jì)錢包操作行為，防止異常操作和未授權(quán)的操作；

b)日志必須保存一定的時(shí)間，當(dāng)存儲(chǔ)已滿或者超過相對(duì)應(yīng)的時(shí)間后需提示用戶進(jìn)行相關(guān)操作，例

如清除部分日志等；

c)錢包日志必須通過脫敏處理，不得含有機(jī)密信息。

8.3.6錢包運(yùn)行環(huán)境安全

a)錢包能夠?qū)Σ僮飨到y(tǒng)進(jìn)行已知重大漏洞進(jìn)行檢測(cè)，使得錢包能運(yùn)行在安全的操作系統(tǒng)上；

b)錢包能檢測(cè)系統(tǒng)是否為虛擬機(jī)，手機(jī)端需有root檢測(cè)功能；

c)錢包需具有第三方程序劫持檢測(cè)功能，防止第三方程序劫持錢包盜取相關(guān)用戶信息；

d)錢包能檢測(cè)針對(duì)軟件錢包進(jìn)行的攻擊，防止惡意軟件攻擊錢包，竊取用戶信息；

e)錢包能進(jìn)行自檢完整完整性校驗(yàn)，保證軟件的完整性。

8.3.7錢包接口安全

a)錢包節(jié)點(diǎn)應(yīng)能對(duì)連接用戶進(jìn)行用戶身份認(rèn)證，防止未授權(quán)操作；

b)接口需要對(duì)數(shù)據(jù)進(jìn)行簽名，防止黑客對(duì)數(shù)據(jù)被篡改；

c)接口訪問需要添加token認(rèn)證機(jī)制，防止黑客進(jìn)行重放攻擊；

d)節(jié)點(diǎn)接口需要對(duì)用戶連接速率進(jìn)行限制，防止黑客模擬用戶操作進(jìn)行CC攻擊。

8.3.8錢包審計(jì)安全

a)錢包節(jié)點(diǎn)應(yīng)能記錄用戶的連接記錄；

b)錢包節(jié)點(diǎn)應(yīng)能記錄用戶的交易記錄；

c)能夠?qū)?jié)點(diǎn)發(fā)生的所有事件進(jìn)行審計(jì)，包括操作記錄和日志等。

d)應(yīng)能夠保存審計(jì)記錄的過程和結(jié)果，便于管理員進(jìn)行查詢

e)節(jié)點(diǎn)應(yīng)能定時(shí)清除審計(jì)記錄防止泄密。

8.4安全運(yùn)行管理

8.4.1錢包測(cè)試與加固

a)錢包必須經(jīng)過源代碼安全測(cè)試，防止源代碼中的錯(cuò)誤寫法導(dǎo)致錢包出現(xiàn)安全漏洞；

b)錢包必須經(jīng)過滲透測(cè)試，測(cè)試錢包接口，錢包軟件本身，錢包節(jié)點(diǎn)等；

c)錢包引用的第三方庫必須經(jīng)過安全審計(jì)，防止第三方庫的漏洞影響錢包自身的安全性；

d)錢包應(yīng)進(jìn)行代碼加固，防止黑客利用反編譯得到源代碼從而得到本地加密算法。

10

T/CASXXXXX

8.4.2安全文檔

a)錢包必須包含使用說明及幫助文件，解釋和說明軟件錢包的功能和使用方法；

b)錢包必須包含安全建議，指導(dǎo)用戶安全的使用錢包；

c)開發(fā)者應(yīng)對(duì)不同版本的程序應(yīng)提供唯一的版本號(hào)；

d)文檔應(yīng)與軟件一一對(duì)應(yīng)，軟件更新時(shí)，文檔版本號(hào)應(yīng)與程序版本號(hào)同時(shí)更新。

8.4.3節(jié)點(diǎn)風(fēng)控安全

錢包節(jié)點(diǎn)應(yīng)能對(duì)惡意交易進(jìn)行識(shí)別和阻斷，防止黑客盜用用戶錢包進(jìn)行交易。

8.4.4備份與恢復(fù)

a)錢包需對(duì)數(shù)據(jù)進(jìn)行定期備份，防止數(shù)據(jù)破壞導(dǎo)致用戶數(shù)據(jù)丟失；

b)錢包備份的數(shù)據(jù)需要經(jīng)過加密存儲(chǔ)，防止備份數(shù)據(jù)被竊取造成用戶數(shù)據(jù)泄漏。

9公鏈安全要求

9.1服務(wù)概述

公鏈運(yùn)行在區(qū)塊鏈最底層，需要對(duì)其環(huán)境進(jìn)行安全管理，包括基礎(chǔ)設(shè)施安全、服務(wù)功能安全和運(yùn)行

管理安全，如圖四所示。

圖四公鏈安全要求模型

9.2安全基礎(chǔ)設(shè)施

9.2.1網(wǎng)絡(luò)安全

a)應(yīng)根據(jù)公有鏈具體的運(yùn)行環(huán)境，相應(yīng)的對(duì)節(jié)點(diǎn)進(jìn)行加密防護(hù)；

b)應(yīng)使用鏈路加密保護(hù)節(jié)點(diǎn)之間鏈路信息安全；

c)應(yīng)使用節(jié)點(diǎn)加密保護(hù)節(jié)點(diǎn)之間的傳輸鏈路安全；

d)應(yīng)使用端點(diǎn)加密保護(hù)端點(diǎn)之間的數(shù)據(jù)安全；

e)通過P2P技術(shù)來實(shí)現(xiàn)分布式網(wǎng)絡(luò)機(jī)制，各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間互不影響或影響很小；

11

T/CASXXXXX

9.2.2代碼安全

a)根據(jù)現(xiàn)有開發(fā)環(huán)境，選擇合適的代碼進(jìn)行編寫；

b)可選擇沿用主流的公鏈編程語言，并進(jìn)行統(tǒng)一規(guī)范地改進(jìn)；

c)可選擇其他編程語言為基礎(chǔ)，加以其他公鏈編程模塊，遵循相關(guān)編程規(guī)范。

9.2.3計(jì)算安全

a)采用專業(yè)的硬件設(shè)施，保證公有鏈的正常運(yùn)行；

b)應(yīng)有完好的硬件機(jī)器，保證硬件環(huán)境的安全性；

c)處理重要隱秘信息，所使用硬件應(yīng)具有應(yīng)對(duì)物理側(cè)信道攻擊的能力，防止被竊取重要信息。

9.2.4存儲(chǔ)安全

a)數(shù)據(jù)應(yīng)存儲(chǔ)在環(huán)境安全性較高的數(shù)據(jù)庫中，可使用基于內(nèi)存加物理存儲(chǔ)的架構(gòu)以及key-value

的存儲(chǔ)引擎；

b)要保證數(shù)據(jù)存儲(chǔ)空間的存儲(chǔ)能力，防止數(shù)據(jù)量過大耗盡存儲(chǔ)空間而導(dǎo)致數(shù)據(jù)的丟失；

c)數(shù)據(jù)存儲(chǔ)應(yīng)一次只允許一個(gè)進(jìn)程訪問數(shù)據(jù)庫，防止多個(gè)結(jié)點(diǎn)讀寫數(shù)據(jù)時(shí)出現(xiàn)錯(cuò)誤的數(shù)據(jù)；

d)應(yīng)有審計(jì)追蹤機(jī)制，對(duì)數(shù)據(jù)的更新修改等要有日志記錄以便查證，確保系統(tǒng)安全。

9.2.5算法安全

a)加密算法應(yīng)使用當(dāng)前主流的加密算法保證算法的有效性及安全性；

b)應(yīng)根據(jù)公有鏈的使用需求環(huán)境來選擇不同強(qiáng)度不同類型的加密算法；

c)加密算法應(yīng)符合國家標(biāo)準(zhǔn)來生成隨機(jī)數(shù)，保證隨機(jī)性與不可預(yù)測(cè)性。

9.3安全服務(wù)功能

9.3.1身份認(rèn)證

a)應(yīng)使用數(shù)字簽名算法來檢驗(yàn)數(shù)據(jù)，保證數(shù)據(jù)的完整性、發(fā)送者身份的真實(shí)性，防止交易中的抵

賴現(xiàn)象；

b)在數(shù)據(jù)傳輸之前，應(yīng)使用加密算法來對(duì)重要隱私信息進(jìn)行保護(hù)。

9.3.2共識(shí)機(jī)制安全

a)容錯(cuò)性

共識(shí)機(jī)制應(yīng)考慮故障錯(cuò)誤，可以容忍小于50%的故障結(jié)點(diǎn)錯(cuò)誤，系統(tǒng)可以正常運(yùn)行；

共識(shí)機(jī)制應(yīng)考慮惡意結(jié)點(diǎn)產(chǎn)生的錯(cuò)誤，包括發(fā)生物理設(shè)備以及網(wǎng)絡(luò)設(shè)施的錯(cuò)誤，一些主流算法可以

容忍小部分拜占庭錯(cuò)誤。

b)一致性

共識(shí)機(jī)制可以按需求實(shí)現(xiàn)不同程度的一致性，包括強(qiáng)一致性和弱一致性；所有共識(shí)節(jié)點(diǎn)都應(yīng)按照一

定的順序來進(jìn)行且不可更改，保證共識(shí)的一致性。

c)合法性

所有用戶進(jìn)行的交易都能被正確的結(jié)點(diǎn)確認(rèn)，且所有用戶都能讀取公鏈中正確的數(shù)據(jù)。

d)應(yīng)具有一定的抗攻擊能力，在共識(shí)過程中發(fā)生異常，應(yīng)能夠在異常恢復(fù)后能保證數(shù)據(jù)的安全恢

復(fù)，可以及時(shí)正常地參與共識(shí)過程。

9.3.3獎(jiǎng)勵(lì)機(jī)制

整個(gè)公鏈需有一個(gè)明確的獎(jiǎng)勵(lì)制度，需要有嚴(yán)格的審計(jì)查賬規(guī)則。

12

T/CASXXXXX

9.3.4個(gè)人隱私安全

a)應(yīng)對(duì)存儲(chǔ)個(gè)人信息以及網(wǎng)絡(luò)密鑰的服務(wù)器采取安全防護(hù)措施，防止服務(wù)器異常時(shí)泄露個(gè)人信息；

b)應(yīng)對(duì)用戶的隱私和個(gè)人數(shù)據(jù)進(jìn)行加密保護(hù)，確保用戶的信息安全，使用對(duì)稱加密算法防止數(shù)據(jù)

泄露，如可以使用數(shù)字簽名、哈希等加密算法防止數(shù)據(jù)被篡改。

9.4安全運(yùn)行管理

9.4.1運(yùn)行監(jiān)測(cè)

a）定期對(duì)共識(shí)機(jī)制的安全性進(jìn)行監(jiān)測(cè)，對(duì)所有參與共識(shí)過程的節(jié)點(diǎn)信息進(jìn)行審計(jì)，保證共識(shí)機(jī)制

能正常的運(yùn)行。

9.4.2備份與恢復(fù)

a)對(duì)一些重要數(shù)據(jù)定期進(jìn)行備份，以防止數(shù)據(jù)丟失無法恢復(fù)；

b)對(duì)所備份的數(shù)據(jù)也要進(jìn)行加密保護(hù)，防止重要信息泄露。

9.4.3安全審計(jì)

a）應(yīng)在節(jié)點(diǎn)相互傳輸之間采用審計(jì)追蹤機(jī)制，建立完善的日志記錄，包含網(wǎng)絡(luò)傳輸中的各種詳細(xì)

的信息，防止網(wǎng)絡(luò)在受到攻擊后無法恢復(fù)原狀態(tài)。

10分布式文件存儲(chǔ)安全要求

10.1服務(wù)概述

分布式文件存儲(chǔ)安全從服務(wù)的生命周期出發(fā)進(jìn)行安全管理，包括基礎(chǔ)設(shè)施安全、服務(wù)構(gòu)建安全、服

務(wù)提供安全、服務(wù)運(yùn)行安全等要素，如圖五所示。

圖五分布式文件存儲(chǔ)安全要求模型

10.2安全基礎(chǔ)設(shè)施

10.2.1操作系統(tǒng)安全

a)操作系統(tǒng)在運(yùn)行過程中需要考慮防止黑客利用利用漏洞來提權(quán)，應(yīng)具備強(qiáng)制訪問控制機(jī)制，實(shí)

現(xiàn)對(duì)系統(tǒng)資源的最小化訪問控制。

13

T/CASXXXXX

b)應(yīng)能夠根據(jù)業(yè)務(wù)架構(gòu)進(jìn)行進(jìn)程的分拆，只對(duì)關(guān)鍵核心進(jìn)程保留高權(quán)限，其他無需高權(quán)限的進(jìn)程

僅保留滿足業(yè)務(wù)需求的最低權(quán)限。

10.2.2芯片安全

a)應(yīng)保證系統(tǒng)本身安全可信，能夠抵御側(cè)信道攻擊、故障注入攻擊和芯片級(jí)的后門與硬件木馬。

b）具備基于芯片的安全技術(shù)，自下而上的保障如固件、操作系統(tǒng)、軟件等系統(tǒng)其它部分的安全。

10.2.3網(wǎng)絡(luò)安全

網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)需受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、

更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全必須的基礎(chǔ)設(shè)施包括：防火墻、IPS、抗DDOS、堡壘機(jī)、WAF網(wǎng)絡(luò)防火墻和網(wǎng)閘。

10.2.4可信執(zhí)行環(huán)境

可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）可以為關(guān)鍵業(yè)務(wù)提供一個(gè)可信賴的安全執(zhí)行環(huán)

境，并且保護(hù)相關(guān)關(guān)鍵數(shù)據(jù)的機(jī)密性和完整性?？尚艌?zhí)行環(huán)境的本質(zhì)是隔離，典型的可信執(zhí)行環(huán)境包括

TrustZone、SGX等?？尚鸥綦x的方式包括處理器級(jí)隔離、特權(quán)模式隔離、軟隔離，前兩種方式依賴芯

片提供特定支持，后者則是較容易在輕量級(jí)設(shè)備上部署?？筛鶕?jù)不同場(chǎng)景的需要酌情選擇。

10.3安全服務(wù)功能

10.3.1可信啟動(dòng)

安全的數(shù)據(jù)服務(wù)系統(tǒng)基于硬件可信根，構(gòu)建信任鏈，對(duì)系統(tǒng)進(jìn)行完整性的度量，保證系統(tǒng)不被篡改。

啟動(dòng)過程為鏈?zhǔn)疥P(guān)系，逐級(jí)進(jìn)行簽名校驗(yàn)，任何一級(jí)校驗(yàn)不過就視為啟動(dòng)出錯(cuò)。啟動(dòng)鏈完整性可以延伸

到系統(tǒng)啟動(dòng)后的一些關(guān)鍵高權(quán)限應(yīng)用，確保系統(tǒng)運(yùn)行時(shí)具備基礎(chǔ)的安全環(huán)境。

10.3.2認(rèn)證和訪問控制

認(rèn)證和訪問控制是通用的安全技術(shù)。任何對(duì)數(shù)據(jù)的相關(guān)操作或者對(duì)訪問數(shù)據(jù)的軟硬件操作請(qǐng)求都必

須經(jīng)過認(rèn)證，以確定其身份的合法性，進(jìn)而通過訪問控制來確定數(shù)據(jù)訪問者有足夠的權(quán)限。對(duì)于不同的

訪問控制系統(tǒng)，對(duì)數(shù)據(jù)訪問者的身份的關(guān)注點(diǎn)可能也不同。比如根據(jù)不同的訪問控制策略，訪問控制系

統(tǒng)可能需要判別對(duì)數(shù)據(jù)的請(qǐng)求是否來自一個(gè)合法的用戶，是否來自一個(gè)合法的設(shè)備，或者來自合法的應(yīng)

用。相應(yīng)的，一個(gè)認(rèn)證體系可能需要對(duì)自然人，對(duì)設(shè)備，或者對(duì)應(yīng)用進(jìn)行認(rèn)證。當(dāng)前對(duì)用戶的認(rèn)證過程

中除了傳統(tǒng)的密碼之外，往往還需要考慮基于生物特征或者硬件OTP（OneTimePassword）的方案來

增加認(rèn)證結(jié)果可信性，以應(yīng)對(duì)目前越來越猖獗的基于社會(huì)工程學(xué)和盜取憑據(jù)的攻擊手段。針對(duì)用戶對(duì)數(shù)

據(jù)安全訪問服務(wù)的多樣性，結(jié)合數(shù)據(jù)生命周期訪問需求和特點(diǎn)，可以采用基于角色訪問控制或者基于屬

性訪問控制等方案來實(shí)現(xiàn)數(shù)據(jù)有效的管控。

10.3.3隱私保護(hù)

通過隱私保護(hù)算法、有隱私計(jì)算、安全計(jì)算、零知識(shí)證明、可信執(zhí)行環(huán)境、門限簽名等技術(shù)來保證區(qū)

塊鏈隱私安全，保留數(shù)據(jù)原始特征的同時(shí)，防止數(shù)據(jù)的處理方或接收方因意外或有意的竊取敏感數(shù)據(jù)，

同時(shí)又可以保證相關(guān)的業(yè)務(wù)處理不受影響。

10.4服務(wù)構(gòu)建

10.4.1分布式存儲(chǔ)服務(wù)必須具有的安全環(huán)節(jié)

14

T/CASXXXXX

分布式存儲(chǔ)服務(wù)構(gòu)建圍繞著數(shù)據(jù)生命周期（傳輸、存儲(chǔ)、處理、交換和銷毀），會(huì)面臨不同層面的

安全風(fēng)險(xiǎn)。因此在服務(wù)構(gòu)建過程中，需充分考慮各個(gè)層面的風(fēng)險(xiǎn)預(yù)防。

各層面的安全技術(shù)保障包括：

數(shù)據(jù)傳輸：身份認(rèn)證、傳輸通道加密、敏感數(shù)據(jù)加密、密鑰管理等；

數(shù)據(jù)存儲(chǔ)：軟硬件數(shù)據(jù)加密、數(shù)據(jù)隔離存儲(chǔ)、完整性保護(hù)/WORM、數(shù)據(jù)度量、數(shù)據(jù)容災(zāi)備份等；

數(shù)據(jù)處理：訪問控制、用戶間隔離、防側(cè)信道攻擊、REE/TES/SEE硬件隔離機(jī)制、日志審計(jì)等；

數(shù)據(jù)交換：數(shù)據(jù)脫敏/水印等；

數(shù)據(jù)銷毀：安全擦除等；

數(shù)據(jù)管理：數(shù)據(jù)可視化管理，數(shù)據(jù)安全策略管理等。

10.4.2分布式存儲(chǔ)服務(wù)安全防護(hù)的關(guān)鍵技術(shù)

設(shè)備系統(tǒng)安全

防止攻擊者利用設(shè)備軟硬件的安全漏洞發(fā)起對(duì)數(shù)據(jù)的攻擊。數(shù)據(jù)越敏感，對(duì)承載其存儲(chǔ)和使用的設(shè)

備的系統(tǒng)安全性要求越高。

密碼學(xué)及隱私保護(hù)算法

在數(shù)據(jù)脫離系統(tǒng)安全機(jī)制保護(hù)的情況下，對(duì)數(shù)據(jù)安全和隱私提供保護(hù)。

認(rèn)證和訪問控制

根據(jù)數(shù)據(jù)等級(jí)以及相關(guān)業(yè)務(wù)的配套安全策略，對(duì)訪問者的身份和權(quán)限進(jìn)行管控。

數(shù)據(jù)安全管理

根據(jù)數(shù)據(jù)面臨的風(fēng)險(xiǎn)，配置策略，構(gòu)建對(duì)攻擊快速感知和響應(yīng)以及事后審計(jì)能力。

10.5安全審計(jì)

服務(wù)構(gòu)建過程中需有以下安全審計(jì)措施：

a)數(shù)據(jù)傳輸階段

數(shù)據(jù)傳輸?shù)陌踩珜徲?jì)需要重點(diǎn)關(guān)注傳輸安全策略的執(zhí)行情況，對(duì)發(fā)送方和接收方的設(shè)備、接口、通

訊協(xié)議以及加密方法等信息進(jìn)行記錄，及時(shí)發(fā)現(xiàn)傳輸過程中可能引發(fā)的敏感數(shù)據(jù)泄露事件，通過數(shù)據(jù)傳

輸雙方的日志信息可以發(fā)現(xiàn)異常傳輸?shù)男袨椤?/p>

b)數(shù)據(jù)存儲(chǔ)階段

數(shù)據(jù)存儲(chǔ)階段的安全審計(jì)主要是對(duì)數(shù)據(jù)存儲(chǔ)和讀取的動(dòng)作以及備份的行為進(jìn)行審計(jì)。通過對(duì)數(shù)據(jù)操

作主體、時(shí)間、操作類型的分析，發(fā)現(xiàn)數(shù)據(jù)訪問者的可能異常行為并確保數(shù)據(jù)配套的存儲(chǔ)安全策略得到

正確的執(zhí)行。

c)數(shù)據(jù)處理階段

數(shù)據(jù)處理階段的安全審計(jì)是對(duì)數(shù)據(jù)處理各個(gè)業(yè)務(wù)接口的操作記錄進(jìn)行審計(jì)，可以幫助發(fā)現(xiàn)數(shù)據(jù)處理

當(dāng)中的風(fēng)險(xiǎn)。另外，數(shù)據(jù)處理階段的安全審計(jì)重點(diǎn)之一是關(guān)注脫敏處理過程，對(duì)敏感數(shù)據(jù)脫敏相關(guān)操作

的記錄進(jìn)行審計(jì)，可以幫助發(fā)現(xiàn)機(jī)密信息或者個(gè)人數(shù)據(jù)隱私可能泄露的情況。

d)數(shù)據(jù)交換階段

數(shù)據(jù)交換過程的安全審計(jì)是數(shù)據(jù)安全審計(jì)過程的重點(diǎn)。在數(shù)據(jù)共享階段，需要對(duì)高價(jià)值的數(shù)據(jù)的導(dǎo)

入、導(dǎo)出、共享操作進(jìn)行持續(xù)監(jiān)控，并且要審計(jì)和追溯交換數(shù)據(jù)是否已經(jīng)脫敏，是否已經(jīng)加密，或者保

留有水印等。

15

T/CASXXXXX

e)數(shù)據(jù)銷毀階段

數(shù)據(jù)銷毀階段的安全審計(jì)重點(diǎn)關(guān)注對(duì)存儲(chǔ)介質(zhì)和數(shù)據(jù)的訪問行為、數(shù)據(jù)銷毀過程進(jìn)行監(jiān)控。相關(guān)審

計(jì)信息應(yīng)該包括數(shù)據(jù)刪除的操作時(shí)間、操作人、銷毀的方法、數(shù)據(jù)類型，操作結(jié)果等相關(guān)信息。

10.6安全運(yùn)行管理

10.6.1環(huán)境安全

a)數(shù)據(jù)中心機(jī)房只有授權(quán)人員才可以進(jìn)入，其他公司技術(shù)和管理人員獲得邀請(qǐng)并登記后也可以進(jìn)

入數(shù)據(jù)中心。

b)離開數(shù)據(jù)中心前應(yīng)確保關(guān)閉機(jī)柜門、整理好有關(guān)設(shè)備、離開時(shí)必須關(guān)閉數(shù)據(jù)中心大門。

c)進(jìn)入數(shù)據(jù)中心操作時(shí)應(yīng)穿防靜電鞋套，保持服裝整潔，以防帶入灰塵。

d)進(jìn)入數(shù)據(jù)中心后應(yīng)關(guān)閉大門，以免灰塵飄入數(shù)據(jù)中心。

e)數(shù)據(jù)中心內(nèi)禁止飲食、吸煙，禁止帶入不相關(guān)的東西。

f)數(shù)據(jù)中心專用工具及軟件應(yīng)由系統(tǒng)管理員統(tǒng)一注冊(cè)、并統(tǒng)一保管，外借工具應(yīng)登記（借出、借

入方均需簽名）并應(yīng)在兩工作天內(nèi)歸還，借出者負(fù)責(zé)跟進(jìn)收回工具。

g)系統(tǒng)管理員必須定期檢查所有設(shè)備是否工作正常，包括檢查網(wǎng)絡(luò)是否暢通、散熱設(shè)備是否運(yùn)轉(zhuǎn)、

設(shè)備是否過熱及服務(wù)器狀態(tài)是否良好等等，一般可定一星期檢查一次。

10.6.2軟件安全

a)所有數(shù)據(jù)中心設(shè)備（包括服務(wù)器、路由器、交換機(jī)及精密空調(diào)等等）均需設(shè)置密碼進(jìn)行保護(hù)。

b)密碼最少八位長度，必須由數(shù)據(jù)中心管理人員一人或多人完全掌握。核心數(shù)據(jù)密碼不宜寫在紙

上或文件中，并要求至少三個(gè)月更新一次。

c)控制系統(tǒng)操作人員權(quán)限，數(shù)據(jù)庫及應(yīng)用系統(tǒng)超級(jí)管理員權(quán)限只能賦予數(shù)據(jù)中心內(nèi)部人員，開發(fā)

運(yùn)維商只能賦予普通用戶權(quán)限，開發(fā)運(yùn)維商如需登錄數(shù)據(jù)庫或應(yīng)用系統(tǒng)時(shí)須在數(shù)據(jù)中心內(nèi)部人

員的陪同下進(jìn)行。

d)更新/維護(hù)設(shè)備或軟件時(shí)，必須至少提前一天通知受影響用戶，緊急情況時(shí)應(yīng)盡量將影響程度

降至最低。

e)按需求安裝軟件時(shí)，必須在其它機(jī)器中測(cè)試并驗(yàn)證可用后，才可以在服務(wù)器中安裝。

f)服務(wù)器中軟件均為正版軟件，禁止在服務(wù)器中安裝沒有授權(quán)證（License）的軟件，不應(yīng)在服

務(wù)器中安裝測(cè)試版軟件。

11服務(wù)安全性測(cè)評(píng)

11.1基礎(chǔ)設(shè)施安全

11.1.1網(wǎng)絡(luò)與通信安全

a)應(yīng)提供網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力達(dá)到規(guī)定的閾值，提供第三方測(cè)評(píng)報(bào)告；

b)應(yīng)具備網(wǎng)絡(luò)防范入侵的能力，保障區(qū)塊抵抗攻擊，提供安全防護(hù)設(shè)施的運(yùn)行日志；

c)網(wǎng)絡(luò)節(jié)點(diǎn)的監(jiān)控能力應(yīng)提供告警日志。

11.1.2跨鏈通信安全

a)應(yīng)保持分布式網(wǎng)絡(luò)里節(jié)點(diǎn)之間連接狀態(tài)的強(qiáng)健性，提供測(cè)試報(bào)告；

b)應(yīng)建立統(tǒng)一的跨鏈通信數(shù)據(jù)共享所需的數(shù)據(jù)格式和通信協(xié)議，提供測(cè)試報(bào)告；

c)應(yīng)抵御跨鏈間的各種攻擊，提供測(cè)試報(bào)告。

16

T/CASXXXXX

11.1.3運(yùn)行環(huán)境安全

a)應(yīng)具備防范惡意代碼的能力；

b)應(yīng)具備處理漏洞和防范風(fēng)險(xiǎn)的能力。

11.1.4算法安全

a)應(yīng)提供我國商密算法應(yīng)用證明材料，如測(cè)試報(bào)告等；

b)應(yīng)具備抵御破解的能力，定期審核加密算法的安全性，提供相應(yīng)的審計(jì)結(jié)果文檔；

c)應(yīng)滿足參數(shù)配置和生成過程、隨機(jī)數(shù)的使用、操作模式等安全性需求，提供測(cè)試報(bào)告。

d)應(yīng)具有明確的密鑰管理方案，密鑰應(yīng)安全生成、導(dǎo)入、存儲(chǔ)、備份，具有密鑰找回和撤銷機(jī)制。

11.2協(xié)議與機(jī)制安全

11.2.1共識(shí)機(jī)制安全

a)正常運(yùn)行的節(jié)點(diǎn)的請(qǐng)求應(yīng)能在規(guī)定時(shí)間內(nèi)達(dá)成正確、一致的共識(shí)，提供測(cè)試報(bào)告；

b)說明不影響整個(gè)系統(tǒng)正常工作的最大故障節(jié)點(diǎn)數(shù)量，提供測(cè)試報(bào)告；

d)共識(shí)方案的發(fā)布應(yīng)具備清晰的應(yīng)用場(chǎng)景和規(guī)模參數(shù)，提供具體參數(shù)及測(cè)試報(bào)告；

e)在理論值范圍內(nèi)的惡意節(jié)點(diǎn)發(fā)出惡意請(qǐng)求時(shí)，系統(tǒng)應(yīng)能夠做出正確的響應(yīng)，保證一致性，提供測(cè)試

報(bào)告。

11.2.2激勵(lì)機(jī)制安全

a)應(yīng)保證激勵(lì)發(fā)行和分配過程的公平性，說明安全機(jī)制，提供證明材料；

b)應(yīng)設(shè)置對(duì)節(jié)點(diǎn)惡意行為的懲罰機(jī)制，提供證明材料。

11.2.3智能合約安全

a)智能合約代碼應(yīng)能夠進(jìn)行安全性測(cè)試,說明測(cè)試用例；

b)智能合約代碼審計(jì)驗(yàn)證應(yīng)標(biāo)準(zhǔn)化、規(guī)范化，提供審計(jì)報(bào)告；

c)應(yīng)建立智能合約安全漏洞信息平臺(tái)，提供漏洞報(bào)告；

d)智能合約應(yīng)不可被惡意篡改，提供測(cè)試報(bào)告。

11.2.4賬本安全

a)應(yīng)具備持久化存儲(chǔ)賬本記錄的能力，保證數(shù)據(jù)的可追溯性，提供日志；

b)應(yīng)保證各個(gè)節(jié)點(diǎn)能對(duì)正確的賬本進(jìn)行同步，說明同步參數(shù)，提供測(cè)試報(bào)告。

11.3數(shù)據(jù)安全

11.3.1存儲(chǔ)安全要求

a)數(shù)據(jù)存儲(chǔ)應(yīng)具備完整的安全防護(hù)功能，提供測(cè)試報(bào)告；

b)應(yīng)具備數(shù)據(jù)的備份和恢復(fù)能力，提供測(cè)試報(bào)告。

11.3.2分布式數(shù)據(jù)庫安全

a)應(yīng)具備檢測(cè)和防御各種攻擊行為的能力，提供測(cè)試報(bào)告；

b)應(yīng)保證數(shù)據(jù)交互過程中的高效性和隱私性，提供測(cè)試報(bào)告；

c)應(yīng)具有修復(fù)損壞數(shù)據(jù)的能力，提供測(cè)試報(bào)告。

11.3.3隱私保護(hù)要求

17

T/CASXXXXX

a)用戶的隱私信息不得以明文傳輸、存儲(chǔ)，提供測(cè)試報(bào)告；

b)應(yīng)將數(shù)據(jù)分為多個(gè)隱私等級(jí)，提供測(cè)試報(bào)告；

c)應(yīng)對(duì)系統(tǒng)中關(guān)鍵數(shù)據(jù)的隱私進(jìn)行保護(hù)。

11.4應(yīng)用安全

11.4.1身份認(rèn)證要求

a)應(yīng)具備用戶注冊(cè)、更改與注銷等功能，提供測(cè)試報(bào)告；

b)認(rèn)證信息應(yīng)以密文存儲(chǔ)和傳輸，提供測(cè)試報(bào)告；

c)應(yīng)具有賬戶安全警告、鎖定、找回功能，提供測(cè)試報(bào)告；

d)用戶信息應(yīng)與個(gè)人真實(shí)身份具有關(guān)聯(lián)性，提供測(cè)試報(bào)告。

11.4.2訪問控制要求

a)應(yīng)具有對(duì)不同級(jí)別的用戶授予不同權(quán)限的功能，提供測(cè)試報(bào)告；

b)應(yīng)具有根據(jù)需要來更改系統(tǒng)內(nèi)容的訪問等級(jí)與用戶的訪問權(quán)限等級(jí)的功能,，提供測(cè)試報(bào)告。

參考文獻(xiàn)

[1]龔剛軍,楊晟,王慧娟等.綜合能源服務(wù)區(qū)塊鏈的網(wǎng)絡(luò)架構(gòu)、交互模型與信用評(píng)價(jià)[N].中國電機(jī)工程學(xué)

報(bào),2020-9-20(18)

[2]信息安全技術(shù)區(qū)塊鏈信息服務(wù)安全規(guī)范

[3]信息安全技術(shù)區(qū)塊鏈技術(shù)安全框架

[4]信息技術(shù)區(qū)塊鏈和分布式記賬技術(shù)參考架構(gòu)

18

T/CASXXXXX

目次

目次.............................................................................I

前言.............................................................................V

區(qū)塊鏈關(guān)鍵服務(wù)安全技術(shù)要求.........................................................1

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4縮略語.............................................................................2

5區(qū)塊鏈服務(wù)安全框架.................................................................3

6區(qū)塊鏈服務(wù)基本安全要求.............................................................3

6.1區(qū)塊建立安全...................................................................3

6.2基礎(chǔ)功能安全...................................................................3

6.3網(wǎng)絡(luò)傳輸安全...................................................................4

6.4數(shù)據(jù)安全保護(hù)...................................................................4

6.5數(shù)據(jù)安全管理...................................................................4

6.6共識(shí)邏輯安全...................................................................4

6.7應(yīng)用協(xié)議安全...................................................................4

6.8證書安全.......................................................................4

6.9終端鏈設(shè)備安全.................................................................4

6.10瀏覽器安全....................................................................5

6.11服務(wù)運(yùn)維安全..................................................................5

7智能合約安全要求...................................................................5

7.1服務(wù)概述........................................................................5

7.2安全基礎(chǔ)設(shè)施....................................................................5

7.2.1虛擬機(jī)安全...................................................................5

7.2.2區(qū)塊鏈節(jié)點(diǎn)安全...............................................................6

7.2.3合約編碼安全.................................................................6

7.3安全服務(wù)功能....................................................................6

7.3.1形式化驗(yàn)證...................................................................6

7.3.2服務(wù)調(diào)用安全................................................................6

接口調(diào)用安全...............................................................6

合約間調(diào)用.................................................................6

預(yù)言機(jī)調(diào)用.................................................................7

7.3.3合約版本安全.................................................................7

7.3.4合約升級(jí)安全.................................................................7

7.3.5安全審計(jì).....................................................................7

I

T/CASXXXXX

7.4安全運(yùn)行管理....................................................................7

7.4.1合約部署安全.................................................................7

7.4.2合約實(shí)例化安全...............................................................7

7.4.3合約執(zhí)行安全.................................................................7

7.4.4合約廢止安全.................................................................7

7.4.5合約攻擊防范.................................................................7

7.4.6合約安全檢測(cè).................................................................8

8錢包安全要求......................................................................8

8.1服務(wù)概述........................................................................8

8.2安全基礎(chǔ)設(shè)施....................................................................8

8.2.1網(wǎng)絡(luò)傳輸安全.................................................................8

8.2.2錢包存儲(chǔ)安全.................................................................8

8.2.3設(shè)備物理安全..................................................