25023區(qū)塊鏈基礎(chǔ)設(shè)施技術(shù)要求

區(qū)塊鏈基礎(chǔ)設(shè)施通用技術(shù)要求目??次前??言 IV范圍 1規(guī)范性引用文件 1術(shù)語和定義 1縮略語 1總體架構(gòu) 2基礎(chǔ)層 3通用計算硬件設(shè)備 3網(wǎng)絡(luò)設(shè)備 3存儲設(shè)備 3專用加速硬件設(shè)備 4隱私計算硬件設(shè)備 4平臺層 4區(qū)塊鏈基礎(chǔ)平臺 4密碼算法 4共識機制 4智能合約 5賬本管理 5裝配系統(tǒng) 5區(qū)塊鏈支撐平臺 5區(qū)塊鏈管理 5區(qū)塊鏈操作 6區(qū)塊鏈監(jiān)控 6基礎(chǔ)資源管理平臺 6云平臺管理軟件 6容器管理軟件 6接入層 7API網(wǎng)關(guān) 7SDK 7接入策略管理 7接入流量管理 7服務(wù)層 8跨鏈服務(wù) 8存證服務(wù) 8II數(shù)字身份服務(wù) 8隱私計算服務(wù) 8安全管理 9密鑰安全 9網(wǎng)絡(luò)安全 9存儲安全 9接入安全 9監(jiān)管服務(wù) 10合約監(jiān)管 10交易監(jiān)管 10內(nèi)容監(jiān)管 10風(fēng)險預(yù)警 10III區(qū)塊鏈基礎(chǔ)設(shè)施通用技術(shù)要求范圍規(guī)范性引用文件（包括所有的修改單適用于本文件。GM/T0054信息系統(tǒng)密碼應(yīng)用基本要求JR/T0184金融分布式賬本技術(shù)安全規(guī)范T/CESA1048區(qū)塊鏈存證應(yīng)用指南T/CESA1050區(qū)塊鏈智能合約實施規(guī)范T/CESA1166區(qū)塊鏈可裝配系統(tǒng)流程規(guī)范T/CESA1168區(qū)塊鏈可裝配系統(tǒng)裝配規(guī)范T/CESA1167區(qū)塊鏈可裝配系統(tǒng)模塊接口要求T/CESA6001區(qū)塊鏈參考架構(gòu)術(shù)語和定義JR/T0184、T/CESA6001界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)字簽名digitalsignature附加在數(shù)據(jù)單元上的數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元的來源和完整性，并保護數(shù)據(jù)防止被人(例如接收者)偽造或抵賴。[來源：GB/T25069-2010，2.2.2.176]3.2區(qū)塊鏈基礎(chǔ)設(shè)施blockchaininfrastructure一種基于區(qū)塊鏈技術(shù)搭建的信息基礎(chǔ)設(shè)施，涵蓋網(wǎng)絡(luò)、計算、存儲等硬件設(shè)施，以及區(qū)塊鏈技術(shù)基縮略語API 應(yīng)用編程接口（ApplicationProgrammingInterface）1AES 高級加密標準（AdvancedEncryptionStandard）ECC 橢圓曲線加密算法（EllipticCurveCryptography）ECDSA 橢圓曲線數(shù)字簽名算法（EllipticCurveDigitalSignatureAlgorithm）SDK 軟件開發(fā)工具包（SoftwareDevelopmentKit）總體架構(gòu)圖1區(qū)塊鏈基礎(chǔ)設(shè)施總體技術(shù)架構(gòu)基礎(chǔ)層：基礎(chǔ)層提供必要的硬件運行環(huán)境，包括但不限于計算設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、隱私計算設(shè)備、加速設(shè)備等。2接入層：接入層提供區(qū)塊鏈平臺與應(yīng)用之間的快速接入能力。接入層應(yīng)對上層應(yīng)用和服務(wù)提供APISDK服務(wù)層：服務(wù)層提供基于區(qū)塊鏈的共性基礎(chǔ)服務(wù)，方便業(yè)務(wù)應(yīng)用快速構(gòu)建和對接。服務(wù)層包括跨鏈服務(wù)、存證服務(wù)、數(shù)字身份服務(wù)、隱私計算服務(wù)等，為業(yè)務(wù)應(yīng)用提供同構(gòu)鏈或異構(gòu)鏈的跨鏈能力、基于區(qū)塊鏈的存證取證能力、分布式數(shù)字身份的申請和使用能力、隱私計算能力等。安全管理：安全管理指保障區(qū)塊鏈基礎(chǔ)設(shè)施系統(tǒng)安全的設(shè)備、技術(shù)、制度等，包括密鑰安全、網(wǎng)絡(luò)安全、存儲安全、接入安全等。監(jiān)管服務(wù)：監(jiān)管服務(wù)指針對區(qū)塊鏈基礎(chǔ)設(shè)施監(jiān)管方提供的全方位的監(jiān)管手段和機制，涵蓋交易監(jiān)管、內(nèi)容監(jiān)管、合約監(jiān)管、風(fēng)險預(yù)警等方面?；A(chǔ)層通用計算硬件設(shè)備通用計算硬件設(shè)備為區(qū)塊鏈基礎(chǔ)設(shè)施的運行和服務(wù)提供通用計算能力，應(yīng)滿足以下要求：支持對區(qū)塊鏈基礎(chǔ)設(shè)施提供運行環(huán)境；支持滿足區(qū)塊鏈基礎(chǔ)設(shè)施運行和性能要求；支持硬件設(shè)備虛擬化。網(wǎng)絡(luò)設(shè)備連接帶寬達到區(qū)塊鏈基礎(chǔ)設(shè)施運行的最低標準；對區(qū)塊鏈節(jié)點的點對點網(wǎng)絡(luò)連接功能。存儲設(shè)備存儲容量能夠滿足區(qū)塊鏈基礎(chǔ)設(shè)施運行；存取速度能夠滿足區(qū)塊鏈基礎(chǔ)設(shè)施運行；能夠高效、安全、穩(wěn)定地提供數(shù)據(jù)寫入及查詢服務(wù)；支持按需動態(tài)添加和移除存儲介質(zhì)；支持數(shù)據(jù)高可用需要。3專用加速硬件設(shè)備在同等功耗下，對比通用硬件，可實現(xiàn)對區(qū)塊鏈中某一方面或某幾方面的加速；提供配套的驅(qū)動和開發(fā)工具；提供支持國密密碼運算功能。隱私計算硬件設(shè)備具備基于硬件的隱私計算能力，可保護輸入數(shù)據(jù)、輸出數(shù)據(jù)、計算模型的隱私；提供配套的驅(qū)動和開發(fā)工具。平臺層區(qū)塊鏈基礎(chǔ)平臺密碼算法AESRSA、ECCSM4SM2ECDSA；SM2；SHA256；SM3；支持使用硬件密碼設(shè)備進行密碼算法計算。共識機制共識機制保障區(qū)塊鏈基礎(chǔ)平臺節(jié)點之間的數(shù)據(jù)和狀態(tài)嚴格一致，共識機制宜滿足以下要求： 4支持多個節(jié)點參與共識和確認，支持節(jié)點動態(tài)加入和退出共識算法；具備數(shù)據(jù)一致性，單一節(jié)點無法獨立修改區(qū)塊鏈網(wǎng)絡(luò)中其他節(jié)點的數(shù)據(jù)；支持多種共識算法，可根據(jù)業(yè)務(wù)場景需求進行選擇。智能合約區(qū)塊鏈基礎(chǔ)設(shè)施中對于智能合約的通用技術(shù)要求，參照T/CESA6001-2016中相關(guān)智能合約的有關(guān)規(guī)定。賬本管理支持持久化存儲賬本記錄；按支持完整性校驗的數(shù)據(jù)結(jié)構(gòu)進行賬本存儲；支持多節(jié)點擁有完整的數(shù)據(jù)記錄；支持向獲得授權(quán)者提供真實的數(shù)據(jù)記錄；確保有相同賬本記錄的各節(jié)點的數(shù)據(jù)一致性。裝配系統(tǒng)裝配系統(tǒng)的通用技術(shù)要求，參照T/CESA1166、T/CESA1167、T/CESA1168中的相關(guān)規(guī)定。區(qū)塊鏈支撐平臺區(qū)塊鏈管理區(qū)塊鏈管理負責(zé)區(qū)塊鏈的新建和管理操作，宜滿足以下要求：支持新建區(qū)塊鏈操作，選擇特定參與方創(chuàng)建一條區(qū)塊鏈；支持鏈成員的添加和刪除操作；支持鏈節(jié)點的添加和刪除操作；支持鏈節(jié)點的啟動和停止操作。5區(qū)塊鏈操作區(qū)塊鏈操作負責(zé)對已運行的區(qū)塊鏈進行智能合約管理、運行參數(shù)調(diào)整等操作，宜滿足以下要求：提供智能合約的開發(fā)環(huán)境，支持智能合約的在線開發(fā)功能；支持智能合約的發(fā)布、升級、凍結(jié)、解凍等管理操作；支持智能合約調(diào)用功能；支持智能合約的審計功能；支持對區(qū)塊鏈系統(tǒng)的運行參數(shù)進行調(diào)整，如：區(qū)塊大小、出塊間隔等；支持對區(qū)塊鏈上操作權(quán)限的修改操作；支持對區(qū)塊鏈歷史數(shù)據(jù)的歸檔、恢復(fù)操作。區(qū)塊鏈監(jiān)控區(qū)塊鏈監(jiān)控負責(zé)對已有的區(qū)塊鏈進行多維度的監(jiān)控管理，宜滿足以下要求： 提供對區(qū)塊鏈運行狀態(tài)關(guān)鍵指標的監(jiān)控，包括區(qū)塊高度、交易數(shù)、節(jié)點數(shù)、安裝合約數(shù)、TPS等；提供對節(jié)點運行狀態(tài)關(guān)鍵指標的監(jiān)控，包括節(jié)點狀態(tài)、資源利用率等；提供對合約關(guān)鍵指標的監(jiān)控，包括合約狀態(tài)、調(diào)用交易數(shù)；支持對基礎(chǔ)層資源的運行情況監(jiān)控，包括計算資源、存儲資源、網(wǎng)絡(luò)資源、內(nèi)存資源等；支持告警功能，根據(jù)預(yù)設(shè)規(guī)則提供多種告警途徑?；A(chǔ)資源管理平臺云平臺管理軟件云平臺軟件負責(zé)對基礎(chǔ)層硬件設(shè)備的管理、監(jiān)控、虛擬化等功能，宜滿足以下要求：具備對基礎(chǔ)層硬件設(shè)備的管理能力，包括新增設(shè)備、刪除設(shè)備、啟動設(shè)備、停止設(shè)備等；具備對基礎(chǔ)層硬件設(shè)備的監(jiān)控能力，包括運行狀態(tài)、溫度、功耗等；具備對基礎(chǔ)層硬件設(shè)備的虛擬化能力；具備彈性伸縮能力。容器管理軟件容器管理軟件負責(zé)基于容器的應(yīng)用部署、規(guī)劃、更新、維護等功能，宜滿足以下要求：支持容器的自動部署和自我修復(fù)；支持服務(wù)的自動發(fā)現(xiàn)和滾動更新；6支持服務(wù)的水平擴展和負載均衡。接入層APIAPIAPI網(wǎng)關(guān)宜滿足以下要求：支持交易提交功能；支持交易、區(qū)塊查詢功能；支持訂閱功能，事件包括但不限于新區(qū)塊產(chǎn)生、新交易產(chǎn)生、合約事件產(chǎn)生；APISDKSDKSDK宜滿足以下要求：java、golang；支持交易提交功能；支持交易、區(qū)塊查詢功能；支持訂閱功能，事件包括但不限于新區(qū)塊產(chǎn)生、新交易產(chǎn)生、合約事件產(chǎn)生；SDK接入策略管理支持接入方申請和審批；token、公鑰、數(shù)字證書等；支持對可訪問接口等資源進行等級劃分，根據(jù)接入方憑證分配相應(yīng)等級的訪問資源；支持對接入方憑證的頒發(fā)和撤銷。接入流量管理7支持限流功能，可根據(jù)當前資源占用率、預(yù)設(shè)最大流量配置等條件限制接入流量；支持負載均衡功能；支持接入流量統(tǒng)計功能，可統(tǒng)計接入服務(wù)的訪問頻率和流量大小等關(guān)鍵指標。服務(wù)層跨鏈服務(wù)支持同構(gòu)區(qū)塊鏈的跨鏈互操作；宜支持異構(gòu)區(qū)塊鏈的跨鏈互操作；通過合理的機制與算法保證跨鏈互操作的正確性和安全性，包括但不限于公證人機制、側(cè)鏈/中繼鏈機制、哈希時間鎖機制、分布式私鑰控制機制等。存證服務(wù)1048中的相關(guān)規(guī)定。數(shù)字身份服務(wù)支持數(shù)字身份頒發(fā)能力；支持數(shù)字身份查詢能力；支持可驗證數(shù)字憑證頒發(fā)能力；支持可驗證數(shù)字憑證核驗?zāi)芰?。隱私計算服務(wù)8支持資源管理能力、多方數(shù)據(jù)源管理能力；支持明文密文混合查詢能力；支持多方安全計算能力、TEE安全管理密鑰安全密鑰安全指通過對區(qū)塊鏈基礎(chǔ)設(shè)施中密鑰的生成、存儲、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔與銷毀等環(huán)節(jié)進行管理和策略制定，來保障密鑰的安全隱私。密鑰安全宜滿足以下要求：采用硬件加密設(shè)備或云加密設(shè)備等保管和使用密鑰；GM/T0054網(wǎng)絡(luò)安全區(qū)塊鏈節(jié)點間通信應(yīng)采用加密傳輸；區(qū)塊鏈節(jié)點與上層應(yīng)用間通信應(yīng)采用加密傳輸；具備網(wǎng)絡(luò)入侵防護系統(tǒng)，支持黑白名單過濾規(guī)則，支持對常見網(wǎng)絡(luò)入侵行為的識別和防護；VPN具備網(wǎng)絡(luò)安全防護功能。存儲安全區(qū)塊鏈存儲支持防篡改，單個節(jié)點數(shù)據(jù)篡改不影響區(qū)塊鏈的正常運行；支持敏感數(shù)據(jù)加密存儲；支持關(guān)鍵數(shù)據(jù)備份與恢復(fù)。接入安全9接入安全指需保障接入?yún)^(qū)塊鏈基礎(chǔ)設(shè)施的用戶、應(yīng)用或流量不會損害區(qū)塊鏈基礎(chǔ)設(shè)施的正常運行。接入安全宜滿足以下要求：APISDK對于部署至區(qū)塊鏈基礎(chǔ)設(shè)施的應(yīng)用，具備權(quán)限控制機制，規(guī)定應(yīng)用可訪問的資源范圍。監(jiān)管服務(wù)合約監(jiān)管支持對智能合約使用進行監(jiān)管并強制執(zhí)行；合約部署、升級等操作支持監(jiān)管方的自動或手動監(jiān)管；合約部署、升級等操作留痕可審計。交易監(jiān)管交易監(jiān)管指對區(qū)塊鏈基礎(chǔ)設(shè)施上中產(chǎn)生的區(qū)塊鏈交易進行監(jiān)管，交