| 标准编号 | JR/T 0184-2020 (JR/T0184-2020) | | 中文名称 | 金融分布式账本技术安全规范 | | 英文名称 | (Technical specification for financial distributed ledger technology) | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 国际标准分类 | | | 字数估计 | 34,341 | | 发布日期 | 2020-02-05 | | 实施日期 | 2020-02-05 | | 标准依据 | 全国金融标准化技术委员会通知(2020.02.05a) | | 发布机构 | 中国人民银行 | JR/T 0184-2020: 金融分布式账本技术安全规范
JR/T 0184-2020 英文名称: (Technical specification for financial distributed ledger technology)
中 华 人 民 共 和 国 金 融 行 业 标 准
金融分布式账本技术安全规范
中国人民银行 发 布
1 范围
本标准规定了金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、
账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。
本标准适用于在金融领域从事分布式账本系统建设或服务运营的机构。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
6.2.1 场地安全
部署的物理数据中心及附属设施符合以下要求:
--对于云端部署模式,应保证用于金融行业数据中心运行环境位于高安全区域;
--对于承担共识节点或记账节点功能的系统节点,宜保证金融分布式账本使用者业务运行、数据
存储和处理的物理设备位于中国境内。
6.2.2 硬件设备
应对设备运行状态、资源使用情况等进行监控,能在发生异常情况时发出告警。
应保证设备和存储介质在重用、报废或更换时,能对其承载的数据进行清除且不可恢复。
应保证不同节点使用的硬件设备具备一定的异构性。
对于云端部署模式,应在云端环境服务方的配合下,保证云端环境具备一定的异构性。
6.2.3 节点部署安全
应保证关键节点冗余部署,保证系统可用性。
应避免将所有承担共识或记账的节点部署在同一机房内,应能在单一机房节点不可用时保证系统整
体的可用性。
应保证将带有不宜共享数据的分布式账本节点放置于机构内部或受保护区域。
应保证部署节点的硬件设备存储容量可扩展,避免因数据容量达到上限而无法同步账本。
6.2.4 硬件加密设备安全
对于使用硬件加密设备完成密码运算和密钥存储的分布式账本系统,所用硬件加密设备应满足如下
要求:
--使用的加密机设备应符合国家密码管理部门颁布的 GM/T 0045-2016 的要求;
--使用的个人密码设备(如 UKey、加密卡、带 SE或 TEE的移动终端等)应符合行业主管部门和
国家密码管理部门的要求。
6.3 网络安全
6.3.1 网络架构安全
应保证共识节点或记账节点之间能直接进行网络通信或能间接进行消息传递。
在网络拓扑中,应防止单个节点故障而形成网络隔离。
应保证每个重要节点具有较大的局部聚集系数。
6.3.2 通信传输安全
应在参与分布式账本的节点之间建立安全传输通道,保证数据传输的完整性和不可篡改性。
应对数据和信息采取相应的防护措施,保证其能抵抗篡改、重放等主动或被动攻击。
应采用密码技术保证节点间通信过程中敏感信息字段或整个报文的保密性,应确保信息在存储、传
输过程中不被非授权用户读取和篡改。
可采用有权限的网络访问控制,在参与分布式账本节点之间构建虚拟专用网络(VPN),降低网络
攻击造成的危害。
7 基础软件
7.1 基本要求
基本软件环境应遵循GB/T 22239-2019中三级以上的主机安全、应用安全、数据安全及备份恢复相
关要求,还应包括账本结构、共识模块、分布式组网、数据存储、智能合约、接口设计、数据传输、时
间同步和操作系统等方面的要求。
7.2 账本结构
账本结构应具有防篡改性。账本结构宜使用块链式或近似块链式的存储结构,应使用哈希嵌套保证
数据难以被篡改。
账本应具有数据校验功能。任何一条记录被非法篡改后都可通过历史账本数据回溯以快速检验出。
7.3 共识模块
共识模块应能协调各系统参与方有序参与数据打包和共识过程,并保证各参与方的数据一致性。
系统无故障节点或欺诈节点时,应能在规定时间内达成一致的、正确的共识,输出正确结果。
在故障节点和欺诈节点的总数量不超过理论值的情况下,系统应能正常工作。
7.4 分布式组网
系统参与方节点应在物理部署上进行分离,各节点基于网络通信协议和对等网络进行通信和数据互
换。
各节点应独立存储具有一致性的账本数据,且保证任意单个节点故障都不影响整个系统的正常工
作。
系统由分布在不同地点的节点互连而成,网络中可无中心节点。通信控制功能应分布在各节点上,
且任一节点均至少与其他两个节点建立通信连接。
7.5 数据存储
账本数据应根据数据对象的类别独立存储,账户数据、交易数据、配置数据以及账本元数据等,应
分别存储、分别管理、分别操作。
敏感信息应加密存储,并应有数据访问等权限的控制和管理。
节点CA证书及其私钥的存储应私密管理。
数据存储可选用结构化数据库、非结构化数据库或混合选用。数据库应选用安全高效并经过检验的
主流稳定版本。
7.6 智能合约
智能合约宜在可信的软件/硬件支持的环境中执行。
智能合约代码存储和运行时,系统应具备相应的安全保护能力,不应允许未授权实体明文读取合约
代码和状态。
智能合约应具备数据前向兼容的能力,版本迭代时,旧版本的合约应及时停用,并存档数据,新版
本合约应能调用历史数据。
智能合约的运行机制宜有前向兼容的能力,当系统版本升级后,智能合约应能正常执行。
系统应通过有效的智能合约审核以确保合约代码所表达的逻辑无漏洞。智能合约的发布应引入相关
方联合审核机制,审核流程应高效、严谨。
7.7 接口设计
应设计良好的接口,隐藏底层账本的细节,为应用层提供简洁的调用方法。
接口的设计原则应简洁明了,提供完整的功能,能完成交易和维护分布式账本数据,并且有完善的
权限管理机制。
接口设计应考虑扩展性和兼容性。
7.8 数据传输
传输数据过程中,应使用对称或非对称国密算法对数据进行加密,防止数据在传输过程中被窃取。
7.9 时间同步
应保证节点之间的时间戳误差维持在共识协议允许的范围内。
可使用经过认证的中心化时间同步源进行节点间的时间同步。
7.10 操作系统
系统宜有针对不同操作系统的软件版本,宜支持三种及以上的操作系统或系统版本。
8.2 保密性
保密性指信息不被泄露给非授权的用户和进程等实体的一种性质。
保密性通过密码加密功能实现,其算法包括对称密码算法和非对称密码算法。
通信双方在交换敏感信息时,应在建立连接之前,使用密码技术进行会话初始化,通过密钥交换算
法协商会话密钥。在通信过程中,应使用会话密钥对敏感信息或整个报文进行加密,并在加密时采取随
机数填充等技术,避免相同的明文数据在加密后生成相同的密文。
在存储敏感的业务数据、身份鉴别数据和密钥数据之前,应采用密码技术进行加密。
8.3 完整性
完整性指数据没有受到未授权的更改,分布式账本中的完整性应用场景包括业务数据和密钥的完整
性保护。
应保障关键数据在传输和存储中的完整性,并在对数据处理前检验其完整性。
数据完整性可通过消息鉴别码(MAC)或数字签名保障。
8.4 真实性
真实性指一个实体是其所声称实体的特性。
应使用非对称加密、动态口令或数字签名等方式保障真实性。
分布式账本中真实性的应用场景包括:
--进入重要物理区域人员的身份鉴别;
--节点通讯双方的身份鉴别;
--网络设备接入时的身份鉴别;
--登录操作系统和数据库系统的用户身份鉴别;
--应用系统的用户身份鉴别。
8.5 不可否认性
可使用数字签名等密码技术生成可靠的电子签名来保障实体行为的不可否认性,系统中所需的具有
不可否认性的行为包括发送、接收、审批、创建、修改、删除、添加和配置等操作。
不可否认性的应用场景包括:
--实体行为的确认;
--背书方对实体行为的背书。
8.6 随机性
密码算法执行过程中需要使用随机数时,应按照国家密码管理部门的要求生成随机序列,并符合
GB/T 32915-2016对随机性的要求。
8.7 密钥管理
密钥管理包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进
行管理和策略制定的全过程。分布式账本系统应根据信息系统等级保护等级,满足GM/T 0054-2018中
对密钥管理的要求。
可通过秘密共享算法将密钥分解为多个子密钥分别存储或传输。
9 节点通信
9.1 基本要求
分布式账本系统采取节点授权准入的原则,在节点通信过程中应保证数据的完整性、保密性。
9.2 节点身份验证
应使用符合第13章“身份管理”中要求的身份认证机制控制节点的接入。
采用密码技术对节点通信双方的身份进行验证。
9.3 通信完整性
使用符合国家密码标准的消息鉴别码算法、数字签名等密码技术来提供通信中数据的完整性保护和
校验。
节点间通信协议应具备应对通信延时、中断等情况的处理机制。
当检测到数据的完整性遭到破坏时,接收节点可以采取措施从发送节点处重新获取数据。
9.4 通信保密性
在通信节点建立连接之前,应使用符合国家密码标准的密钥交换技术来产生双方共享的工作密钥,
并进行双向身份认证,确保通信节点是信息的真实授权方。
通信节点应使用工作密钥对通信过程中的整个报文或会话进行加密处理。
应使用符合国家密码标准的技术来建立安全通信通道,避免因传输协议受到攻击而出现的保密性破
坏。
10 账本数据
10.1 完整性
应保证账本数据的生成、传输、存储、调用等操作不可被非授权方式更改或破坏。
10.2 一致性
分布式账本中记账节点的账本数据应保持一致。对账本数据的写入和修改,须经各节点达成共识,
以确保各节点的数据一致性。当出现数据分叉时,应存在可用规则进行数据选择。
10.3 保密性
应采用密码技术保证账本数据中的敏感数据在传输和存储过程中的保密性。
账本数据中敏感数据的保护密钥和账本数据本身应分开保存,并且保护密钥应支持存放在安全的密
码模块中。
10.4 有效性
各记账节点的账本数据应符合第 11 章“共识协议”中要求的共识协议保证账本数据的有效性,且
满足以下有效性要求:
--应能对节点存储的账本数据的有效性进行校验;
--当某个节点的账本数据失效时,应使用符合第 11 章“共识协议”中要求共识协议保证账本数
据的有效性。
10.5 账本数据冗余
应保证账本数据在系统中具有冗余性,防止因单个节点失效而造成总账本数据的丢失。
10.6 访问与使用
分布式账本应确保账本数据不被未授权的第三方获取,数据访问和操作应符合第 14 章“隐私保
护”中对认证授权、访问控制等方面的技术要求。
10.7 安全审计
记账节点对账本数据的操作应满足以下安全审计要求:
--账本数据的访问应提供安全审计功能,审计记录包括访问的日期、时间、用户标识、数据内容
等审计相关信息;
--数据变更应提供审计功能,审计记录不仅包括数据变更成功的记录,还应包括数据变更失败的
记录;
--节点有效性校验失败、一致性校验失败等情况下同步账本数据,应提供安全审计功能,审计记
录包括事件类型、原因、账本数据同步的节点、账本数据校验值等审计相关信息;
--审计记录可由记账节点自行记录,不必写入账本。
11 共识协议
11.1 基本要求
应根据业务特点选用适宜的共识协议,包括但不限于工作量证明、权益证明、授权股权证明、拜占
庭容错等,应满足不同共识协议安全运行所必需的前提要求,且业务激励规则和技术运维安全上的机制
设计应保障其自身安全。
11.2 合法性
应确保参与共识过程的节点经过验证,保证节点共识过程的加入和退出的合......
|