T_SCBA 002-2023 基于区块链的数字资产应用设计规范.docx

学兔兔标准下载ICS 35.240CCS L70团体标准T/SCBA0022023基于区块链的数字资产应用设计规范Design Specification for Digital Asset Application based on Blockchain2023-05-10 发布2023-05-20 实施四川省区块链行业协会发布学兔兔标准下载目录前言 . 01范围 . 12规范性引用文件 . 13术语和定义 . 14缩写语 . 15基本原则 . 16数字资产应用模型 . 26.1数字资产应用整体模型 . 26.2数字资产应用的业务流程 . 27链下业务系统设计规范 . 37.1身份规范 . 37.2数字资产发行规范 . 37.3数字资产交易规范 . 37.4密钥安全规范 . 38智能合约设计规范 . 48.1合约设计总体要求 . 48.2底层区块链标准 . 48.3合约功能设计规范 . 48.4合约安全设计规范 . 48.5合约升级规范 . 48.6合约性能规范 . 49监管审计 . 4学兔兔标准下载前言本标准按照 GB/T 1.12020 给出的规则起草。本标准由四川省区块链行业协会标准化技术委员会提出并归口。本标准起草单位： 嘉凯宇拓（成都）科技有限公司、四川开源观科技有限公司、四川网匠科技有限公司、云南南天电子信息产业股份有限公司、成都壹石新科信息技术有限公司、四川商通实业有限公司、联通（四川）产业互联网有限公司、中铁成都科学技术研究院有限公司本标准主要起草人：付杰、吴华、安红章、陶曲明、郎需超、肖自信、徐顺斌、左川民、林越彰、李晓路、张晨曦、唐兴、张远民、蒋军君、罗春、黎欣学兔兔标准下载基于区块链的数字资产应用设计规范1范围本文件规定了基于区块链技术设计数字资产应用的基本原则、应用模型及其设计规范要求。本文件适用于指导各企业基于区块链技术设计数字资产应用系统。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件；凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692022 信息安全技术 术语GM/T 0111-2021 区块链密码应用技术要求3术语和定义GB/T 250692022 中界定的及下列术语和定义适用于本文件。3.1智能合约 smart contract一套以数字形式定义的约定。GM/T 0111-2021,定义 3.33.2共识机制 consensus mechanism区块链系统中实现不同节点之间建立信任、获取权益的算法。GM/T 0111-2021,定义 3.23.3区块链 blockchain一种使用分布式数据存储、点对点传输、共识机制、密码算法、智能合约等技术的新型应用模式和融合技术。GM/T 0111-2021,定义 3.13.4区块链服务平台 blockchain platform对外直接提供区块链上链、查询等服务的信息系统或软件。3.5数字资产 digital assets学兔兔标准下载T/SCBA0022023以电子数据形式存在，持有者可以出售或者交换的有价资产。GM/T 0111-2021,定义 3.113.6交易 transaction数字资产的一次转账或者对智能合约的一次调用。GM/T 0111-2021,定义 3.63.7合规性 compliance符合当地的法律、规则和准则。3.8数字资产发行方 digital assets issuer具备数字资产发行权的机构。3.9数字资产消费者 digital assets consumer对数字资产进行交易的个人或者机构用户。4缩写语下列缩略语适用于本文件。API：应用编程接口（Application Programming Interface）5基本原则5.1 合法合规原则应遵守国家相关法律法规和监管要求，应为监管审计需求提供技术支持。5.2 可追溯原则业务与活动都应有记录，可追溯，可审计。5.3 数据一致性原则链上、链下存取的数据应保证数据库的一致性，区块链各个节点之间的数据也应保持一致性。5.4 安全原则应采取各种必要的安全手段，保障资产和交易等信息的安全， 防范攻击。5.5 隐私保护原则应保障应用用户的隐私安全，防止泄露用户隐私。1兔学兔标准下载T/SCBA00220235.6 业务导向原则以需求推动技术，设计与开发时应优先考虑适用的业务场景。6数字资产应用模型6.1 数字资产应用整体模型数字资产应用整体模型如图 6.1 所示，数字资产应用采用区块链服务平台获取信任服务，面向数字资产发行方、数字资产消费者提供数字资产业务服务。图 6.1 数字资产应用模型6.2 数字资产应用的业务流程图 6.2 数字资产应用系统业务流程图数字资产应用系统的业务流程如图 6.2 所示，其中链下业务系统是独立于区块链的业务系统，其负责对数字资产发行方、数字资产消费者进行身份认证，并对数字资产的发行、交易、监管等业务流程进行管理；部署在区块链服务平台之上的智能合约负责存储并管理数字资产在区块链上的数据。2学兔兔标准下载T/SCBA00220237链下业务系统设计规范7.1 身份规范a）链下业务系统应区分用户身份是机构用户还是个人用户；b）机构用户应提供身份信息，包含机构名称、地址、联系方式、行政许可；c）个人用户应提供真实、有效的身份证明；d）链下业务系统应对其用户身份信息进行核验、建立登记档案，并定期核验更新；e）链下业务系统应为每个用户绑定区块链身份账户，绑定之后在没有用户许可的情况下不允许更新。7.2 数字资产发行规范a）链下业务系统应针对数字资产建立统一的模型与分类，针对不同分类按照行业相关的法律法规进行业务设计；b）需要对数字资产发行方对数字资产的发行权进行必要审核；c）应对数字资产内容进行合规审核，并保存审核记录，避免非法内容写入链上账本；d）应对数字资产原始发行内容进行安全存储，具备备份机制，防止数据丢失；e）应对标记数字资产重要属性的数据进行链上存储，对数据量过大的内容采用摘要上链的形式；f）应对数字资产内容设计链上链下的校验机制，保证链上数据与链下数据一致性。7.3 数字资产交易规范a）在明确双方身份的基础上进行交易；b）交易记录全程链上留痕，并确保数据一致性；c）应设计交易管理机制，对已知的非法交易、非法资产，或者存在重大风险的交易行为进行事中控制，并对相关记录全程留痕。7.4 密钥安全规范a）应设计或者直接使用可独立安装部署的软硬件装置，支持用户安全、独立生成密钥；b）生成密钥的环境应考虑多种层次等级的安全威胁，包括但不限于业务与应用类安全威胁、网络与信息安全威胁、终端类安全威胁、基础类安全威胁、管理类安全威胁等；c）存储密钥的装置具备安全备份功能，防止因装置损坏、丢失造成密钥无法找回；d）密钥存储应当和密钥生成在同一个设备上。如果是软件系统生成，则存储在该软件系统同一设备上，如果是专用密钥安全芯片生成，则直接存储在硬件芯片设备上；e）应当设计身份识别机制，以绑定用户密钥与真实身份的对应关系；3学兔兔标准下载T/SCBA0022023f）密钥的使用，均在有用户对数字资产有实际的业务操作、或者授权的前提下进行。8智能合约设计规范8.1 合约设计总体要求数字资产合约不含涉密数据、个人隐私数据等违法违规的，且并经过必要脱敏、脱密，符合中华人民共和国网络安全法要求。8.2 底层区块链标准a）采用经过测评认证的区块链服务平台；b）采用与服务模型相匹配的区块链服务平台。8.3 合约功能设计规范a）数字资产合约需具备数字资产发行、交易、销毁的基础业务功能 API；b）数字资产合约需要具备资产授权交易功能 API，以支持跨链、资产托管业务扩展；c）数字资产合约需要支持用户查询和检验链上业务数据的 API；d）数字资产合约需要支持控制数字资产转移的功能 API，包括但不限于冻结、解冻操作。8.4 合约安全设计规范a）数字资产合约内部有独立的权限管理机制，确保合约只能通过可信身份操作冻结、解冻、升级。8.5 合约升级规范数字资产合约应当具备可升级性，其升级应遵守如下规范：a）支持合约的在线升级；b）升级操作记录在区块中；c）合约升级失败时，支持合约的回滚操作；d）合约升级后，保持升级前数据的可用性。8.6 合约性能规范a）数字资产合约应控制单个交易的业务复杂度；b）数字资产合约应控制单个交易的数据报文大小。9监管审计数字资产应用系统应支持监管和审计功能，避免数字资产游离于法律法规以及行业规则之外，成为洗钱、非法融资或犯罪交易的载体。主要要求如下：a）通过事前准入控制、事中权限控制、事后追溯等技术手段实现监管目标，并设立监管规则，4学兔兔标准下载T/SCBA0022023保证记录防篡改、可追溯与可稽核；b）保存与服务、资源、性能相关的数据和证据。参 考 文 献1 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求2 GB/T 35273-2017 信息安全技术 个人信息安全规范3 GM/T 00542018 信息系统密码应用基本要求4 T/CESA 6001-2016 区块链 参考架构5 T/SCBA 0012022 可信区块链应用服务评价规范6 T/SCBA 0022022 可信区块链平台服务等级评价规范7 中华人民共和国国务院. 互联网信息服务管理办法，2000.8 国家互联网信息办公室. 区块链信息服务管理规定，2019.5