标准规范下载简介
DB31/T 1331-2021 区块链技术安全通用要求.pdfICS35.240 CCSL70
General requirements ofblockchain technology security
上海市市场监督管理局发布
湖光小区3#住宅楼模板安装工程专项施工方案上海市市场监督管理局 发布
DB31/T1331—2021
附录A(资料性)协议层安全措施举例 附录B(资料性)扩展层安全措施举例
DB31/T 1331——2021
DB31/T 1331——2021
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由上海市经济和信息化委员会提出并组织实施。 本文件由上海市经济和信息化委员会、中共上海市委网络安全和信息化委员会办公室归口。 本文件起草单位:上海市信息安全测评认证中心、苏州同济区块链研究院有限公司、上海七印信息 科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所有限公司。 本文件主要起草人:陈清明、顾敏、罗新辉、徐御、金铭彦、徐鑫、陈序、甘露、王一帆、阐肖庆、马小峰、 吴鹏、陈小虎。
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由上海市经济和信息化委员会提出并组织实施。 本文件由上海市经济和信息化委员会、中共上海市委网络安全和信息化委员会办公室归口。 本文件起草单位:上海市信息安全测评认证中心、苏州同济区块链研究院有限公司、上海七印信息 科技有限公司、上海墨珩网络科技有限公司、电信科学技术第一研究所有限公司。 本文件主要起草人:陈清明、顾敏、罗新辉、徐御、金铭彦、徐鑫、陈序、甘露、王一帆、阙肖庆、马小峰、 吴鹏、陈小虎。
本文件规定了区块链技术的技术架构、风险分析、安全要求等内容。 本文件适用于基于区块链技术的产品或应用的安全设计、开发、测试及维护。
区块链技术安全通用要求
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GM/T0005随机性检测规范
的生成由所有的共识节点共识决定,其他接人节点在权限许可的情况下可参与记账,可通过该区块链开 放的接口进行交易调用及限定查询。
私有链privateblockchain
的写人权限由某个组织或机构控制,数据读取权降
为了便于分析,结合最佳实践和已知区块链风险分布情况,本文件提出区块链技术的三层技术架 构,基础设施层将传统网络安全与区块链安全联系起来,协议层基于基础设施层提供的硬件或网络基础 体系实现相应功能,并为扩展层提供相应功能的支持服务。协议层包含区块链技术的几大关键机制:共 识机制、密码学机制、时序机制以及组网机制,协议层向下连接基础设施层,向上连接扩展层。扩展层通 过调用协议层功能组件,可以提供多元化的服务与访问。三层技术架构如图1所示。
存储面临的安全风险主要为物理环境的安全风险,包括但不限于: 2
安全风险主要为物理环境的安全风险,包括但不
a 设备遭盗窃和破坏; b) 由雷击等恶劣天气导致的电流异常,设备出现故障; c 未提供备用电力供应; d 电磁干扰引起的设备故障。
网络为区块链信息系统的运行提供必要的网络通信支持,安全风险包括但不限于: a)网络架构缺陷: 1)网络设备的业务处理能力无法满足业务高峰需求; 2)未实施网络区域隔离,导致网络的未授权访问; 3)未配置硬件余,导致网络不可用。 b)通信传输不可靠: 未对通信链路进行安全加密,导致数据泄露。 c)网络攻击: 1)DDOS攻击; 2)病毒木马攻击; 3)DNS污染; 4)路由广播劫持
计算为区块链信息系统的运行提供必要的硬件设备支持,安全风险包括但不限于: a) 设备配置不当: 1)未授权登录; 2)弱口令账户; 3)未启用审计。 b)未对需要集中管控的设备进行集中管控。
共识机制的安全风险包括但不限于: a) 由共识机制自身设计漏洞导致的安全风险: 1)根据CAP准制,一个分布式系统最多只能同时满足一致性、可用性和分区容错性中的两 条。因而共识机制可能面临可用性和一致性的选择,当节点或网络连接失效时,可能存在 共识无法收敛、收敛时间较长超出可用范围、记录分叉等安全风险。 2)当攻击者算力达到一定比例时,存在恶意节点控制共识进程的安全风险。 3)攻击者采用双花攻击、女巫攻击等方式,达到双重支付、回滚记录、获得网络控制权等攻击 目的。 b) 实际应用场景下的共识安全风险: 1)在联盟链的场景下,联盟参与者和节点数较少,联盟成员通过共谋,绕过共识机制的限制, 任意修改链上数据; 2)不同的场景对安全性、扩展性、性能效率的需求不同,因共识算法选择不当可能导致安全 风险。
DB31/T1331—2021
密码学机制面临的安全风险包括但不限于: a)来自密码算法的安全风险: 1)密码算法自身设计存在安全风险; 示例:如哈希算法面临碰撞威胁; 2)密码算法开发实现中存在后门和漏洞。 b)来自密钥的安全风险:密钥生成、分发、存储过程中因人员操作或管理不当带来的安全风险,包 括密钥丢失被盗等。
时序机制面临的安全风险包括但不限于: a) 区块链节点未做时间同步,或时间同步过程被非法人侵,造成节点同步时间造成区块链共识协 议的允许误差范围; b)时间截不可信。
6.2.4个人信息保护
区块链的个人信息保护是指通过密码学手段,保障用户身份、交易内容等个人信息安全。个人信息 保护面临的安全风险包括但不限于: a)身份信息泄露的安全风险:用户的身份信息、物理地址、IP地址与区块链上的用户公钥、地址 等公开信息之间存在关联关系。 b) 交易信息泄露的安全风险: 1)攻击者通过关联分析,可以推测出交易数据背后有价值的敏感信息; 2)未授权节点访问交易数据。
P2P组网机制面临的安全风险包括但不限于: a 由P2P技术缺陷带来的安全风险: 1)P2P网络节点准人要求极低,与专业服务器相比安全漏洞多、防护差,黑客容易针对少量 关键节点发起网络路由攻击或者直接人侵,通过日蚀攻击获得利益; 2)攻击者针对P2P网络缺少身份认证、数据验证、网络安全管理等机制的不足,发布有害信 息,传播蠕虫、木马、病毒,实施DDoS攻击、路由攻击等。 b> 由设备故障导致的安全风险:因节点故障、网络连接断裂带来的组网安全风险,导致数据不 致、拒绝服务、节点隔离等。
智能合约面临的安全风险包括但不限于: a) 合约内容的安全风险: 1)编译语言不成熟,直接危害智能合约的执行和用户的个人数字资产; 2)合约代码存在漏洞,导致交易依赖攻击、时间戳依赖攻击、调用深度攻击、可重人攻击、整 数溢出攻击等安全风险; 3)合约内容不符合相关法律规范。 b)·合约运行的安全风险:
DB31/T 1331—2021
? 智能合约的运行环境没有与外部隔离,导致系统遭受攻击。 在调用智能合约时涉及类型匹配、可容纳的交易数量限制、堆栈限制以及调用逻辑等。恶 意攻击者可利用配置错误或者逻辑漏洞,对合约进行攻击。 智能合约访问外部数据时,不能保证不同节点访问的数据的一致性和真实性,也无法避免 数据提供节点恶意变更数据或被攻击引起单点失效的问题,
区块链的服务与访问面临的安全风险包括但不限于: a)由权限控制管理问题导致的安全风险: 1)非法用户接人。如未被标识用户从接口接人。 2)非授权访间。 示例:如非法用户进人网络或系统进行非法操作或合法用户超越授权范围进行操作。 b)由区块链自身机制和开源软件导致的安全风险: 1)缺乏安全管理机构及监管审计机构参与管控区块链信息系统。区块链追求去中心化的设 计,使得监管部门难以准确定位主体,从而出现监管盲区,导致数据泄露、非法交易等 问题。 2)开源区块链软件因开发问题引发输人验证、API使用、内存管理等方面的安全漏洞。
本章给出了基础设施层安全要求、协议层安全要求以及扩展层安全要求。除此之外,有助于理解安 全要求的实现,在附录A和附录B中分别给出了协议层安全措施举例和扩展层安全措施举例。
基础设施层、协议层、扩展层安全要求的适用范围如表1所示。
表1 安全要求适用范圈
表1安全要求适用范围(续)
应符合GB/T22239规范中给出的安全物理环境
网络方面的安全要求包括: ? 应符合GB/T22239规范中给出的安全通信网络相关安全要求: DD 应符合GB/T22239规范中给出的安全区域边界相关安全要求。
计算方面的安全要求包括: a) 应符合GB/T22239规范中给出的安全计算环境相关安全要求; b) 应符合GB/T22239规范中给出的安全管理中心集中管控的相关安全要求。
7.4.1共识机制安全
共识机制方面的安全要求包括: a) 应使用设计合理和安全的共识机制,并能够有效防范常见的共识攻击: b) )应确保多个节点参与共识和确认,防止任何独立节点的恶意操作:
DB31/T 1331—2021
? 应采用技术手段保证各节点账户记录的一致性; d 宜支持多种共识算法并实现共识算法可插拔,根据需求切换选择共识算法;
7.4.2密码学机制安全
时序机制方面的安全要求包括: a) 应采用技术措施保证账本记录的时序一致性; b)宜使用由第三方时间戳服务机构产生的时间截,使用可信时间源服务,保证时间截可信性
7.4.4个人信息保护
个人信息保护方面的安全要求包括: a)应采用满足国家商用密码相关规定的加密方式来保护个人信息的处理、传输和存储; b)应提供数据变换技术,将个人敏感信息进行变换; 示例1:如数据加密、敏感数据脱敏等手段。 ?) 宜采用技术手段实现个人信息保护功能,将个人敏感信息存放到侧链上或链下,而不存储在公 开的主链上等。 示例2:如侧链技术、链下存储等。
7.4.5组网机制安全
组网机制方面的安全要求包括: a)应提供节点服务器之间的身份认证; b)应支持动态加人和删除节点,且不影响业务的正常运行; c) 应确保节点断线重连后,可与其他节点实现状态一致性; d)应在节点与节点之间建立安全的信息传输通道,支持国家商用密码实现的TLS、IPSec通信 协议; 示例:如TLS、IPSec等协议。 e)节点应对区块链网络中提交的相关信息进行有效性验证; f)应具备检测和防范恶意节点的机制,能够检测出网络中的恶意节点,并进行针对性的处理。
组网机制方面的安全要求包括: a)应提供节点服务器之间的身份认证; b)应支持动态加人和删除节点,且不影响业务的正常运行; c)应确保节点断线重连后,可与其他节点实现状态一致性; d)应在节点与节点之间建立安全的信息传输通道,支持国家商用密码实现的TLS、IPSec通 协议; 示例:如TLS、IPSec等协议。 e)节点应对区块链网络中提交的相关信息进行有效性验证; f)应具备检测和防范恶意节点的机制,能够检测出网络中的恶意节点,并进行针对性的处理。
7.5.1智能合约安全
顺德园筏板基础施工方案7.5.1.1智能合约编写安全
智能合约编写方面的安全要求包括: a) 应按照合约文本编写合约代码,确保合约代码与合约文本的一致性; b)应建立安全编码规范,智能合约源代码应符合规范要求,确保智能合约的安全性;
c) 智能合约应定义版本号,调用智能合约时应明确记录智能合约版本; d) M 智能合约应具有向后兼容性,智能合约升级或重新部署后,新智能合约能兼容或迁移原智能合 约数据。
c) 智能合约应定义版本号,调用智能合约时应明确记录智能合约版本; d) 智能合约应具有向后兼容性,智能合约升级或重新部署后,新智能合约能兼容或迁移原智能 约数据。
7.5.1.2智能合约运行安全
智能合约运行方面的安全要求包括: a)应提供智能合约的升级和废止功能,应支持动态升级,智能合约的升级操作应记录在区块中西安绕城高速公路(北段)帽耳刘立交桥施工组织设计, 符合区块链交易要求、遵从交易执行的流程; b) 应提供合约安全检测手段,确保及时发现和处置出现的问题,降低安全风险; c) 1 应控制智能合约对外部环境的访问,控制隔离执行环境中的智能合约访问其执行环境之外的 资源; d)当智能合约出现错误时,应提供智能合约冻结功能,冻结状态下的智能合约不能被继续调用; e 1 应提供运行载体,如虚拟机等,智能合约应在虚拟机等隔离环境中运行; f 2 对于与区块链信息系统外部数据进行交互的智能合约,外部数据的影响范围仅限于智能合约 范围内,不应影响区块链信息系统的整体运行; g) 应严格限制智能合约的部署,防止同链的其他合约以及本链以外的合约调用本合约引起的安 全风险; h) 宜提供有效的防范智能合约被恶意滥用的机制。如:多次调用无意义操作,从而造成DDoS攻 击,使区块链信息系统瘫痪。