TSCBA 003-2023 區(qū)塊鏈用戶密鑰管理規(guī)范

kkkkkkkkkkkICS35.240CCSL70kkkkkkkkkkk團 體 標 準T/SCBA 區(qū)塊鏈用戶密鑰管理規(guī)范SpecificationforUserKeyManagementofBlockchain2023-07-01發(fā)布 2023-07-20實施四川省區(qū)塊鏈行業(yè)協(xié)會 發(fā)布目 錄前 言 1范圍 1規(guī)范性引用文件 1術語和定義 1縮寫語 3密鑰應用架構 3終端密鑰管理 3密碼載體 3密鑰生成與存儲 4密鑰應用 4密鑰生命終止 4實名身份綁定 4身份服務機構 4身份綁定方式 4實名身份驗證 4密鑰托管服務 5服務主體 5服務內容 5服務系統(tǒng) 5服務安全 5監(jiān)管審計要求 5爛爛爛爛前 言本標準按照GB/T1.1—2020給出的規(guī)則起草。本標準由四川省區(qū)塊鏈行業(yè)協(xié)會標準化技術委員會提出并歸口。本標準起草單位：四川領鏈科技有限公司、豪符密碼檢測技術(成都)有限責任公司、嘉凱宇拓（成都本標準主要起草人：肖自信、徐順斌、安紅章、楊偉、鄧力涵、吳華、尹才敏、支紅杰、張晨曦、唐興、張開翔、胡章一、左川民。

T/SCBA003—2023范圍本文件規(guī)定了區(qū)塊鏈服務平臺的用戶密鑰管理規(guī)范，包括終端密鑰管理、實名身份綁定和密鑰托管服務三個方面的要求。本規(guī)范適用于指導區(qū)塊鏈用戶端，以及區(qū)塊鏈應用系統(tǒng)或第三方密鑰托管服務的密鑰管理方案的設計與實現。規(guī)范性引用文件GB/T37092-2018信息安全技術密碼模塊安全技術要求；GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求；GB/T25069-2010信息安全技術術語；GB/T22239-2019信息安全技術網絡安全等級保護基本要求；GB/T35273-2020信息安全技術個人信息安全規(guī)范；GB/T25058信息安全技術信息系統(tǒng)安全等級保護實施指南；GB/T25070信息安全技術信息系統(tǒng)等級保護安全設計技術要求；GB/T38561—2020信息安全技術網絡安全管理支撐系統(tǒng)技術要求；GM∕T0111-2021區(qū)塊鏈密碼應用技術要求；術語和定義GM∕T0111-2021、GB/T25069-2010、GB/T39786-2021界定的以及下術語和定義適用于本文件。3.1區(qū)塊鏈blockchain3.2區(qū)塊鏈服務平臺blockchainplatform在區(qū)塊鏈上對外提供上鏈存證、查詢驗證等服務的信息系統(tǒng)或軟件。3.31爛爛爛爛33T/SCBA003—2023交易transaction數字資產的一次轉賬或者對智能合約的一次調用。3.4合規(guī)性compliance3.5密鑰key控制密碼算法運算的關鍵信息或參數。3.6公鑰publickey非對稱密鑰對中可以公開的密鑰。3.7私鑰privatekey非對稱密鑰對中只能由用戶使用的不公開密鑰。3.8加密密鑰encryptionkey對密鑰進行加密保護的密鑰。3.9數字資產digitalassets以電子數據形式存在，持有者可以出售或者交換的有價資產。3.10智能合約smartcontract一套以數字形式定義的約定。3.11密鑰托管keyhosting以簽署協(xié)議的方式將密鑰托管給第三方可信服務廠商管理，并授權密鑰相關的操作權限。2kkkkkkkkkT/SCBA003—2023kkkkkkkkk縮寫語下列縮略語適用于本文件。CA（CertificateAuthority）證書認證機構密鑰應用架構區(qū)塊鏈用戶密鑰應用架構如下圖所示，主要包括用戶終端密鑰管理和密鑰托管服務兩種應用模式，以及實名身份綁定應用要求。圖1區(qū)塊鏈用戶密鑰應用架構終端密鑰管理：用戶通過密碼終端自行進行密鑰管理，并為密鑰管理承擔全部責任。密鑰托管服務：用戶委托第三方進行密鑰管理，通過協(xié)議方式將密鑰管理的權利與責任委托給第三方，以獲取統(tǒng)一的密鑰管理服務。實名身份綁定：依托可信身份服務機構對用戶進行實名身份鑒別，并通過數字證書等方式將用戶公鑰與實名身份進行綁定。終端密鑰管理主要規(guī)范用戶密碼終端的密鑰生成、存儲、應用、生命終止等相關要求。密碼載體用戶終端密鑰管理須依托密碼模塊進行；GB/T37092-20182級以上測評。T/SCBA003—2023密鑰生成與存儲用戶公私鑰對應在密碼模塊中生成及安全存儲；用戶私鑰不得以任何明文或密文形式暴露于密碼模塊安全區(qū)域以外的任何地方。密鑰應用應實施密鑰授權訪問，調取使用密鑰前應對用戶進行身份鑒別；密鑰應用所涉及密碼協(xié)議應通過安全證明；對關鍵密鑰應用操作應進行可靠記錄，支持審計。密鑰生命終止應使用密碼模塊生命終止流程清理或銷毀密碼模塊內的敏感信息（如敏感安全參數、用戶數據等）；在密鑰清理或銷毀前，應確認由此密鑰保護的數據信息不再需要。實名身份綁定主要規(guī)范身份服務機構為用戶提供實名身份綁定服務，及區(qū)塊鏈平臺進行實名身份驗證的相關要求。身份服務機構應為國家授權的身份服務機構（CA機構）；資質在有效期內；具有相應服務能力；應在區(qū)塊鏈平臺進行登記。身份綁定方式通過簽發(fā)數字證書的方式將用戶實名身份與用戶公鑰進行綁定；GB/T38561—2020信息安全技術網絡安全管理支撐系統(tǒng)技術要求》有關要求；綁定后應將有關身份信息上鏈存儲，上鏈信息應包括數字證書編號、發(fā)證機構、用戶區(qū)塊鏈公鑰信息；實名身份驗證區(qū)塊鏈平臺應支持通過提供標準智能合約查詢用戶身份綁定、記錄、綁定日志等信息；4T/SCBA003—2023區(qū)塊鏈平臺智能合約在接收交易申請時應確認用戶是否擁有合法身份證書。密鑰托管服務主要規(guī)范密鑰托管服務在服務主體、服務內容、服務系統(tǒng)、服務安全及監(jiān)管審計方面的要求。服務主體密鑰托管服務可以為以下類型主體：專門的第三方托管服務機構；由應用系統(tǒng)廠商提供密鑰托管服務。服務內容密鑰托管服務應支持以下對象托管：用戶密鑰托管：用戶密鑰包括公鑰、私鑰等，代理用戶進行密鑰有關操作；用戶數字資產托管：與用戶密鑰關聯的數字資產，代理用戶進行數字資產的保管、交易等操作。服務系統(tǒng)6部分終端密鑰管理所有要求；7部分實名身份綁定所有要求；3級測評和商用密碼應用安全性評估；密鑰托管系統(tǒng)應通過商用密碼產品檢測認證。服務安全密鑰托管機構應取得國家密碼管理局要求的有關資質；應與用戶簽訂服務協(xié)議，明確服務內容及相關安全責任界定；為用戶提供服務時，應進行用戶實名身份驗證；7*24小時正常運作；應具有數據、系統(tǒng)備份等措施，確保用戶資產安全性與可用性；應具有用戶資產密鑰更新等應急處理措施；應具有用戶身份鑒別、自主訪問控制、用戶數據保護、惡意代碼防范等技術能力。監(jiān)管審計要求應對用戶所有操作進行詳細日志記錄；參考文獻GMT0028-2014密碼模塊安全技術要求GB/T39786-2021信息安全技術信息系統(tǒng)密碼應用基本要求GB/T38561—2020信息安全技術網絡安全管理支撐系統(tǒng)技術要求[4GB/T25069-2010GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T25058信息安全技術信息系統(tǒng)安全等級保護實施指南；GB/T25070信息安全技術信息系統(tǒng)等級保護安全設計技術要求GB/T25069-2010信息安全技術術語GB/T35273-2017信息安全技術個人信息安全規(guī)范GM∕T0111-2021區(qū)塊鏈密碼應用技術要求中華人民共和國工業(yè)和信息化部.中國區(qū)塊鏈技術和應用發(fā)展白皮書，2016[12