信息化觀察網(wǎng)

區(qū)塊鏈技術應用于數(shù)字金融、物聯(lián)網(wǎng)、智能制造、供應鏈管理、數(shù)字資產交易等多個領域，在建設網(wǎng)絡強國、發(fā)展數(shù)字經濟、助力經濟社會發(fā)展等方面發(fā)揮著積極作用。區(qū)塊鏈中的節(jié)點認證、節(jié)點組網(wǎng)、交易背書、交易驗證、節(jié)點間共識、區(qū)塊生成、賬本同步等功能的實現(xiàn)與安全保障依托于密碼技術。為落實密碼法精神，服務國家信息安全戰(zhàn)略，由鼎鉉公司牽頭制定的深圳市商用密碼行業(yè)協(xié)會團體標準《T/SCCIA 010-2020區(qū)塊鏈密碼應用驗證規(guī)范》于2020年6月11日發(fā)布，該標準適用于具有完備區(qū)塊鏈功能的聯(lián)盟鏈平臺，指導區(qū)塊鏈的密碼應用驗證、設計和開發(fā)，保障密碼在區(qū)塊鏈中的合規(guī)、正確、有效應用。

區(qū)塊鏈密碼應用驗證

區(qū)塊鏈密碼應用驗證主要是通過工具驗證、材料核查、模擬驗證等方法對區(qū)塊鏈中的信息加密、身份認證、隱私保護等功能展開測試，旨在驗證區(qū)塊鏈中密碼應用的合規(guī)、正確、有效，保障區(qū)塊鏈密碼應用安全，支撐區(qū)塊鏈應用穩(wěn)步、安全、健康發(fā)展。

1、區(qū)塊鏈密碼應用技術架構

區(qū)塊鏈密碼應用驗證根據(jù)區(qū)塊鏈中密碼應用技術特點，提煉出區(qū)塊鏈密碼應用技術架構，如圖1所示。

圖1區(qū)塊鏈密碼應用技術架構

a）密碼設備層：

該層是包含密碼算法，能實現(xiàn)一種或多種密碼安全功能的芯片或密碼模塊的集合，可為密碼功能層提供標準調用接口。主要包括密碼機、加密卡、時間戳服務器、簽名驗簽服務器、VPN、軟件密碼模塊、智能密碼鑰匙等。

b）密碼功能層：

該層通過調用密碼設備層接口，實現(xiàn)密碼功能并為密碼應用層提供密碼服務。主要包括密碼算法、密碼協(xié)議、公鑰基礎設施和密鑰生命周期管理。

c）密碼應用層：

該層通過密碼功能層提供的密碼服務確保區(qū)塊鏈平臺基本功能安全。主要包括用戶和節(jié)點身份管理、通信安全、賬本存儲、交易安全、共識算法、智能合約、預言機、隱私保護、日志管理等。

2、測試內容

區(qū)塊鏈密碼應用驗證重點測試密碼功能層和密碼應用層兩大部分，包括13個測評項，102個測評指標。

a）密碼功能層：

驗證區(qū)塊鏈平臺密碼功能層各種密碼功能和服務接口實現(xiàn)和使用的正確性。

b）密碼應用層：

驗證區(qū)塊鏈平臺密碼應用層各種密碼應用使用密碼技術或其他合法方式實現(xiàn)數(shù)據(jù)機密性、完整性、真實性保護的正確性和有效性。主要測試項見圖2。

圖2區(qū)塊鏈密碼應用測試項

3、測試流程

圖3區(qū)塊鏈密碼應用驗證流程

4、適用范圍

區(qū)塊鏈技術完全基于密碼學技術，其核心技術使用了大量的傳統(tǒng)的加密技術。如果要保障區(qū)塊鏈技術應用的安全性，有必要對所有區(qū)塊鏈產品的密碼功能層和密碼應用層進行嚴格測試。