征求-粮食安全区块链追溯系统技术要求

1、ICS FORMTEXT 350.020CCS L 70 FORMTEXT FORMTEXT LS中华人民共和国 FORMTEXT 粮食行业标准 FORMTEXT LS/T FORMTEXT XXXXX FORMTEXT XXXX FORMTEXT FORMTEXT 粮食安全区块链追溯系统技术要求 FORMTEXT Technical requirement on food security blockchain traceability system (征求意见稿) FORMTEXT XXXX - FORMTEXT XX - FORMTEXT XX发布 FORMTEXT XXXX - FOR

2、MTEXT XX - FORMTEXT XX实施 FORMTEXT 国家粮食和物资储备局发布LS/T XXXXXXXXX I前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由国家粮食和物资储备局提出。本文件由全国粮油标准化技术委员会（SAC/TC 270）归口。本文件主要起草单位：国家信息中心、国家粮油信息中心、国家粮食和物资储备局江苏局、山东省粮食和物资储备局、江苏省粮油信息中心、北京国贸东孚工程科技有限公司、电子科技大学、河南工业大学、南京财经大学、北京工业大学。本文件主要起草人：宦茂盛、李素云、丁振兴、张驰、卜轶彪、高巍、李剑

3、、王涛、夏琦、甄彤、曹杰、任昱晨、田晓春、满雨桐、臧传真、赵璧、李建强、董滨、李德燕。PAGE 粮食安全区块链追溯系统技术要求范围本文件从各种视角给出了采用区块链技术建立粮食安全追溯体系的总体技术要求，包括总体技术架构、业务功能要求、系统接口要求、智能合约要求、共识机制要求、数据要求、基础组件要求、基础设施要求、运维管理要求、安全审计要求。本文件适用于指导粮食生产、储备、流通和消费等环节的关键信息存证建设，以及粮食安全追溯体系相关信息系统的规划、设计与开发。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注

4、日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 20271-2016 信息安全技术 信息系统安全通用技术要求GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求LS/T 1713-2015 库存粮食识别代码ISO 22739:2020 区块链与分布式账本技术 词汇术语和定义下列术语和定义适用于本文件。资产 asset对相关方有价值的任何标的。来源：ISO 22739:2020，3.1区块 block由区块数据和区

5、块头组成的结构化数据。来源：ISO 22739:2020，3.2区块数据 block data由零、交易信息或交易信息的外围信息共同组成的结构化数据。来源：ISO 22739:2020，3.3区块头 block header结构化数据，包含上一个区块（如有）的加密链接（即哈希值），还可以包含时间戳、只使用一次的随机值，以及其他分布式分类账技术（DLT）平台的具体数据（如对应交易记录的哈希值）。来源：ISO 22739:2020，3.4区块链 blockchain使用密码技术链接将共识确认过的区块按顺序追加形成的分布式账本。来源：ISO 22739:2020，3.6共识 consensus分布式

6、账本节点间达成的协议，即交易已验证并且分布式账本包含已验证交易的一致性集合和顺序。来源：ISO 22739:2020，3.11共识机制 consensus mechanism为达成共识所采用的规则和程序。来源：ISO 22739:2020，3.12哈希值 hash value通过加密哈希函数输出的字符串。来源：ISO 22739:2020，3.39智能合约 smart contract存储在分布式账本系统中的计算机程序。来源：ISO 22739:2020，3.72角色role一组服务于共同目的活动的集合。来源：GB/T 32399-2015库存粮食识别代码 identification cod

7、e of stock grain标记一个货位粮食的唯一标识符。来源：LS/T 17132015，3.1总体技术架构基于区块链的粮食安全追溯系统由应用层、接口层、智能合约层、共识层、数据层、基础组件层、基础设施层、运行与运维管理体系和安全管理体系组成，参考如图1所示，其中：应用层：为各用户方提供粮食安全信息上链、库存粮食汇总统计、库存粮食监督管理、粮食质量安全查询和粮食质量安全追溯等应用功能；接口层：包括应用接口和管理接口，主要用于完成功能模块的封装，为应用层提供简洁的调用方式；智能合约层：包括以代码实现的智能合约以及虚拟机、解释器等运行载体，负责将区块链系统的业务逻辑以代码的形式实现、编译并部

8、署，完成既定规则的条件触发和自动执行；共识层：负责协调保证全网各节点数据记录一致性，可使用的共识算法包括RAFT、PAXOS、PBFT、BFT等；数据层：包括数据获取、数据预处理和数据上链等，负责交易的收集、打包成块、合法性验证以及将验证通过的区块上链；基础组件层：包括网络发现、数据收发、密码库、数据存储和消息通知，为区块链系统网络提供通信机制、数据库和密码库；基础设施层：包括计算资源、存储资源和网络资源，为上层提供物理资源和计算驱动，是区块链系统的基础支持；运行与运维管理体系：负责对区块链体系结构中其他部分进行管理和负责区块链系统的日常运维工作；安全管理体系：负责保障区块链系统的安全运行。图

9、1 粮食安全追溯区块链总体技术架构业务功能要求粮食安全追溯体系业务功能是面向区块链服务用户方、服务提供方等角色主体，从粮食收购、质检、出入库、库存、销售、加工等各环节对质量安全追溯过程提出具体要求，包括粮食安全信息上链、库存粮食汇总统计、库存粮食监督管理、粮食质量安全查询、粮食质量安全追溯。其中：区块链服务用户方：指涉及区块链事务处理的各方主体，包括粮食行业各级行政管理部门、粮食生产与流通过程中的各级各类企业主体，如市场监管部门、粮食收购企业、粮食储备企业、粮食加工企业、粮食销售企业、粮食金融机构等。区块链服务提供方：指提供区块链系统构建、追溯信息查询、追溯信息存证和维权等服务的个人、企业或团

10、体等主体，包括区块链服务运营管理者、区块链服务部署管理者、区块链服务管理者、区块链服务业务管理者、区块链服务支持者、区块链跨链服务提供者、区块链服务安全和风险管理者等。粮食安全信息上链功能要求粮食安全信息上链应满足以下功能要求：数据抽取：从约定的信息系统或特定的数据来源渠道，采用直接抽取或智能化采集等方式，对约定上链的数据进行采集或提取，约定上链的数据必须是真实和准确的；数据预处理：按照标准格式或相关要求，对约定上链的数据进行标准化处理和合法性校验；数据目录服务：提供数据目录的发布、查找、浏览、更新等服务；数据上链：通过共识机制，对约定的上链数据打包成为一个新的区块,并且链接到前面的区块,成为

11、链上不可篡改的数据。数据发布：按区块链系统要求提供数据发布服务；数据批量上传：提供批量数据上载发布服务功能。库存粮食汇总统计功能要求库存粮食汇总统计应满足以下功能要求：数据下载：提供批量数据从链上下载到本地数据库的服务；数据发现：提供上链数据的数据查找、定位功能；数据统计：提供上链数据的统计功能；数据浏览：提供数据本地化浏览服务；数据分析：提供数据的概率分析、回归分析等功能；可视化展示：提供通过表格、图表、GIS、动画等通用可视化表达服务。库存粮食监督管理功能要求库存粮食监督管理应满足以下功能要求：数据本地化查询浏览：提供数据本地化查询浏览服务；数据关联查询：提供依托库存粮食识别代码关联的其他

12、信息查询服务；AI服务：提供库存粮食粮情监测状态判断及业务干预功能；粮食质量安全查询功能要求粮食质量安全查询应满足以下功能要求：信息查询：支持基于库存粮食识别代码的信息及关联信息查询；结果反馈：提供查询结果反馈服务；信息下载：提供查询信息下载服务；人机交互：提供人机交互功能，提供常规QA服务、收集投诉建议信息等服务。粮食质量安全追溯功能要求粮食质量安全追溯应满足以下功能要求：关联信息查询：支持基于库存粮食识别代码的信息及关联信息查询；结果反馈：提供查询结果反馈服务；信息下载：提供查询信息服务；人机交互：提供人机交互功能，提供常规QA服务、收集投诉建议信息等服务。系统接口要求面向粮食安全追溯体系

13、系统接口用于完成功能模块的封装，为应用层提供简洁的调用方式。通过基于区块链的粮食安全追溯体系接口，将体系内部应用层的服务请求、体系外部的业务应用与新增网络节点的接入请求转化为具体的操作请求，并由相应的区块链技术组件完成具体操作，为整个体系提供应用支撑和管理支撑类服务。基于区块链的粮食安全追溯体系提供的接口分为应用接口和管理接口两大类：应用支撑接口：为粮食安全信息上链、库存粮食汇总统计、库存粮食监督管理、粮食质量安全查询、粮食质量安全追溯等应用层业务应用提供应用支撑类接口，包括信息新增、信息查询、信息认证、信息下载、签名服务、验签服务、加密服务、解密服务等。管理支撑接口：为区块链网络节点管理、用

14、户管理提供相应的管理支撑类接口，包括用户身份认证、区块链功能许可授权、网络节点接入、网络节点管理等。基于区块链的粮食安全追溯体系接口在整个体系和外部系统的位置关系如图2所示。图2 基于区块链的粮食安全追溯体系接口参考模型智能合约要求面向粮食安全追溯体系智能合约定义区块链各用户方的权利和义务，负责将区块链系统的业务逻辑以代码的形式实现、编译并部署，完成既定规则的条件触发和自动执行，最大限度的减少人工干预。智能合约机制应满足以下功能要求：应提供智能合约运行的载体，如虚拟机、解释器等；宜支持多方共识下的合约升级功能。智能合约执行的环境宜与网络、文件系统或者其它进程隔离，代码执行仅限合约范围内；智能合

15、约环境宜具有一定程度的代码审查功能，防止代码缺陷引发的安全隐患；应检查外部调用函数的安全性；智能合约应包含容错和异常终止功能，同时具有运行时间及资源占用可控性。共识机制要求面向粮食安全追溯体系共识机制负责协调保证全网各节点数据记录，确保区块链网络中各节点对事务或状态的验证、记录、修改等行为达成一致。区块链系统中的数据由所有节点独立存储，在共识机制的协调下，共识层同步各节点的账本，从而实现节点选举、数据一致性验证和数据同步控制等功能，使区块链系统具有信息透明、数据共享的特性。共识算法应满足以下功能要求：应能够在参与共识的节点互不信任的基础上达成共识；应支持节点独立进行算法运算，不依赖任何其他节点

16、数据和状态；应保证各节点对上链数据打包区块的计算能收敛并达到最终一致性；应声明在一定规模的节点环境下达成共识所需的理论时间；应有明确的抗恶意攻击指标；提供算法版本配置管理机制；应保证当任意不超过区块链平台声明数量的节点发生故障，整个系统工作正常；应能抵御重放攻击，网络上任意节点获取用户请求消息之后，重放会执行失败；应提供防止消息篡改的验证机制；共识算法的效率，如吞吐量、并发数、响应时间、算力消耗等，应能满足指定业务场景的要求。数据要求区块数据负责区块链系统的信息存储，应采用一种按时间顺序存储的块链式数据结构将上一个区块的签名嵌入到下一个区块中组成块链式数据结构，使数据完整性和真实性得到保障。上

17、链的区块数据包括账户数据、配置数据和区块数据，其中区块数据包括区块头和区块体两部分，区块头主要由区块相关的控制信息组成，区块体由一条或多条事务数据组成，每一条事务数据至少包含实体数据和智能合约数据。各类数据具体描述如下：区块头：指描述区块相关的控制信息，主要包括上一个区块的哈希值、本区块体的哈希值和时间戳等。事务数据：指描述区块链系统上承载的具体业务动作的数据，包括粮食生产数据、粮食收购数据、粮食质检数据、粮食入库数据、粮食储存数据、粮食出库数据、粮食销售数据、粮食轮换数据、粮食物流数据、粮食加工数据。实体数据：指描述粮食收购、质检、出入库、库存、销售、加工等各环节具体事务的静态属性的数据。智

18、能合约数据：指描述事务的动态处理逻辑的数据，包括处理逻辑的可执行代码以及处理逻辑的执行结果。账户数据：指描述区块链事务的实际发起者和相关方的数据，通过区块头与区块数据进行关联，包括账户公钥、账户私钥、账户资产、数字证书、账户所属机构等。配置数据：指区块链系统正常运行过程中所需的配置信息，包括共识协议版本号、软件版本号和节点配置信息等。基于区块链的粮食安全追溯数据模型见图3。图3 基于区块链的粮食安全追溯数据模型基础组件要求面向粮食安全追溯体系基础组件实现区块链系统网络中信息的记录、验证和传播，包括网络发现、数据收发、密码库、数据存储和消息通知。基础组件应满足以下功能要求：网络发现：提供网络发现

19、功能，区块链系统上每个节点需要通过网络发现协议发现相邻节点，并与相邻节点建立链路。对于联盟链而言，网络发现协议还需要验证节点身份，以防止各种网络攻击。数据收发：提供事务广播、消息共识以及数据同步等数据收发功能。节点通过网络通讯协议连接到相邻节点后，通过数据收发功能完成与其他节点的数据交换。密码库：密码库为区块链上层组件提供基本的密码学算法支持，包括各种常用的编码算法、哈希算法、签名算法、隐私保护算法等，以及密钥的维护和存储。数据存储：根据数据类型和系统结构设计，提供关系型数据库和非关系型数据库等不同的数据存储模式。消息通知：为区块链中不同组件之间以及不同节点之间提供消息通知服务，包括消息的生成

20、、分发、存储等功能。基础设施要求面向粮食安全追溯体系基础设施提供区块链系统所需要的操作环境和硬件设施等运行环境，包括计算资源、存储资源和网络资源。基础设施应满足以下功能要求：存储：区块链系统网络中的每个节点都可以部署和使用，支持分布式部署或本地部署，能够高效、安全、稳定地提供数据编写和查询服务。计算：为区块链系统的运行提供计算执行能力，包括但不限于容器技术、虚拟机技术和云计算技术。网络：支持区块链系统与用户层和外部交互系统之间的通信。运行与运维管理要求面向粮食安全追溯体系运行和运维管理体系负责对区块链体系结构中其他部分进行管理，从粮食安全追溯区块链服务提供过程中的运营、监督、审计等管理过程提出

21、具体要求。运营管理功能要求运营管理应满足以下功能要求：提供区块链技术服务能力、智能合约、服务、API等的清单；提供异常和问题的发现和报告能力，并通过分析和处置流程管理这些异常报告。异常和问题可由区块链节点、运营方或用户发现和报告；应能够根据既定规则和所获取的监控数据，准确的发现、分析和预测区块链系统存在的问题；应能够根据症状的诊断结果和预设的告警阈值，及时告警；应建立完善的应急预案，在灾难发生时给相关处理人员精准的操作指导，帮助其完成灾难控制和系统恢复；应通过服务实现和访问接入的形式提供区块链系统服务交付能力。同时，还应设置必要的工作流程，确保相关交付单元按序交付；应提供节点的管理能力，包括生

22、命周期、性能、可用性等；应提供环境监控、日志管理等能力；监控功能应包括用于响应环境变化（如系统容量需求、错误分析结果等）的分析能力和自动化工具；应提供智能合约、节点等的软件升级和版本管理能力，包括节点和系统的代码基准和实现构件等；应提供区块链服务的定义、更新和访问策略及针对这些策略的管理能力，包括用于区块链服务本身及其使用的业务、技术、安全、隐私和认证等策略；应提供在用户及服务提供方运营系统、业务系统和跨链服务提供方的管理及业务功能的连接能力，负责根据请求建立与跨链服务提供者的连接，并传送相关的身份和认证信息。监督管理功能要求监督管理应满足以下功能要求：应具备完善健全的监管治理体系。通过事前准

23、入控制、事中权限控制、事后追溯等技术手段实现监管目标，保证记录不可篡改、可追溯与可稽核；支持监管机构加入区块链网络作为其中一个节点进行即时监管。监管节点可对数据完整性、有效性和流程合规性进行即时的监督与稽核，并对异动交易进行干预，封停有非法行为的业务；监管干预活动相关的数据和证据应进行完整记录和保存；设置明确的监管治理规则，应同时支持由人参与监督管理的、无法用技术自动实现的规则，并鼓励充分利用智能合约等技术有效支持智能化的监管操作，提供可自动化实现的监管规则；保存与服务、资源、性能相关的数据和证据。这些数据和证据包括协议所有相关方的活动和运营环境条件的记录和日志，应按照GB/T 20269第5

24、.5节、GB/T20271第4.3节等相关国家标准的规定，以安全的方式收集和维护。审计管理功能要求审计管理应满足以下功能要求：应实施完善的日志管理系统，以便安全地捕获、存储、管理、审核和审计应用程序日志；要捕获的日志应包括记录所有基础设施组件（例如服务器、防火墙、虚拟机和网络设备等）以及所有应用系统和服务；对日志的访问应该是受控制的，明确定义角色，防止以任何形式修改或篡改或删除日志；应能够在检测到特定事件（如错误或数据库故障）时生成通知和警报，以提醒相关支持人员；应记录由特权账户执行的所有活动，包括系统管理员、审计员、数据库管理员、网络管理员和任何其他管理员账户。安全要求通用要求基于区块链的粮

25、食安全追溯体系安全保护能力级别定级要求遵循GB/T 22239-2019第5.2节的要求，安全通用能力要求和安全扩展能力要求遵循GB/T 22239-2019第5.3节的要求，安全技术设计遵循GB/T 25070-2019第5.1节的要求，并根据粮食安全追溯体系安全保护能力级别选择GB/T 25070-2019第6-10章应遵循的具体设计要求。涉密信息处理原则涉密信息处理依据国家信息安全分级保护的基本要求，按照中华人民共和国保密法、涉及国家秘密的信息系统分级保护管理办法，及其他国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，实施信息安全分级保护的强制执行制度。商业秘密信息处理原则

26、为保证基于区块链的粮食安全追溯体系中多方参与者商业秘密的安全性，需要对上链的敏感数据进行加密保护。在需要进行数据共享的场景下，需要通过安全可靠的通信链路执行数据的授权操作，授权前需要对被授权人进行身份认证。参 考 文 献1 国务院关于建立健全粮食安全省长责任制的若干意见（国发201469号）2 中国区块链技术和应用发展白皮书（2016）（工业和信息化部）3 区块链白皮书（中国信息通信研究院20162020年度）4 分布式应用账本白皮书（中国区块链技术和产业发展论坛2017）5 区块链平台基础技术要求（中国软件行业协会团体标准 T/SIA 0072018）6 区块链 参考架构（中国区块链技术和产

27、业发展论坛标准 CBD-Forum-001-2017）7 区块链 数据格式规范（中国区块链技术和产业发展论坛标准 CBD-Forum-002-2017）_中华人民共和国粮食行业标准粮食安全区块链追溯系统技术要求（征求意见稿）编制说明标准编制组2022年6月粮食安全区块链追溯系统技术要求编制说明工作简况2019年9月，国家信息中心牵头，联合国家粮食和物资储备局信息化推进办、国家粮食和物资储备局江苏局、山东省粮食和物资储备局、江苏省粮油信息中心、国贸工程设计院、电子科技大学、河南工业大学、南京财经大学、北京工业大学的专家，向全国粮标委粮食储藏及流通分技术委员会申报基于区块链的粮食安全追溯体系标准

28、第1部分：总体框架基于区块链的粮食安全追溯体系标准 第2部分：接口规范基于区块链的粮食安全追溯体系标准 第3部分：区块数据规范行业标准立项。经过立项评审，申报的3项拟立项行标合并，标准名称确定为：粮食安全区块链追溯系统技术要求。2020年11月，国家粮食和物资储备局办公室下达了关于下达2020年第一批粮食行业标准制修订计划的通知（国粮办发2020403号）文件，根据文件要求，粮食安全区块链追溯系统技术要求正式立项，由国家信息中心牵头起草该标准。起草阶段任务下达后，标准起草组及时组织开展该标准的制定工作。2021年1月，标准起草组首先就标准起草组成员、组织形式、工作机制、标准具体研究内容、研究范

29、围、时间安排、任务分工及其它事项达成了一致意见，并于1月14日召开了标准研制工作启动会。启动会邀请了来自国家粮食和物资储备局信息化推进办、国家粮食和物资储备局江苏局、山东省粮食和物资储备局、江苏省粮油信息中心、国贸工程设计院、北京工业大学、电子科技大学、河南工业大学、南京财经大学等不同领域的领导、专家和学者，审议了标准草案稿，共提出修改意见31条，采纳25条。经修改完善，形成了标准内部征求意见稿。征求意见阶段2021年6月27日，标准起草组又组织来自国家粮食和物资储备局信息化推进办、国家粮食和物资储备局江苏局、山东省粮食和物资储备局、江苏省粮油信息中心、国贸工程设计院、北京工业大学、电子科技大

30、学、河南工业大学、南京财经大学的领导、专家和学者对标准征求意见稿进行内部技术研讨，共收集修改意见20条，采纳17条，部分采纳3条。经进一步修改完善，于7月中旬形成标准征求意见稿。标准编制原则和主要内容标准编制原则本标准编制的基本原则有：（1）规范性原则本标准编制根据GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的要求进行制定，严格按照GB/T 1.1-2020规定的标准结构、层次、标准文本的组成要素等方面的要求进行格式编排，做到格式的规范性。（2）兼容性原则本标准的编制在遵循国家关于信息安全技术的安全管理、安全技术、数据库管理、网络安全等系列标准的前提下，结合粮

31、食行业关于粮食安全追溯体系的具体业务、服务、管理需求进行研制。（3）一致性原则本标准所规定的粮食安全区块链追溯系统技术要求，在国家粮食和物资储备局关于统筹推进粮食和物资储备信息化建设的指导意见的指导下进行梳理，立足当前需求的前提下并考虑“十四五”期间粮食和物资储备信息化工作发展规划，进行统筹考虑，与国家相关政策法规保持一致性。标准主要内容粮食安全区块链追溯系统技术要求的主要内容包括以下几个方面：标准体例要求的要素部分，包括第1章范围、第2章规范性引用文件、第3章术语和定义。第4章总体技术架构：给出了粮食安全区块链追溯系统的总体技术架构，包括应用层、接口层、智能合约层、共识层、数据层、基础组件层、基础设施层、运行与运维管理体系和安全管理体系等。第5章业务功能要求：包括粮食安全追溯业务功能的具体要