DB53-T 1237-2024 区块链跨境贸易电子认证服务应用指南

ICS35.240CCSL7953IDB53/T1237—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。DB53/T1120《区块链跨境贸易服务应用指南》、DB53/T1121《区块链域名解析服务应用指南》DB53/T1237《区块链跨境贸易电子认证服务应用指南》、DB53/T1238《区块链跨境数据流动服务应用指南》等共同构成支撑云南省区块链产业发展的地方标准体系。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由云南省区块链和数字科技标准化技术委员会（YNTC27）提出。本文件由云南省区块链和数字科技标准化技术委员会（YNTC27）归口。本文件起草单位：云南财经大学、云南省科学技术院、中国电子标准化研究院、中国（云南）自由贸易试验区昆明片区管委会、昆明经济技术开发区管理委员会、中国电子口岸数据中心昆明分中心、云南电子商务发展中心、云南农优科技有限公司。本文件主要起草人：宋智明、余益民、陈韬伟、赵进一、李鸣、赵文、李强、宋俊蓉、王会源、王景艺、杨潜、黄兴鑫、段正泰、薛云红、刘建业、彭超、王贵文、林金海、陈宗懿、叶奕、温珍颖、舒涵、余厚辉、叶灿、任志鑫、闫恩华、高建、王国荣、冯艳、代灵浩、朱贲、何丰泽、丁雯、袁园、刘丹、张秋、储瑜谷、邹李鞠灵、李翠萍。1DB53/T1237—2024区块链跨境贸易电子认证服务应用指南本文件规定了区块链跨境贸易电子认证服务的应用框架、服务原则、相关方和关键过程。本文件适用于组织和机构建立、实施、保护和改进区块链跨境贸易电子认证服务，也为使用区块链跨境贸易电子认证服务功能的相关应用提供参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。DB53/T1120区块链跨境贸易服务应用指南DB53/T1121区块链域名解析服务应用指南ISO22739:2024区块链和分布式账本技术-词汇（Blockchainanddistributedledgertechnologies—Vocabulary）3术语和定义DB53/T1120、DB53/T1121、ISO22739界定的术语和定义适用于本文件。3.1跨域认证cross-areaauthentication不同安全域下的实体对象之间建立信任关系的协议及操作。3.2智能合约smartcontract存储在分布式记账技术系统中的计算机程序，该程序的任何执行结果都记录在分布式账本中。[来源：ISO22739：2024，3.88]3.3分布式账本预言机distributedledgertechnologyoracle使用区块链分布式账本外的数据更新分布式账本数据的服务，其通常包括链上智能合约预言机和链下预言机服务。[来源：ISO22739：2024，3.32]3.4分布式身份标识decentralizedidentifier由特定格式的字符串组成的，用来代表特定实体的数字身份。2DB53/T1237—2024[来源：DB53/T1121-2022，3.9]3.5分布式身份标识文档decentralizedidentifierdocument一组用来描述分布式数字身份实体的数据，其中包括分布式身份标识、公钥和描述实体的其他属性或声明，分布式数字身份持有者可以通过该文档来证明其身份。[来源：DB53/T1121-2022，3.10]3.6可验证凭证verifiablecredential可验证凭证是现实世界中物理凭证的一种数字化表现形式，其通过电子签名保证可信及可识别，一个凭证可以包含一个或者多个声明。[来源：DB53/T1120-2022，3.3]4缩略语下列缩略语适用于本文件：VC：可验证凭证（VerifiableCredential）DID：分布式身份标识（DecentralizedIdentifier）5应用框架区块链跨境贸易电子认证服务应用的实施依赖于平台，平台宜包括相关方和关键过程，见图1，应用场景详见附录A。相关方包括服务使用方、身份服务方、技术支持方和平台管理方。关键过程包括区块链服务层、安全服务层、区块链身份层、认证基础服务层、电子签名服务层、电子认证服务层、应用服务层。区块链跨境贸易电子认证服务应用原则包括最少信息披露原则、认证过程安全可信原则、过程可追溯原则、可管理原则和技术中立原则。3DB53/T1237—2024图1区块链跨域电子认证服务应用平台架构6服务原则6.1最少信息披露原则跨域电子认证实体对象在向区块链跨域电子认证平台提交所持有的数字证书和VC，以证明自己的身份属性时，宜采取相关的隐私保护技术保障数字证书和VC中记录的身份属性信息隐私安全，实现身份属性信息的最少披露。6.2认证过程安全可信原则4DB53/T1237—2024区块链跨域电子认证平台提供的认证服务宜确保安全和可信，认证服务宜由链上智能合约实现。当使用链下签名和验签密码服务器实现认证时，宜使用链上智能合约预言机与其通信，并对认证发起过程和返回结果进行存证。6.3过程可追溯原则区块链跨域电子认证平台的所有操作和数据宜采用区块链分布式账本进行存证，存证内容需要包含时间戳和操作者的数字签名，以保证操作行为和过程的可追溯。6.4可管理原则区块链跨域电子认证平台的所有操作和数据都宜可管理，管理宜遵守跨域认证的政策规定。6.5技术中立原则区块链跨域电子认证平台宜支持不同国家和地区的签名和验签密码算法，接受可以确保跨域主体对象身份可信鉴别、签名和行为操作不可否认作用的各类电子认证技术。7相关方7.1服务使用方需要跨越不同信任域开展跨境贸易的自然人、企业和机构。7.2身份服务方针对服务使用方签发身份证明的企业或机构。身份证明包括数字证书、VC及其他包含电子签名的身份证明文件。7.3技术支持方对跨境贸易电子认证平台进行建设、管理和维护的企业或机构。7.4平台管理方对平台进行管理和监督的企业或机构。8关键过程8.1区块链服务层8.1.1区块链网络定义区块链网络定义时宜：a)按需要定义或选择区块链网络的区块链类型、共识机制、密码算法及存储方式等；b)建立完善的区块链网络服务，包括跨域认证智能合约服务、跨域认证链上智能合约预言机及链下预言机服务、认证和操作行为存证服务、证书相关信息存储和更新服务、数字身份服务、数据合规性检查服务、数据互操作及多语言服务等；c)建立跨链机制，支持不同区块链系统之间的数据共享和交互。5DB53/T1237—20248.1.2智能合约部署智能合约的部署宜具备以下功能：a)提供编程语言支持及配套开发环境；b)支持智能合约内容静态和动态检查；c)支持多方共识下的智能合约内容升级，以满足证书相关信息存储和更新；d)对于与区块链系统外部数据进行交互的链上智能合约预言机，外部数据源的影响范围宜仅限于智能合约范围内，不应影响系统的整体运行。8.1.3共识与密码算法服务根据不同业务需求，可选择适用的共识算法来实现共识机制，同时，根据所处的应用行业选择适用的密码算法。共识及密码算法功能组件宜具备以下功能：a)支持多个节点参与共识和确认；b)防止任何独立的共识节点未经其他共识节点确认，记录或修改区块链信息；c)跨域认证区块链平台底层密码体制宜支持国家商用密码算法，并兼容国际密码算法；d)跨域认证区块链平台中节点的私钥宜支持硬件、软件及第三方密钥存储等多种方式。8.1.4分布式账本预言机服务分布式账本预言机服务根据业务需求宜具备以下功能：a)与链下时间戳服务器交互的能力，以为链上验证和存证业务提供标准可信的时间服务；b)与链下签名和验签异构密码服务器交互的能力，为链上可信数字证书验证提供异构密码服务，以适应跨信任域数字证书认证；c)与链下可信身份源接口交互的能力，为VC的颁发提供可信身份源认证。8.2安全服务层8.2.1操作行为上链操作行为的上链宜包括：a)区块链跨域电子认证平台所有相关操作的行为上链；b)操作行为的上链信息需要操作者进行电子签名。8.2.2时间戳服务时间戳服务可由区块链平台或专用时间戳服务器提供。若采用专用时间戳服务器提供时间戳服务，宜采用分布式账本预言机保障链上链下数据的一致性。8.2.3异构密码服务异构密码服务可由区块链智能合约或专用密码服务器提供。若采用专用密码服务器提供异构密码服务，宜采用分布式账本预言机保障链上链下数据的一致性。8.3区块链身份层8.3.1区块链地址生成服务使用方可采用区块链钱包（见8.7.1）生成其区块链地址。6DB53/T1237—20248.3.2分布式身份标识创建服务使用方可采用区块链钱包基于区块链地址创建其分布式身份标识及分布式身份标识文档。8.3.3自主权数字证书创建服务使用方采用区块链钱包创建自主权数字证书，并将数字证书公钥写入分布式身份标识文档。自主权数字证书宜包括国密算法数字证书和国际算法数字证书。8.3.4身份证明绑定身份使用方将身份服务方颁发的数字证书、VC及其他包含身份服务方电子签名的身份证明文件与其分布式身份标识进行绑定，并将绑定关系上链。8.4认证基础服务层8.4.1电子认证规则库创建身份服务机构可独立或会同其他相关方共同通过区块链平台创建电子认证规则库。8.4.2电子认证算法库创建身份服务机构可独立或会同其他相关方共同通过区块链平台创建电子认证算法库。8.4.3电子认证智能合约部署身份服务机构可独立或会同其他相关方在区块链平台上部署电子认证智能合约。8.4.4电子认证预言机设置身份服务机构可独立或会同其他相关方，以设置身份服务机构的业务系统与区块链平台对接的电子认证分布式账本预言机。8.5电子签名服务层8.5.1贸易合同电子签名贸易合同签约各方可使用各自自主权数字证书私钥对贸易合同顺序进行国密算法和国际算法电子签名，经全部签约方进行电子签名的贸易合同宜交各方自行保存。8.5.2贸易合同存证贸易合同签约各方可自行对贸易合同进行上链存证，并由区块链平台出具相应的贸易合同存证证书。贸易合同存证证书宜包括贸易合同名称、贸易合同各方DID、贸易合同哈希值、贸易合同存证地址、存证方DID、时间戳、区块链存证节点电子签名等。8.5.3贸易单证电子签名贸易单证签发机构可使用其自主权数字证书私钥对贸易单证进行国密算法和国际算法电子签名，并经安全信息通道传递给贸易单证所有者保存。8.5.4贸易单证存证7DB53/T1237—2024贸易单证签发机构可对贸易单证进行上链存证，并由区块链平台出具相应的贸易单证存证证书。贸易单证存证证书宜包括贸易单证名称、贸易单证所有者DID、贸易单证哈希值、贸易单证存证地址、贸易单证签发机构DID、时间戳、区块链存证节点电子签名等。8.6电子认证服务层8.6.1验证者身份认证贸易文件验证者宜将其DID提交区块链平台，区块链平台采用智能合约对贸易文件验证方身份进行核验，确保贸易文件验证方是其提交DID的持有者。核验过程宜包括获取DID文档、读取对应DID公钥、验证私钥拥有权及返回验证结果等。8.6.2贸易文件电子签名验证贸易文件验证者宜将需要进行验证的贸易文件电子签名提交区块链平台，区块链平台采用区块链智能合约对电子签名进行核验。验证过程宜包括获取电子签名方DID文档、读取对应DID公钥、验证电子签名及返回验证结果等。8.6.3贸易文件存证证书验证贸易文件验证者宜将需要进行验证的贸易文件存证证书提交区块链平台，区块链平台采用区块链智能合约对存证证书进行核验。验证过程宜包括获取存证证书电子签名对应的区块链节点公钥、存证方发起的存证交易验证、存证证书电子签名验证及返回验证结果等。8.7应用服务层8.7.1区块链钱包区块链钱包是服务使用方管理其数字身份及密钥，与区块链平台交互及实施电子认证的身份管理服务终端系统。区块链钱包的密钥管理可采用密码卡、U盾、手机盾、加密文件及托管等多种形式。8.7.2时间戳服务器时间戳服务器可为跨境贸易电子认证提供统一的时间戳服务。8.7.3电子签章服务器电子签章服务器可为跨境贸易电子认证提供经过分布式账本预言机保障的链下电子签章服务。8.7.4电子认证服务网站电子认证服务网站可为无区块链钱包的用户提供与区块链平台交互的电子认证服务。8DB53/T1237—2024区块链跨境贸易电子认证服务应用的典型场景A.1贸易订单的确认跨境贸易实体对象利用各自DID进行贸易订单确认的流程图如图A.1所示。采用区块链跨境电子认证服务完成贸易订单的确认流程为：a)A国和B国两国的跨境贸易实体对象分别接入区块链平台；b)A国和B国两国的跨境贸易实体对象采用各自区块链钱包生成其区块链地址、DID及DID文档，并将DID文档上链存储，其中，DID文档中包含了国家商用密码算法生成的公钥和国际主流密码算法生成的公钥，并且这些公钥都与同一个DID进行绑定；c)B国进口商向A国出口商下达了采购订单，进口商和出口商交换各自的DID；d)A国出口商在企业内部信息系统制作销售订单，并利用其DID的私钥对销售订单进行电子签名，由于涉及跨境贸易，签名算法以国际主流密码算法为主；e)A国出口商将签名后的贸易订单发送给B国进口商确认，B国进口商利用A国出口商的DID到区块链平台查询对应的DID文档，并从DID文档获取对应的国际主流密码算法的公钥，利用公钥在分布式身份标识认证智能合约中验证销售订单电子签名的有效性；f)B国进口商验证贸易订单的电子签名有效性后，利用其DID的私钥再对贸易订单进行电子签名；g)B国进口商将签名后的贸易订单发送给A国出口商确认，A国出口商利用B国进口商的DID到区块链平台查询对应的DID文档，并从DID文档获取对应的国际主流密码算法的公钥，利用公钥在分布式身份标识认证智能合约中验证贸易订单电子签名的有效性，以进行跨境贸易合同的签署等操作。图