区块链 安全指标要求与测试方法

1区块链安全指标要求与测试方法本文件规定了区块链安全相关的术语和定义，区块链平台及应用的安全评价指标和评测方法。本文件适用于以产品形式交付的区块链系统及平台，也适用于技术可行的开源区块链系统的研发、测试、评估和验收等2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件GB/T42570—2023信息安全技术区块链技术安全框架GB/T42571—2023信息安全技术区块链信息服务安全规范JR/T0184—2020金融分布式账本技术安全规范3术语和定义GB/T42570-2023、GB/T42571—2023、JR/T0184-2020界定的以及下列术语和定义适用于本文件。区块链blockchain将区块顺序相连。并通过共识协议、数字签名、杂凑函数等密码学方式保证的抗篡改和不可伪造的分布式账本。具有特定功能的区块链组件，可独立运行的单元区块链中通过数学算法实现不同节点之间对交易达成一致的方法。[来源：GB/T42570—2023,定义3.9]智能合约smartcontract2YD/XXXX-XXXX存储在分布式账本中的计算机程序，由区块链用户部署，其任何执行结果都记录在分布式账本中。智能合约的一种执行环境，在虚拟机中执行智能合约可获得确定性的一致结果和一致的资源消耗。崩渍容错crashfaulttolerance系统在故障的情况下，自动恢复或用其他方式保证系统正常运行。拜占庭容错byzantinefaulttolerance部分共识节点产生任意软件错误、硬件错误、被网络敌手攻击时，共识协议仍然具有可证明安全性。[来源：GB/T42570-2023,定义3.双花doublespending区块链或分布式账本中，通证或加密资产的控制权被错误地转移多次的行为。[来源：GB/T42571—2023,定义3.节点伪造多个身份产生多个备份，以较少的备份削弱账本一致性的攻击方式.攻击者通过侵占节点的路由表，将足够多的虚假节点添加到被攻击节点的邻居节点集合中，从而将被攻击节点隔离于正常区块链网络之外下列缩略语适用于本文件。CA:证书颁发机构(CertificationAuthority)DDoS:分布式拒绝服务攻击(DistributedTLS:传输层安全协议(TransportLayerSecurity)UTXO:未花费的交易输出(UnspentTransnctionOuput)YD/TXXXX-xxXX6.4数据保密性区块链系统/平台宜具备对特定或敏感数据隐私保护的能力。指标要求包括：a)区块链系统/平台应根据应用需求，对特定或敏感数据进行加密存储，提供隐私数据的授权访问能力：b)区块链系统/平台宜对用户信息的收集范围、保存时间、访问控制、公开展示等过程采用最小化原则处理：c)区块链系统/平台宜对重要数据进行数据隔离：d)区块链系统/平台宜支持常用的隐私保护技术，如同态加密、零知识证明、多方安全计算等。7密码算法安全评价指标区块链系统/平台及平台使用的密码算法应实现数据的机密性、完整性、真实性7.2密码算法要求区块链系统/平台应使用主流的密码算法，以及推荐使用的算法参数。指标要求包括：a)在数据需要进行签名/验签或者非对称加密时，支持采用主流算法：b)在数据需要计算区块/交易哈希时，支持采用主流哈希算法：c)在数据需要采用对称算法提供保密安全时，支持采用主流算法。7.3密钥强度要求区块链系统/平台使用的密钥强度保证足够的抗攻击性。指标要求包括：a)区块链系统使用的密钥强度应具备足够的抗攻击性，建议安全强度宜不低于128位b)区块链系统宜支持密钥升级。7.4私钥管理安全区块链系统/平台应保证私钥在生成、传输、使用等过程的安全。指标要求包括：区块链系统应具备基于软件或硬件的密钥管理方案。8共识安全指标要求区块链系统/平台在交易、区块上链的共识阶段，保证交易或区块数据不可篡改、真实区块链网络中参与共识的节点在数据共识一致的前提下，满足异常容错、抗攻击的要求指标要求包括：a)应提供节点容错能力，即在部分节点异常的情况，保持系统的正常稳定运行，其中容错能力包括但不限于：拜占庭容错、故障容错、系统崩溃容错等：YD/TXXXX-xxXX智能合约的使用方使用正确的调用方式，以保证智能合约交互的安全性。指标要求包括a)合约之间存在如转账、调用等交互行为时，合约之间应定义好函数接口等交互方式b)外部用户或应用与智能合约交互时，智能合约宜对部署、查询、调用等用户的输入行为做严格检查；c)合约中的核心逻辑宜不依赖区块链系统中的信息作为参数；d)合约可对区块链存储状态做出预先定义好的更改。10管理运维安全评价指标管理运维保障各个节点、用户和账本数据的安全可用，包括节点安全管理，账号管理安全，用户管理安全。权限管理安全和可审计等。10.2节点认证安全区块链系统/平台通过数字证书或数字签名机制来确认区块链节点的身份，区块链系统中的非只读节点支持授权访问。指标要求包括：a)应对登录节点主机和运行容器的用户进行身份标识和鉴别：b)应通过网络完成的节点身份认证。认证过程的网络通信应加密：c)许可链的各个节点宜通过监管方认证并授权后才能加入与退出网络。10.3账户管理安全区块链系统/平台账户通过授权的方式进行访问。指标要求包括：a)对于改变区块链系统、应用状态(如发起交易等任意写操作)的操作，用户应通过口令或密钥等方式向区块链系统/平台证明自己身份；b)宜通过网络完成的账户身份认证。认证过程的网络通信应加密：)对不同的账户的权限宜做好分级分类管理。10.4用户管理安全区块链系统/平台的非只读节点支持不同权限的用户身份。指标要求包括：a)应启用访问控制功能，依据安全策略控制用户对资源的访问；b)宜根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；o)宜实现操作系统与状态数据库特权用户的权限分离；d)宜严格限制默认帐户的访问权限，宜重命名系统默认帐户，并修改帐户的默认口令。10.5权限管理安全区块链系统/平台针对不同角色的权限应进行分类管理，权限包括用户管理权限、云资源权限和区块链系统权限。指标要求包括：a)云资源权限应包括对云资源的创建、删除、修改、设置等操作的权限。为用户组添加云资源权限，将用户加入用户组，可以使用户继承用户组的权限：b)区块链系统的系统管理和使用权限，宜通过CA证书来进行管理，管理权限包括链代码管理，节点管理等，使用权限包括客户端访问区块链系统权限：7YD/XXXX-XXXXc)用户管理权限可管理用户、用户组及用户组的权限，实现用户及用户组的创建、删除、修改和为用户授予相应的权限。10.6数据可审计区块链系统/平台具备关键数据和操作记录可审计的能力。指标要求包括：a)审计范围应覆盖到节点主机上的每个操作系统用户和状态数据库用户；b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)应保护审计进程，避免受到未预期的中断；d)应保护审计记录，避免受到未预期的删除、修改或覆盖等；e)审计记录宜包括事件的日期、时间、类型、主体标识、客体标识和结果等；f)宜能够根据记录数据进行分析，并生成审计报表11.1入网身份管理11.1.1节点组网准入管理测试项目b)披露节点准入机制，如：证书准入、共识准入等：c)创建新节点，加入已有的区块链网络：d)验证符合准入机制的新节点的加入情况：e)验证不符合准入机制的新节点的加入情况。a)披露内容详尽；b)符合准入机制的新节点加入网络成功；c)不符合准入机制的新节点加入网络失败。11.1.2用户准入管理测试项目a)披露用户准入机制，如注册审批，系统分配。用户证书等；b)按照准入机制，新建用户，展示新用户的角色和权限：c)演示符合准入机制的新用户权限内功能的操作过程；d)演示不符合准入机制的新用户的操作过程，展示错误提示。a)披露内容详尽：b)符合准入机制的新用户加入区块链网络成功，并成功执c)不符合准入机制的新用户加入区块链网络失败。11.2通信安全防护测试项目b)展示加密协议的配置信息：c)抓包验证加密报文的加密协议和版本号。a)披露内容详尽；b)抓包结果和披露内容一致。测试项目b)展示加密协议的配置信息；c)抓包验证加密报文的加密协议和版本号。a)披露内容详尽：b)抓包结果和披露内容一致。测试项目a)披露受测系统交易防篡改的机制；b)截获客户端签名后的交易：c)慕改交易内容，如交易金额、交易签名等：d)发送寡改后的交易到节点：e)验证交易执行结果。a)披露内容详尽：b)交易失败，并给出相提示，演示与披露一致。测试项目a)披露DDoS攻击防护方案(实现方案不限于底层链),如限b)发起DDoS攻击，并触发DDoS攻击的防护机制：c)验证系统DDoS防护方案的有效性，验证方式如监控网络访问情况等：d)记录系统同步交易或区块的延时情况。a)披露内容详尽，DDoS防护方案生效；测试项目a)披露账本数据的存储方式及防篡改机制：b)篡改单个节点的账本数据：c)新节点加入网络，从被篡改数据的节点数据同步：d)验证新增节点同步过程中，具备数据校验能力。a)披露内容详尽；b)新增节点发现数据被篡改，并给出相应提示。测试项目b)演示验证，篡改链上状态数据，如账户余额、合约状态数据等：c)发起与被篡改数据相关的交易：d)查询交易执行结果：e)验证恢复被慕改的状态数据的能力。a)披露内容详尽：b)链上数据篡改成功：c)执行与被篡改数据相关的交易时，系统给出相应警告：测试项目a)披露受测系统的数据恢复机制；c)验证数据恢复机制，如从其他节点同步区块数据。a)披露内容详尽：b)受测系统成功恢复完整的数据。测试项目a)披露敏感数据隐私保护方案；b)敏感数据上链前进行加密处理，如脱敏、加密等；c)查询敏感数据。a)披露内容详尽：b)查询到的结果为脱敏后的数据或密文数据。测试项目隐私数据授权访问a)披露隐私数据的访问授权策略：b)查询未授权的数据：c)查询已授权的数据。a)披露内容详尽；b)查询未授权的数据，无法查看结果；c)查询已授权的数据，得到正确结果。测试项目a)披露数据隔离方案，如通道、子链等；b)构造数据隔离场景，如创建多个通道或子链；c)验证数据隔离的有效性。a)披露内容详尽：b)数据隔离方案有效，如不同通道或子链的数据无法互相访问。测试项目算法：示代码截图：c)演示算法实现过程。a)披露内容详尽：b)相关材料真实有效：c)代码演示符合披露内容。测试项目国密算法支持能力a)披露受测系统支持的国密算法：b)展示支持国密算法的种类、使用的类库，如代码截图、配置文件：入网络。a)披露内容详尽：b)展示内容与披露信息一致：c)国密证书可正常使用。测试项目区块链系统已正常运转一段时间机制：b)注册用户，申请私钥，并查看私钥申请结果及存储信息：d)使用新注册的用户发起一笔交易，并验证交易执行结果。a)披露内容详尽；c)私钥存储形式为密文存储，无法被非法获取：d)传输过程使用密文传输的方式，如安全通信协议、原文加密；e)交易执行成功。测试项目a)披露基于硬件的私钥管理方案及支持的硬件型号；b)接入至少一台硬件设备，生成私钥；c)使用生成的私钥，执行一笔交易；d)验证交易执行情况。a)披露内容详尽：b)通过硬件设备，生成私钥成功：测试项目a)披露受测系统的共识机制和故障容错数量的理论值：b)模拟节点故障，故障节点数量达到理论值：c)发起一笔合法转账请求：d)发起一笔非法转账请求，如非法签名、金额超限。a)披露内容详尽：b)合法转账请求共识成功；c)非法转账请求共识失败。测试项目以及共识流程的完整展示；b)根据披露内容，演示验证受测系统的拜占庭容错节点发送转账交易：3)输出交易执行结果；b)在正常节点查询第一笔交易请求成功；测试项目对措施：b)持续向受测系统发送交易：c)模拟任意共识节点的时钟异常，如调整服务器时间：d)验证受测系统发送、接收交易及出块情况。a)披露内容详尽；b)受测系统正常发送、接收交易；c)受测系统正常出块。11.7.4网络抖动的共识容错能力(可选)测试项目网络抖动的共识容错能力a)以一定压力，持续向受测系统发送交易：b)模拟限制特定节点的网络带宽，将带宽限制在正常情况的10%以下：c)验证受测系统发送、接收交易及出块情况。a)受测系统正常发送、接收交易：b)受测系统正常出块。测试项目a)披露共识节点切换方案，如主节点或出块节点；b)持续向受测系统发送交易；c)触发节点切换；d)验证受测系统发送、接收交易及出块情况。a)披露内容详尽：b)节点切换成功：c)受测系统正常处理交易并出块。测试项目“双花攻击”防范UTXO账本模型：非UTXO账本模型：a)基于同一账户同时发起两笔转账请求，且两笔金额总和大于账户余额：测试编号11.8.1测试项目a)披露合约访问的权限控制：b)演示验证具有合约访问权限的用户合约操作，如部署、调用：c)演示验证没有合约访问权限的用户合约操作，如部署、调用。a)披露内容详尽；b)具有合约访问权限的用户合约操作成功；c)不具有合约访问权限的用户合约操作失败。测试项目a)披露系统对资源消耗的检测机制，如监控、限制、预防机制；b)虚拟机对异常的检测；如栈溢出、循环调用等。1)创建检测合约，合约中包含死循环的方法：2)部署被测合约，调用死循环方法；3)查询各节点状态和区块hash。a)披露内容详尽：b)虚拟