1、 ICS 35.240 CCS L 70 37 山东省地方标准 DB37/T 44312021 基于 区块 链的 企业 开办 可信 服务 平台 技术 规范 Technical specification for enterprise establishment trusted service platform based on blockchain 2021 - 11-17 发布 2021-12-17 实施 山 东省市场 监督管理 局 发 布 DB37/T 44312021 I 目 次 前言 . II 引言 . III 1 范围 . 1 2 规范性引 用文件 . 1 3 术语和定 义 . 1
2、4 缩略语 . 2 5 应用需求 . 2 6 平台框架 . 3 7 平台技术 要求 . 4 7.1 基本要 求 . 4 7.2 区块链 基础设施层 . 4 7.3 数据资 源层 . 4 7.4 区块链 可信支撑层 . 4 7.5 业务支 撑层 . 6 7.6 业务应 用层 . 6 7.7 部门业 务办理系统 . 7 8 平台安全 要求 . 7 8.1 基本要 求 . 7 8.2 数据安 全要求 . 7 8.3 个人信 息保护 . 8 8.4 云平台 安全要求 . 8 附录 A (资料 性)区块链可信服务平台运营服务 . 9 A.1 政务联 盟链的创建 . 9 A.2 联盟节 点加入政务联盟链
3、. 9 A.3 政务联 盟链的使用 . 9 A.4 智能合 约开发部署 . 9 A.5 数字保 险箱开户 . 10 参考文献 . 11 DB37/T 44312021 II 前 言 本文件按照GB/T 1.12020 标准化工作导则 第1 部分:标 准化文件的 结构和起草 规则的规 定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由山东省工业和信息化厅提出并组织实施。 本文件由山东省信息标准化技术委员会归口。 本文件起草 单位:济南 高新技术产 业开发区管 理委员会、 山大地纬软 件股份有限 公司、山东 大学、 山东省区块链金融重点实验室、中国网络
4、安全审查技术与认证中心。 本文件主要起草人: 陈波、 孔兰菊、 姜巧巧、 杜金峰、 赵强、 孙德林、 周永喜、 崔立真、 钱进、 李 庆忠、肖宗水、闵新平、张玉波、韩慧健、杨峰、王媛。 DB37/T 44312021 III 引 言 目前在政务服务领域中, 企业开办过程存在数据跨部门传递不可信、 业务难协同等现象。 区块链技 术具有不可篡改、 公开透明、 追根溯源、 集体维护等优势, 利用区块链技术, 打造基于区块链的企业开 办可信服务平台, 创新区块链数据共享模式, 实现企业开办数据跨部门可信传递、 各部门业务在线协同 办理和管控, 对于推动 “企业开办一次办好” 等改革落地实施具有重要的应
5、用价值和作用, 对于区块链 政务服务创新应用具有重要促进作用。 区块链有公有链、 联盟链、 私有链三种应用模式, 其中联盟链是由特定的群体成立联盟组织、 共同 参与管理的区块链, 具有高性能、 多中心、 安全可靠等特性。 目前联盟链模式是企业开办应用的主要方 向, 各联盟组织在区块链技术构成的交易网络节点中进行交易, 构建了可信的企业开办协同体系, 实现 数据跨部门可信传递,通过智能合约自动执行,优化企业开办业务办理流程。 本文件基于区块链在企业开办应用场景的成功应用实践, 提出一套基于区块链的企业开办可信服务 平台技术实现路径和应用模式, 可为政务服务领域其他应用场景 (如工程建设项目审批、
6、 出生一件事等) 的区块链创新应用提供参考。 DB37/T 44312021 1 基于区 块链的 企业开 办可信 服务平 台技术 规范 1 范围 本文件规定了基于区块链的企业开办可信服务平台的总体框架、技术要求和安全要求等。 本文件适用于区块链在企业开办业务场景的应用,其他政务服务业务场景参考使用。 注: 本文件中的区块链指联盟链。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件, 仅该日期对应的版本适用于本文件; 不注日期的引用文件, 其最新版本 (包括所有的修改单) 适用于本 文件。 GB/T 222392019 信 息安全技
7、术 网络安全等级保护基本要求 GB/T 311672014 信 息安全技术 云计算服务安全指南 GB/T 34080.12017 基 于云计算的电子政务公共平台安全规范 第1 部 分:总体要求 GB/T 352732020 信 息安全技术 个人信息安全规范 GB/T 394772020 信 息安全技术 政务信息共享 数据安 全技术要求 GB/T 397862021 信 息安全技术 信息系统密码应用基本要求 DB37/T 34812018 政 务服务“一次办好”工作规范 第1 部分:总则 3 术语和定义 DB37/T 34812018界定 的以及下列术语和定义适用于本文件。 3.1 政务联盟链
8、government consortium blockchain 基于联盟链技术,由政务部门和相关机构共同搭建的区块链。 3.2 智能合约 smart contract 以数字形式定义的能够自行执行条款的程序。 注: 在区块链技术领域,智能合约是基于预定事件触发、不可篡改、自动执行的计算机程序。 3.3 可信主体 trusted subject 自然人或机构等主体经过认证后,在区块链上开通账户成为可信主体。 3.4 数字资产 digital asset 数据发行到区块链上, 进行确权及加解密、 签名形成的有价值的数据, 包括结构化数据和非结构化 数据等。 3.5 可信传递 trusted de
9、livery 数字资产在区块链上的授权传递方式,确保被授权用户得到权限内真实有效的数据信息。 DB37/T 44312021 2 3.6 联盟成员 alliance member 共同建设政务联盟链的机构和部门,提供基础设施、政务服务及业务规则等。 3.7 联盟节点 alliance node 组成政务联盟区块链的节点, 提供记账、 交易接入、 存储等服务, 可部署在政务云、 公有云、 私有 云等设施。 3.8 共识节点 consensus node 负责账本数据一致性的节点。 3.9 交易节点 transaction node 负责交易服务接入、交易构建的节点。 3.10 存储节点 stor
10、age node 负责数字资产存储的节点。 3.11 链端节点 chain-end node 一个区块链接入端,内置可信环境,提供交易发起与查询、交易签名、加解密等服务。 3.12 数字保险箱 digital locker 基于区块链技术,为可信主体提供电子资料存储、授权、交易等服务的应用。 3.13 上链 release on the chain 将电子资料上传到可信主体的数字保险箱。 3.14 企业开办 enterprise establishment 企业设立登记以及印章刻制、 社保登记、 医保登记、 住房公积金开户登记、 银行开户、 涉税办理等 后续业务的办理过程。 4 缩略语 下列缩
11、略语适用于本文件。 CA:证书颁 发机构(Certificate Authority ) ISV :独立软 件供应商(Independent Software Vendor ) 5 应用需求 基于区块链的企业开办可信服务平台的应用需求包括: a) 优化业务流程:需优化企业开办的业务办理流程,实现业务自动流转,缩减企业开办时间; b) 网络互联互通:需实现电子政务外网与企业开办相关业务专网的安全连接,实现互联互通; c) 数据可信传递:需实现企业开办业务数字资产的可信传递、共享使用; DB37/T 44312021 3 d) 业务协同机 制:需实现 在多部门间 构建可信的 业务协同办 理机制,实
12、 现企业开办 业务办理的 协同化、全程化和智能化; e) 数字资产不 可篡改:需 实现企业开 办数字资产 的不可篡改 、不可伪造 ,保证数字 资产的真实 可信。 6 平台框架 区块链企业开办可信服务平台( 以下 简称 “平台”) 由区块链基 础设施层、 数据资源层、 区块链可信 支撑层、业务支撑层、业务应用层组成,平台总体框架见图1 。 数字保险箱 业务申请人 业务受理人员 消息管理 区块链基础设施层 数据资源层 区块链可信支撑层 综合受理 统一出件 业务应用层 事项流程管理 职责权限管理 业务办理部门(审批)人员 数字资料 内容 审批信息 受理信息 监管信息 过程信息 业务支撑层 交易账本
13、可信主体 信息 共识节点 交易节点 存储节点 业务流程监管 营业执照申领 业务系统 印章刻制业务系统 涉税办理业务 系统 社保登记业务系 统 医保登记 业务系统 住房公积金开户 登记业务系统 银行开户在线 预约业务系统 区块链应用接口 流程执行 流程定义 数字资产发行 数字资产授权 数字资产委托 数字资产查询 部门业务办理系统 数据通 网络通 平台安全 数据安全 个人信息 保护 云安全 智能合约管理 成员管理 交易管理 资产管理 安全管理 运维管理 区块链核心支撑 主体管理 节点管理 交易服务 智能合约服务 监控服务 密钥服务 区块链开放服务 监管服务 政务云 联盟节点 加解密 摘要服务 图1
14、 平台框架 DB37/T 44312021 4 7 平台技术要求 7.1 基本要求 平台符合以下基本要求: a) 平台应与部门业务办理系统对接,实现数字资产在跨部门、跨领域、跨系统间的可信传递; b) 应能实现企业开办业务办理过程产生或所需电子资料的实时签发上链; c) 对于所需的已上链数字资产,应能实现自动从链上获取、共享共用; d) 业务申请人 应对提交资 料的真实性 负责,实体 资料或电子 资料提供方 应对上链数 字资产的真 实性负责; e) 应对数据存储、传输采取安全保障措施,保障数字资产的安全性、隐私性; f) 数字资产中的数字证照应符合电子证照国家标准规范的要求。 7.2 区块链基
15、础设施层 区块链基础设施层提供网络、计算、存储等基础支撑,符合以下要求: a) 共识节点: 基于共识算 法构建区块 ,对数字资 产、可信主 体、智能合 约等的状态 进行记账, 维护账本的一致性、不可篡改性等; b) 交易节点: 交易节点负 责验证链端 节点发起的 交易,并将 合法的交易 广播给共识 节点。交易 节点接收共 识节点构建 的区块,并 根据区块内 容执行交易 ,更新数字 资产、可信 主体、智能 合约的状态,为链端节点提供数据查询、节点路由等; c) 存储节点: 存储节点存 储数字资产 内容,包括 但不限于结 构化数据和 非结构化数 据,确保数 字资产高可用、不可篡改。 7.3 数据资
16、源层 数据资源层提供业务或交易数据的存储、管理等,符合以下要求: a) 受理信息:应存储受理的企业开办业务申请信息; b) 审批信息: 应存储企业 开办业务各 环节的审批 信息,包括 审批部门、 审批人员、 审批时间、 审批结果等,审批信息应实现上链存储; c) 过程信息:应存储企业开办业务过程中申请材料、出件材料的流转信息; d) 监管信息:应存储对企业开办业务办理进行监管的相关信息; e) 可信主体信 息:应存储 企业或自然 人的主体识 别信息,包 括企业基本 信息、企业 法定代表人 信息、自然人基本信息等,可信主体信息应实现上链存储; f) 数字资产内 容:应存储 企业开办业 务办理过程
17、 涉及的数字 资产内容, 数字资产内 容应实现上 链存储; g) 交易账本: 应存储数字 资产的发行 记录、授权 记录、使用 记录、状态 等信息,交 易账本应实 现上链存储。 7.4 区块链可信支撑层 7.4.1 概述 区块链可信支撑层包括区块链核心支撑、区块链开放服务和区块链应用接口。 7.4.2 区块链核心支撑 区块链核心支撑符合以下要求: DB37/T 44312021 5 a) 成员管理: 实现联盟成 员的准入申 请、准入审 核、操作权 限管理等。 其中操作权 限包括智能 合约管理权限、节点管理权限、主体管理权限; b) 主体管理: 实现企业、 自然人等可 信主体管理 ,包括数字 保险
18、箱开户 申请、许可 准入、操作 权限管理等;其中操作权限包括交易权限、智能合约发布权限、数字资产发行权限; c) 节点管理: 实现区块链 节点的准入 、准出等, 包括共识节 点、交易节 点、存储节 点、链端节 点等; d) 交易管理:实现交易构建、交易提交、交易确认、交易查询等; e) 资产管理:实现数字资产的定义、创建、查看,以及数字资产委托、授权、转移等; f) 安全管理:实现数字资产加密、授权使用及密钥安全托管等; g) 运维管理:实现配置管理、版本管理、监控服务管理等。 7.4.3 区块链开放服务 区块链开放服务符合以下要求: a) 交易服务: 基于区块链核心支撑层的交易管理功能, 为
19、区块链用户提供交易发送、 交易确认、 交易执行验证等; b) 密钥服务: 1) 密钥生成:实现对称及非对称的账户密钥生成、密钥更换、密钥多方备份/ 找回等 ; 2) 签名/ 验签: 实现私钥签名、公钥验签; 3) 托管服务: 构建多中心 的密钥安全 托管区,进 行密钥冷热 备份,保证 托管密钥安 全高可 用,同时提供 CA 证书、 口令等多种手段保证密钥数据的访问、使用安全。 c) 加解密:实现数字资产及交易的加解密; d) 摘要服务:实现数字资产、交易及区块的摘要计算; e) 智能合约服务:实现智能合约的编写、审核、部署、测试、更新升级等; f) 监控服务: 1) 节点监控:展示当前所有节点
20、的运行状态,提供节点信息查询服务; 2) 交易监控:展示一定时期内平台的交易数量及变化情况; 3) 账户监控: 实现联盟成 员账户、数 字资产账户 、智能合约 账户的监控 ,实时监测 账户数 量变化情况、一定时期内账户数量的变化趋势、账户类型、创建时间等; 4) 数字资产监控:实现各类数字资产的总量、增量、交易情况等的实时监控; 5) 信息预警: 通过分析监控数据, 实时掌握政务联盟链节点异动、 风险, 并即时做出预警。 g) 监管服务:实现监管接口接入,监管方可查看所有具有监管权限的数字资产的内容、交易。 7.4.4 区块链应用接口 区块链应用接口符合以下要求: a) 数字资产发行:有资产发
21、行权限的可信主体,可将电子资料上链存储; b) 数字资产授权: 1) 被授权可信主体通过授权可信主体的授权, 对授权可信主体的数字资产进行查看或使用; 2) 授权可信主体将数字资产推送至被授权可信主体的数字保险箱。 c) 数字资产委托: 1) 被委托可信主体通过委托可信主体的授权, 对委托可信主体的数字资产进行查看或使用; 2) 委托可信主体将数字资产推送至被委托可信主体的数字保险箱。 d) 数字资产查询: DB37/T 44312021 6 1) 获取数字资 产最新状态 :根据数字 资产账户唯 一标识获取 数字资产的 最新状态, 包括可 用、撤销、废除等; 2) 获取数字资 产最新交易 唯一
22、标识: 根据数字资 产账户唯一 标识获取数 字资产相关 的最新 一笔交易的交易唯一标识; 3) 获取数字资产授权码:根据数字资产账户唯一标识获取数字资产授权码; 4) 获取数字资 产内容:根 据数字资产 账户唯一标 识和数字资 产授权码, 获取可信主 体数字 资产的内容; 5) 获取数字资 产加密方式 :根据数字 资产账户唯 一标识获取 数字资产的 加密方式, 包括对 称算法加密方式、非对称算法加密方式等; 6) 获取数字资 产对称密钥 :根据数字 资产账户唯 一标识和主 体提供的账 户解锁密码 获取数 字资产加密的对称密钥。 e) 消息管理: 实现点对点 通信能力, 包括在线消 息的发送与
23、接收、离线 消息的存储 等。通信对 象包括自然人、企业、机构等可信主体,应覆盖移动端、电脑端等访问渠道。 7.5 业务支撑层 业务支撑层符合以下要求: a) 网络通:平 台应以电子 政务外网为 基础,采用 多种网络连 接方式与部 门业务办理 系统安全连 接,实现网络连通; b) 数据通:平台应通过程序接口或前端智能交互的方式,实现业务数据的共享利用; c) 流程定义: 根据企业开 办实际流程 ,事先将企 业开办涉及 的环节进行 串并联设计 ,并固化到 系统中; d) 流程执行: 企业开办业 务受理后, 按照事先设 计的流程自 动执行,实 现业务办理 的协同化和 智能化。 7.6 业务应用层 7
24、.6.1 综合受理 应实现企业开办业务申请的统一收件、受理,以及受理后向部门业务办理系统的自动分发。 7.6.2 数字保险箱 数字保险箱符合以下要求: a) 数字资产展示:实现按照数字资产类型展示数字资产; b) 数字资产查 看:实现数 字资产内容 的查看,包 括数字资产 照片、数字 资产信息描 述、数字资 产使用记录等,应支持数字资产查看与查看事由、时间关联,宜采用时间戳验证; c) 实现电子资料上链,应支持以下上链方式: 1) 权威机构签 发:对有实 体资料签发 权限的政府 部门或权威 机构,将实 体资料对应 的电子 资料签发到可信主体的数字保险箱; 2) 出件窗口签 发:经个人 、企业授
25、权 后,由统一 出件窗口将 个人、企业 的有效证照 、证明 材料等数字化后,签发到可信主体的区块链数字保险箱; 3) 业务办理部 门签发:个 人、企业在 办理业务时 提交的纸质 证照,经个 人、企业授 权后, 由业务办理部门将个人、 企业的纸质证照验证、 数字化后签发到可信主体的数字保险箱; 4) 个人、企业 签发:个人 、企业将纸 质证照数字 化后,连同 其他结构化 数据一起上 传,经 由政府部门 或专门职能 机构对上传 证照等数据 的真实性、 有效性审核 通过后签发 到可信 主体的数字保险箱; DB37/T 44312021 7 d) 支持数字资产的授权使用; e) 交易上链:对数字资产的
26、签发、授权等进行记账,形成交易账本; f) 消息提醒:如果数字资产授权没有及时处理,系统自动向用户推送提醒消息。 7.6.3 事项流程管理 事项流程管理符合以下要求: a) 事项清单管理;应基于事项清单要素,实现事项标准化办理等。事项清单要素参见 DB37/T 3448.42019 ; b) 管控流程管 理:应实现 业务办理部 门审批流程 环节的标准 化管理,包 括审批环节 以及审批环 节的输入信息、输出信息、共享信息、积累信息以及向服务对象推送的信息; c) 信息设置管理:应实现部门业务办理系统的输入、输出信息的设置管理。 7.6.4 职责权限管理 应实现各相关方的职责权限管理,包括部门、岗
27、位、人员、角色等。 7.6.5 智能合约管理 应实现智能合约按照业务定义,以及智能合约查询、修改、废止等管理。 7.6.6 业务流程监管 应实现企业开办业务流程监管,包括业务办理环节、业务办理时限、是否人工干预。 7.6.7 统一出件 应实现业务审批结果的数字化, 并签发到可信主体的数字保险箱, 包括电子营业执照、 社保告知单、 医保告知单等。 7.7 部门业务办理系统 部门业务办理系统实现企业开办办理过程中具体部门业务环节的审批、 办理。 应将部门业务办理系 统的网络、 数据打通后与平台对接, 包括营业执照申领业务系统、 印章刻制业务系统、 社保登记业务系 统、 医保登记业务系统、 住房公积
28、金开户登记业务系统、 银行开户在线预约业务系统、 涉税办理业务系 统等。 8 平台安全要求 8.1 基本要求 平台安全符合以下基本要求: a) 平台安全应符合GB/T 222392019 ; b) 平台应与部 署于信创云 之上的业务 系统相兼容 ,应具备身 份识别、访 问控制、安 全审计等能 力; c) 平台应支持国密算法,使用的密码算法应符合国家标准、行业标准的相关要求; d) 平台密码应用应符合 GB/T 397862021 的要求。 8.2 数据安全要求 平台数据安全符合以下要求: DB37/T 44312021 8 a) 平台与部门业务办理系统、 平台与其 他政务信息系统的数据交换安全
29、应符合 GB/T 394772020 的安全技术要求; b) 平台应具备持久化存储账本记录的能力,保证数据的可追溯性; c) 平台应具备向获得授权者提供真实数据的能力; d) 平台应对用户、应用的数据行为和重要安全事件进行审计。 8.3 个人信息保护 应采取措施保障平台个人信息, 平台个人信息应符合GB/T 352732020中 的个人信息安全相关规定。 8.4 云平台安全要求 当部署于云平台时, 云平台安全应符合GB/T 34080.12017 的要求, 基于区块链的企业开办可信服 务平台运营部门应符合GB/T 311672014的安全 要求。 区块链可信服务平台运营服务见附录A 。 DB3
30、7/T 44312021 9 A A 附录A (资料性) 区块链可信服务平台运营服务 A.1 政务联盟链的创建 政务联盟链的创建流程: a) 针对企业开办业务场景,梳理涉及部门,并对其业务办理量进行评估; b) 根据评估结 果并结合平 台运维机构 推荐的区块 链最低要求 配置,确定 硬件资源需 求。硬件资 源需求主要 包括共识节 点、交易节 点、存储节 点,各节点 间应保证网 络的互联互 通且稳定, 并应保障交易节点对外的带宽; c) 配置硬件资源; d) 进行区块链底层软件的部署及调试,完成政务联盟链的创建。 A.2 联盟节点加入政务联盟链 联盟节点加入政务联盟链的流程: a) 企业开办流程
31、中新加入流程事项,该事项所涉及的业务部门应向联盟链建设方申请准入; b) 联盟链建设方审核成员信息,对联盟成员进行相关信息的分配,完成准入; c) 针对应用场景、业务并发量、联盟成员情况等,进行摸底调研; d) 根据调研结 果并结合平 台运维机构 推荐的区块 链最低要求 配置,确定 硬件资源需 求。硬件资 源需求主要 包括共识节 点、交易节 点、存储节 点,各节点 间应保证网 互联互通且 稳定,应保 障交易节点对外的带宽; e) 配置硬件资源; f) 进行区块链底层软件的部署及调试。 A.3 政务联盟链的使用 政务联盟链的使用流程: a) 联盟链建设方输出标准的接口规范文档; b) 联盟链建设
32、方根据系统部署情况输出测试和正式环境访问地址信息; c) 部门业务办理系统 ISV 向联盟链建设方申请接入账户权限等信息; d) 联盟链建设方进行部门业务办理系统 ISV 接入 的审核,并协调联盟链建设方进行相应的账户 权限信息分配; e) 部门业务办理系统 ISV 按照业务需求和政务联盟链的接口交互规范,开发相应的对接系统, 完成系统对接。 A.4 智能合约开发部署 智能合约开发部署流程: a) 对要上链的 实体资料或 电子资料进 行调研,调 研内容包括 但不限于资 料应用场景 、各种操作 带来的资料状态变化、资料各相关数据字段的含义、资料生命周期、更新频率等; b) 根据调研情况,编制智能
33、合约规范文档; c) 按照智能合约规范文档,创建智能合约; d) 在测试环境进行智能合约操作的测试。测试无误后,升级为正式环境; e) 对正式环境的智能合约再次进行测试,测试通过发布智能合约; f) 数字资产使用过程中,持续收集数字资产的相关智能合约信息,及时更新智能合约。 DB37/T 44312021 10 A.5 数字保险箱开户 数字保险箱开户流程: a) 业务申请人 提交数字保 险箱开户材 料,包括法 定代表人身 份证、综合 受理人身份 证、企业基 本信息等; b) 经核准通过后完成数字保险箱的开户。 DB37/T 44312021 11 参考文 献 1 GB/T 329052016 信息安全技术 SM3 密 码杂凑算法 2 GB/T 329072016 信息安全技术 SM4 分 组密码算法 3 GB/T 329182016 信息安全技术 SM2 椭 圆曲线公钥密码算法 4 JR/T 01842020 金融分布式账本技术安全规范 5 JR/T 01932020 区块链技术金融应用评估规则 6 DB37/T 3448.42019 政务服 务平台 第4 部分:基础数据规范 7 山东省 人民政府关于持续深入优化营商环境的实施意见(鲁政字2020 67号)
