ICS35.240CCSL70团体标准工业区块链身份鉴别技术要求Industryblockchain—Technicalrequirementofidentification2022-03-30发布2022-04-30实施中国电子工业标准化技术协会发布T/CESA1190—2022T/CESA1190—2022I版权保护文件版权所有归属于该标准的发布机构,除非有其他规定,否则未经许可,此发行物及其章节不得以其他形式或任何手段进行复制、再版或使用,包括电子版,影印件,或发布在互联网及内部网络等。使用许可可于发布机构获取。T/CESA1190—2022II目 次前言.....................................................................................................................................................................III1范围...................................................................................................................................................................12规范性引用文件...............................................................................................................................................13术语和定义.......................................................................................................................................................14缩略语...............................................................................................................................................................25系统架构...........................................................................................................................................................26业务流程...........................................................................................................................................................36.1数字身份标识符管理服务.......................................................................................................................36.2数字身份凭证管理服务...........................................................................................................................46.3数据维护...................................................................................................................................................57功能要求...........................................................................................................................................................57.1分布式数字身份标识符管理服务功能要求...........................................................................................57.2数字身份凭证管理服务功能要求...........................................................................................................57.3其他要求...................................................................................................................................................58接入规范...........................................................................................................................................................68.1接入要求...................................................................................................................................................68.2接入方式...................................................................................................................................................68.3接口协议.......................................................................................................................................................6T/CESA1190—2022III前 言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由东北大学提出。本文件由中国电子技术标准化研究院、中国电子工业标准化技术协会归口。本文件起草单位:东北大学、紫光中德技术有限公司、中国电子技术标准化研究院、紫光云引擎科技(苏州)有限公司、同济大学、河海大学、北京理工大学、广州赛西标准检测研究院有限公司。本文件主要起草人:于瑞云、李婕、韩清凯、龙海清、巴茵、郑杰、彭浩、丁志军、韩光洁、沈蒙、李鸣、刘冕宸、张雁、毛超逸、颜爱军。T/CESA1190—20221工业区块链身份鉴别技术要求1范围本文件规定了用于面向工业领域的区块链身份鉴别的技术要求,包括业务流程、功能要求、接入要求。本文件适用于工业领域基于区块链系统的设计、生产、集成与应用。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1数字身份digitalidentity由标识符和数字身份凭证组成的惟一身份标识。3.2分布式身份账本distributedidentityledger提供用户实体的分布式数字身份标识符及其公钥信息、数字身份凭证定义等分布式身份账本存储服务的责任主体。注:分布式身份协议节点通过共识机制共同维护一份相同的分布式身份账本。3.3分布式客户端distributedclient提供用户实体分布式数字身份标识符的管理服务接口,以及数字身份凭证的管理服务接口的责任主体。3.4数字身份凭证digitalidentitycertificate与工业领域用户实体相关联的身份属性声明集合。3.5身份载体identitycarrier提供存储用户实体在各个应用场景下的身份标识和身份凭证服务的责任主体。3.6T/CESA1190—20222用户实体userentity网络身份鉴别的获取者或/和使用者。注:用户包括工业领域中的工业系统或设备、工业领域业务或监管部门、安全管理人员、工业系统上下游单位、外部第三方(如银行金融机构)等,基于分布式数字身份获取相关信息,或进行相关操作。4缩略语下列缩略语适用于本文件。HTTP:超文本传输协议(HyperTextTransferProtocol)HTTPS:超文本传输安全协议(HyperTextTransferProtocolSecure)JSON:JavaScript对象符号(JavaScriptObjectNotation)ID:身份标识号(IdentityDocument)TCP/IP:传输控制协议/网际协议(TransmissionControlProtocol/InternetProtocol)5系统架构身份鉴别的区块链应用系统架构包括分布式数字身份账本、分布式身份协议节点、分布式身份客户端,见图1。其中:a)分布式数字身份账本用于存储针对用户实体身份鉴别相关的身份ID和数字身份凭证定义;b)分布式身份协议节点是连接分布式数字身份账本和分布式身份客户端的桥梁,用于接收用户实体分布式身份客户端的身份认证请求,通过分布式数字身份标识符的管理服务协议和数字身份凭证的管理服务服务协议共同管理数字身份,并提供基于隐私保护策略的身份数据存储方案;c)分布式身份客户端针对用户实体,提供身份鉴别相关的数字身份凭证管理、身份ID管理及消息通知等服务。图1用于身份鉴别的区块链应用系统架构分布式身份账本区块链身份ID分布式身份协议节点分布式身份客户端数字身份凭证的管理服务服务协议分布式数字身份标识符管理服务协议基于隐私保护策略的身份数据存储方案数字身份凭证定义个人用户企业物联网设备组织机构T/CESA1190—202236业务流程6.1数字身份标识符管理服务6.1.1服务描述分布式数字身份标识符的管理服务是指对分布式数字身份标识符进行全生存周期管理,主要包括分布式数字身份标识符的注册流程、验证流程、更新流程、撤销流程。6.1.2标识符注册分布式数字身份标识符的注册流程应包括以下步骤:a)用户实体通过分布式身份客户端生成各自的分布式身份标识符,同时生成该标识符对应的公私钥对,该标识符具有全局惟一性;利用自己私钥对生成的分布式身份标识符和时间戳进行数字签名生成签名信息,并将注册请求发送给分布式身份协议节点;b)分布式身份协议节点对收到该注册请求进行解析,得到注册请求中的签名信息、分布式身份标识符及公钥;然后利用解析得到的公钥对解析到的签名信息进行验签,如果验签通过,则生成包含分布式身份标识符和公钥信息的区块;如果验签不通过,则注册过程失败;c)分布式身份协议节点将生成的区块通过共识机制存储在分