T∕ZGCMCA 021-2024 危险化学品数字身份通 用技术要求

危险化学品数字身份通用技术要求2025-02-07实施2025-02-07实施I 1范围 12规范性引用文件 13术语和定义 14缩略语 35数字身份编码 35.1编码原则 35.2数据结构 46数字身份生成与管理 46.1数字身份生成 46.2数字身份管理 57安全要求 87.1数据保密性 87.2数据脱敏性 97.3数据完整性 97.4系统安全与应急响应 8符合性测试 8.1测试内容 8.2测试方法 8.3测试报告 附录A(规范性)数字身份格式 A.1存证数据参数规范 A.2查询数据参数规范 附录B(资料性)分级实施指南 B.1分级划分 B.2分级实施要求 B.3分级评估与验收 参考文献 T/ZGCMCA程技术集团有限公司、上海网博网络科技有限公司、祥开瑞(深圳)智能安全技术有限公司、成都成飞应急救援指挥中心(眉山市减灾中心)、眉山职业技术学院(眉山技师学院)、四川省人工智公司、公诚管理咨询有限公司、中标政联咨询(北京)有限公司。本文件主要起草人：沈长军、桂勋、孙超、苏丽娟、张彬、谭轼、谢绍国、吴峥、李涛鸣、宋士T/ZGCMCA1本文件规定了危险化学品数字身份生成过程中的数字身份编码原则和数字结构、数字身份生成与管理，以及数字身份在生成、存储、传输、读取等环节的安全性、稳定性和可靠性等的技术要求。本文件适用于危险化学品生产、存储、运输、经营、使用及销毁全生命周期管理的数字身份的生成，为危险化学品创建唯一的电子身份编号。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T38155-2019重要产品追溯追溯术语GB/T41479-2022信息安全技术网络数据处理安全要求GB/T42752-2023区块链和分布式记账技术参考架构GM/T0054-2018信息系统密码应用基本要求3术语和定义下列术语和定义适用于本文件。主体在互联网中的以结构化数据或编码形式呈现的虚拟身份表示，关联了与该主体相关的全生命周期属性信息。根据对主体数字身份信息的评估，确定一个主体是否可以对资源实施指定类型的访问的过程。数字身份信息digitalidenti与数字身份关联的主体相关的属性信息。指通过数字技术手段，对危险化学品及其相关参与方的身份信息进行验证、识别和确认的过程。附加在数据单元上的一些数据，或是对数据单元做密码变换，这种附加数据或密码变换被数据单元的接收者用以确认数据单元的来源和完整性，达到保护数据，防止被人(例如接收者)伪造的目的。T/ZGCMCA021—20242用于承载危险化学品数字身份，具有授权访无需内置电源，通过外部设备(读写器、手机等)的射频信号或光学信号激活，实现数据读取与交存证唯一标识码uniqueidentif危险化学品的名称、危害分类、管控要求、安全操T/ZGCMCA021—20243API:应用程序编程接口(ApplicationProgrammingInterface)JSON:JavaScript对象表示法(JavaScriptObjectNotation)GHS:全球化学品统一分类和标签制度(GloballyHarmonizedSystemofClassificationandLabellingofChemicals)支持与其他编码体系(如危险化学品安全信息码、电子运单号)融合，实现“一码多查”,即一次T/ZGCMCA021—20244危险化学品的基本信息(如名称、类别、CAS号等)、危废信息、危险化学品运转流通信息等。具体业务数据内容和格式在满足附录A规定的前提下，可由业务主体根据需要自定义。标识数字身份所属的企业平台信息(企业名称、企业ID等),区分不同主体生成的数字身份。标识存储在区块链上的存证信息类别(如生产数据存证、运输数据存证等)。采用JSON格式封装的业务数据明细，用于在存证上链时存储危险化学品的详细业务信息。a)依据标准：应根据国家和行业相关规定，确定统一的数字身份编码结构和规则；b)明确含义：应明确编码中各部分的含义和组成方式，包括固定信息段和扩展段的具体内容及c)确保质量：应确保生成的每一个编码在格式和含义上具有唯一性、准确性和a)底层标识生成：采用密码哈希算法对危险化学品的关键属性(如化学品登记号、生产批次、企业ID等)进行计算，生成固定长度(如64位)的哈希值作为底层唯一标识。b)防篡改机制：结合区块链的时间戳和共识机制，在编码生成过程中引入防篡改和分布式校验c)查重校验：通过在区块链智能合约中自d)分层扩展设计：编码结构采取分层设计，支持根据需要扩展全生命周期的属性字段；新增字5a)全面收集：应全面收集危险化学品的详细信息，包括名称、成分、CAS登记号、危险性类别、物化性质、包装规格、生产信息及登记证号等。b)准确核验：数据采集应确保准确完整，并经过必要的核验程序。c)数据脱敏：针对敏感信息遵循“最小必要”原则进行处：d)对非必要敏感字段进行掩码或模糊化；e)对涉及隐私或商业秘密的数据采用哈希等不可逆方式脱敏(保留授权还原可能性);f)脱敏过程应留痕可追溯，并符合相关法律法规的合规要求。编码生成过程由平台自动化执行，具体流程如下：a)信息录入：企业将经整理和脱敏的危险化学品信息录入危险化学品管控数字身份认证平台。b)自动生成：平台按照预先定义的编码规则自动生成唯一的数字身份编码，并结合加密算法进行校验。c)存证上链：平台调用区块链网络中的存证智能合约，将关键数据写入链上保存。d)证书签发：根据链上返回的信息，平台自动生成危化品数字身份编码和数字证书。6.1.4赋码与标识企业应通过以下方式完成赋码与标识工作：a)规范印制：在危险化学品的最小销售单元或包装上，清晰、规范地印制或粘贴生成的数字身份码(如二维码或RFID电子标签)。b)实物绑定：通过赋码操作，将数字身份编码与实物包装唯一绑定。c)载体适配：针对特殊包装或运输方式，依据行业规范采用适当载体(如耐高温、防腐蚀标签或电子芯片)。有效性确认：赋码完成后，必须确认标签的可读取性和正确性，确保在各环节均可被正确扫描识别。6.1.5数据更新与维护全生命周期管理中的数据维护应遵循以下机制：a)及时更新：当成分、包装、危险性类别或企业信息发生变化时，企业应及时通过平台更新相关数据；b)关联追溯：更新操作应与原有数字身份编码关联，并通过区块链存证记录变更过程，形成可追溯的历史链条；c)监管检查：监管部门应定期检查企业登记数据，督促企业及时维护，确保“数实一致”;d)审核生效：建立数据变更审核机制，关键数据的修改由监管方审核确认后方可生效。6.1.6扫码与追溯数字身份系统应支持以下扫码与追溯功能：a)即时获取：在出入库、运输交接、使用等环节，相关方可通过扫码设备即时获取详细登记信b)应急定位：发生安全事故，通过数字身份码可迅速追溯定位化学品来源、批次、流转路径和c)动态响应：系统应记录扫码行为，当监管人员扫码时，自动将请求同步至区块链存证平台及监管系统。6.2数字身份管理危险化学品管控数字身份认证平台(以下简称“平台”)是数字身份体系的核心，应符合GB/T42752-2023的要求，各层通过标准接口交互，支持功能扩展和系统升级，支持与企业、监管部门系统进行数据对接，实现危险化学品信息在企业-平台-监管之间的联动，具体架构如图1所示。T/ZGCMCA021—2024公众/应急查询端手机扫码/小程序数据标准化与校验模型/字典/校验编码生成与唯一性校验(合约辅助)哈希/时间戳/去重/冲突检测授权与访问控制查询与追溯服务扫码/检索/聚合日志审计与监控行为留痕/告警/合规报表缓存/搜索/报表热点缓存/全文检索业务事件/存证调用(异步/同步)联盟链节点群共识/账本/隐私多方授信/授权策略合约授权规则/审计锚定/撤销存证智能合约(上链)哈希/时间戳/证据引用订单/批次/生产WMS/运输平台监管信息平台运单/到离仓对接/数据交换IoT标签/传感RFID/二维码生产/经营企业Web/APP/扫码器运输/仓储单位Web/APP/手持监管部门终端查询终端使用的接口，实现身份认证、数据填报、扫码查询等前端功能。平台业务层承载数据标准化处理、编码生成模块、身份认证与授权模块、数据查询服务以及系统管理等子模块等核心业务逻辑。通过区块链接口实现数据上链存证与链上验证，对外提供API接口供系统集成。区块链网络层基于联盟链或专有链构建，部署存证及多方授信等智能合约，用于记录关键身份数据、操作记录与权限策略。通过提供分布式存储与共识验证，确保数据不可篡改、全程可溯，建立多方信任。6.2.2管理功能要求数据标准制定平台应制定统一的危险化学品业务数据标准，规范原料、生产、储运、废弃处置等各环节的数据格式与字段定义，以实现全链条数据的标准化管理与交换。数字证书生成平台将企业提交的化学品业务数据通过智能合约上链存证，并据此生成唯一的数字身份编码及包含该编码与签名信息的数字证书，具体流程如图2所示。生成之后，企业应持续更新危险化学品信息以保持数字身份数据最新。-脱敏：依据场景最小必要脱敏(掩码/泛化/哈希)-形式：固定长度(如64位);预留扩展段(向后兼容)无冲突-组装数字身份编码：前缀(标准/企业)+主体段(UID)+扩展段(保留)+校验码-赋码到最小包装/运输单元-校验可读性(扫码通过率≥99%)与内容一致性-入/出库扫描绑定→物流/运输/使用节点事件上链-变更信息(成分/包装/状态)→审核后写链/版本化存在冲突alt写审计：拒绝[允许][缓存命中命中：脱敏后的基础信息返回查询结果(短路径)写审计：命中[缓存未命中]组装响应(按策略脱敏/字段过滤)返回查询结果(长路径)写审计：未命中终端(手机手持扫码器)平台API网关鉴权与策略服务(AB区块链节点/存证合约区块链节点/存证合约审计与日志审计与日志包装上的数字身份二维码，获取公开的危险化学品安全信息(如名称、主要危险属性、应急措施等)。危险化学品数字身份相关的敏感数据(化学品成分、生产工艺、储存条件、运输路线等)在存储和传输过程中应采用强加密算法进行防护，数据保密性措施应满足GB/T41479-2022中关9T/ZGCMCA021—2024所有对外接口与数据传输通道应采用TLS1.3及以上版本协议或国密算法传输加密。重要数据交换a)算法合规性：所采用的加密算法应符合国家密码管理部门的算法标准，不得仅依赖单一国际b)密钥强度：对称加密密钥长度不应低于256位，非对称算法密钥长度不应低于2048位，并应c)密钥管理：应建立完善的密d)前瞻性安全：在算法的兼容性和安全性方面，可考虑引入抗量子密码(Post-QuantumCryptography)技术，以应对未来量子计算对传统密码体系的潜在威胁。根据数据类型(标识、数值、位置等)采用掩盖、替换、区间化或哈希等适当技术。脱敏强度宜动b)跨部门共享仅保留监管必需信息并做强脱敏；危险化学品数字身份体系的运营方(如数据提供方、平台管理方)是数据脱敏的首要责任方，应制应定期核验危险化学品数字身份所关联的各项数据内部逻辑(如特性描述与分类代码是否相符)的用基于属性的访问控制(ABAC)策略，不同角色(生产商、承运商、监管方等)仅能访问其职能范围内T/ZGCMCAa)用户身份认证：可采用多因素认证(用户名密码+短信验证码/数字证书/生物识别)进行身份验证，认证信息(密码哈希、证书公钥)应安全存储并定期更新，防范身份冒用b)系统间身份认证：平台与外部系统交互时，应通过数字证书或OAuth等机制相互认证，确保用户访问危险化学品数未授权则拒绝访问，确保仅授权主体可获取信息。授权流程如图4所示。申请方数据拥有方授权中心区块链合约资源服务(1)提交访问申请(用途/范围/期限/字段)(2)审核最小必要性/合规(2a)驳回/说明(记录审计)[同意](3)生成策略草案P(主体/资源/操作/条件/时效)(4)签名并上链(创建/更新/撤销)(5)回执TxID/区块高(6)下发令牌/证书(含策路指针/TXID)(7)访问(Token,编码，操作=查询)(8A)取策略(缓存未命中)(9B)返回策略/撤销状态/有效期(10)评估：校验令牌匹配主体/条件一频控[允许](12A)200OK(脱敏数据)(13A)写审计：允许[拒绝](13B)写审计：拒绝(13C)写审计：限频par[撤销/到期事件链](14)撤销/变更策略请求(15)签名撤销并上链(16)回执/事件(17)推送事件或R轮询拉取(18)刷新缓存/黑名单→后续请求即时拦截申请方数据拥有方授权中心区块链合约资源服务应制定安全事件应急响应预案，明确处置流程。定期组织模拟演练(如数据泄露、系统入侵),确a)法律法规合规：系统的建设和运营-应符合国家关于危险化学品管理、网络安全及数据安全的b)等级保护要求：平台运营方应依据GB/T22239的要求，至少达到第三级别的安全防护水平。c)制度建设：建立完善的安全管理制度，明确管理人员和操作人员的安全职责，定期开展安全d)权限监控：对关键岗位实行严格的授权和监控，防范内部人员滥用数据结构字段完整性(必填字段)编码类型统一为UTF-8(或标准规定的其他编码),无乱码或非法编码唯一性标识缺失率为0%(任意一条必填字段缺失即判定为不达标)每类危害至少包含1项关键参数，缺失率≤2%。关键包装信息缺失率为0%;储存条件缺失率≤3附加信息完整性应急联系方式缺失率≤5%;更新时间戳(数据最后修订时间)缺失率为0%(需为有效时间格式)。与国家化学品登记中心数据匹配率≥99%(单字段错误≤1%)与GB30000系列标准或欧盟CLP法规匹配率≥97%来源标注完整率100%;通过区块链存证或据未被篡改(篡改率为0%)内部逻辑一致性不一致字段数≤1条/条数据(总样本中不一致率≤2%)描述与分类代码逻辑矛盾的字段数≤1条/条数据(总样本中矛盾率≤2%)时间戳逻辑关键字段匹配率≥95%(单字段错误≤5%)单操作响应时间单条数据录入/查询平均响应时间≤2s(90%置信度，样本量≥100次)批量操作响应时间批量导入(1000条/次)总耗时≤5min;失败率≤0.5%(因格式错误导致的失败不计入)并发查询性能100用户同时发起查询请求90%请求响应时间≤3s;超时率(响应≥500次/分钟(峰值场景下)资源利用率CPU利用率(峰值负载持续10min)内存利用率网络中断恢复(中断时间≤5min)自动重连并同步未完成操作，数据丢失率0%。从节点切换时间≤30s;业务中断时间≤10验证系统在长时间运行或极端条件下的可靠性，确保关键功能持续可用，指标T/ZGCMCA021—2024持续运行能力连续运行时间≥72h无崩溃、内存泄漏(内存占用波动≤10%)或数据丢失峰值负载(日均数据处理量120%)持(错误率≤0.1%)备份与恢复能力时间备份恢复时间≤2h;恢复后数据与原数据一致性≥过哈希值校验)。通过检查数字身份系统的设计文档、用户手册及企业内部管理制度等，核对文所有测试结果应记录并形成测试报告，对不符合项进行分类及风险评估。对码重复、数据泄露等),应整改并复测合格后方可判定平台符合要求。 (规范性)存证数据用于记录危险化学品业务数据上链存证的信息，其字段及格式如下表A.1所示：表A.1存证数据格式数据类型说明123存证数据类型，标识业务数据的类别(如生产、运输等)4JSON业务数据，封装危险化学品具体业务信息的JSON字符串5企业存证密钥，用于验证企业对存证数据的权限表A.2查询数据返回字段格式数据类型说明123当前状态(如在产、运输中、已销毁等)456追溯信息对象，可选字段，包含生产企业、流通注：查询结果以JSON格式返回，BasicInfo、Safety