T∕CERDS 21-2025 分布式数据资产存证网络系统通信协议

分布式数据资产存证网络系统通信协议中国企业改革与发展研究会发布 1范围 12规范性引用文件 13术语和定义 1 2 36符合性要求 7工作流程 88测试与验证 99业务处理过程 10协议跨域协作实施示例 参考文献 工Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国企业改革与发展研究会提出并归口。本文件起草单位：中国企业改革与发展研究会、中国第一汽车集团有限公司、中国移动通信集团有限公司、中国中车集团有限公司、中国电信集团有限公司、中国盐业集团有限公司、浚慧科技(北京)有限公司、华夏银行股份有限公司、清华大学五道口金融学院金融安全研究中心、上海财经大学财税投资学院、北京交通大学、中国质量认证中心有限公司、天翼支付科技有限公司、中国环境科学研究院、京东科技信息技术有限公司、浩鲸云计算科技股份有限公司、中节能大数据有限公司、中国电子工程设计院股份有限公司、陕西亿杰宛鸣科技有限公司、第伍要素(上海)数据科技有限公司、中节能数字科技有限公司、青岛华世洁新材料科技集团股份有限公司、华信(天津)数据科技有限公司、中国第一汽车集团进出口有限公司、中车信息技术有限公司、中车南京浦镇车辆有限公司、国家电力投资集团有限公司北京教育咨询发展中心、中交投数智科技(北京)股份有限公司、深圳联友科技有限公司、中国石油天然气股份有限公司勘探开发研究院、四川核瑞建设有限公司、中电科网络安全科技股份有限公司、华信咨询设计研究院有限公司、太极计算机股份有限公司、中汽智造科技(天津)有限公司、金证(上海)资产评估有限公司、赛讯数科(广东)技术有限公司、杭州电子科技大学、南京信息工程大学、中国(福建)自由贸易试验区厦门片区管理委员会、国信联合(北京)认证中心。周京、张岫、刘欢、张洋、马典锋、张静、苏更殊、于禄、马拂晓、于彦斌、张子明、王宇、毛亚斌、赵明、袁小梅、袁军、问梁军、魏荣桓、常亮、贺伟、林立、郭晓杰、熊雄、翟颖莉、肖洋、倪宝成、康玉麟、刘洋、任爽、罗剑锋、赵涛、尹峻峰、彭洁思、王世辉、王磊、许明月、张志燕、黄旌沛、沈乐阳、马达菲、聂智强、李海军、王宇皎、刘兴万、邓振、谢葳、杨雨晴、孙宏华、胡永力、刘小当前，分布式数据资产存证领域存在大量的“协议孤岛”,各企业或机构搭建的存证网络多采用自定义的存证网络通信协议，导致各存证网络间数据互访难、存证结果无法跨平台验证等问题。同时，不同存证网络的通信安全要求也各不相同，在密钥管理、身份认证等安全领域没有统一的标准，容易引发数据被篡改、隐私被泄露的重大事故。本文件着力解决这些痛点和问题，明确定义了分布式数据资产存证网络系统通信协议的结构(包含框架，从而大幅降低企业间的协同成本。本文件规定了各类组织组建、接入分布式数据资产存证(以下简称DDAN)网络系统通信协议的本文件适用于构建独立的DDAN网络系统，也可作为企业接入现有DDAN网络系统时，第三方对企业进行技术检测和接入工作的依据。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。内含一条或多条业务流程的数据处理程序，完成特定的行业或专业功能。由一个或多个进程及相应数据文件构成，进程间协同运行，处理结果保存至数据文件中。数据包/数据片packet/piece不超过硬件MTU尺寸的数据单元，由报文按固定大小切割形成。基于非对称加密算法生成的公钥和私钥组合，用于实现数据防篡改、防抵赖及内容加密等功能。负责报文转发和目的地址搜索的专用计算机，集成多种路由算法，具备报文过滤、数据包检查等功能。DDAN通信协议distributeddataassetnotarizationnetwork安全可靠的两层通信协议，具备握手、心跳、负载均衡等功能，支持构建高可用的分布式网络系统。工2采用与设备无关的地址进行通信，支持主从或对等分布式网络系统部署。对数据进行哈希计算并加盖时间戳，以确保数据完整性和时间可信性的技术过程。具有预期的经济价值、能够可靠计量和合规交易的数据资源，包括但不法模型等。识别主体、模块或路由的编码机制。通过密码算法对数据进行映射生成的固定长度序列，用于验证原数据完整性，在法律上可确认证据同一性。对时间和其他待签名数据进行签名得到的，用于表明时间属性的数据。由具有最高管理权限的主体统一管理的所有模块与路由组成的数据网络。主体间的业务数据通路，建立在连接之上，可由一个或多个连接构成，多连最大传输单元maximumtransmi数据链路层如以太网中允许传输的最大数据帧大小，以字节为单位，用于限制单次传输的数据包网络标识符networkidentifier用于唯一标识一个独立DDAN网络的编码。为实现跨网络寻址，避免不同网络之间的地址冲突，确保地址在网络根源上的唯一性。4DDAN网络拓扑网络拓扑图见图1。网络拓扑图技术要求包括：a)分布式通信网络由各路由器根节点建立连接，业务模块间无法直接互联；b)路由器不仅承担通信功能，还完成安全和合规检查功能；3c)各路由器均配置至少2个密钥对；d)各业务模块管理自己的数据集，并可通过定义虚拟表和配置访问权限将数据有限对外开放；e)各业务模块内可嵌入外部设计脚本程序，用于对数据做特殊处理后取得结果；f)各业务模块至少配置2个密钥对。DDAN网络至少具备以下四种角色。a)存证模块，DDAN网络中至少包含一个实现存证功能的业务模块，该模块对网络中各自治系统的数据处理行为进行哈希存证，同时为各自治系统的数据处理行为提供时钟参照。b)其他业务模块，根据用户业务需求设计，用于完成不同业务功能，负责管理本地所有数据。c)路由器，用于转发数据，同时进行报文的安全与合规检查，具备传统的冗余灾备、负载均衡等d)网关，为实现多网互认，应在网络拓扑中明确网关角色，该角色负责不同DDAN网络之间的协议转换、路由信息交换和存证/凭证的互认。DDAN通信协议采用分层结构设计，包括以下两层。a)应用层：报文层，用于承载业务数据，采用JSON格式，包含完整的业务信息和数字签端到端的业务通信。信息，确保数据在网络中的可靠传输。4报文作为完整的业务数据单元，在需要网络传输时被封装到一个或多个数据包中进行传输。接收方收到数据包后，重新组装成完整报文供应用层处理。报文是应用层的完整业务数据单元，采用JSON格式，包含完整的业务信息和安全验证信息。报文格式包括以下字段：a)报文版本号：标识报文格式版本；b)报文唯一编号：全局唯一标识符；c)报文发送者地址：发送方主体地址；d)报文接收者地址：接收方主体地址；e)报文方向：请求或响应标识；i)全局业务标识：关联一次交易或一个数据资产，在不同网络中的交易中的存证记录。报文内容可根据不同行业的功能需求进行扩展定义，通过“报文应用类型”字段标识自定义的报文类型。报文应包含发送方的数字签名以确保完整性和不可否认性。报文内容加密信息根据其敏感级别决定。存证类、金融类等涉及敏感数据的业务报文必须加密；其他业务报文推荐加密。加密算法在符合国密算法的前提下，采用AES或安全性更高的算法。5.3数据包格式要求数据包负责在网络中传输报文数据。当报文大小超过网络MTU限制时，需要将报文分片封装到多个数据包中传输。数据包包括包头和包体两部分。5.3.2包头(PacketHeader)包头包含路由和控制信息，字段如下：e)目的路由地址：接收方路由地址；g)控制字段：包类型和标志位；h)序列号：用于报文重组的序列标识；i)分片标识：标识是否为分片包及分片信息；j)事务处理字段：事务标识和状态；包体包含实际传输的数据：5a)数据内容：报文数据或报文分片；c)结束标记：数据包结束标识。报文安全要求如下：a)数字签名：所有报文应包含发送方的数字签名，确保完整性和不可否认性；b)内容加密：涉及敏感数据的报文内容应采用AES算法或安全性更高的算法加密。具体加密策略由报文应用类型决定：d)时间戳验证：报文应包含时间戳信息，接收方应验证时间戳有效性以防止重放攻击。建立会话的双方在正式进行业务数据交换之前应进行相互身份验证，具体要求如下。a)身份验证流程：请求方使用私钥对包含双方地址、时间戳和随机数的信息进行签名，生成验证请求。随后，使用接收方的公钥对该请求进行加密，并发送。b)防重放攻击：验证消息需要包含时间戳和随机数(Nonce),接收方应验证时间戳在有效期内且随机数未被使用过。c)会话密钥：身份验证完成后，双方应协商生成会话密钥用于后续数据传输加密。d)路由器应该具备DDOS攻击检测与防护功能，支持基于报文频率来源地址的异常流量识别，对传输过程中的数据包，除校验和验证外，还应增加哈希值的二次验证，防止数据篡改。统一使用RSA算法(SM2),密钥位数不低于2048比特。在符合国密算法规定的前提下，数据加密使用AES算法，哈希使用SHA256算法。密钥管理的具体实施，应至少涵盖以下两个方面：a)密钥：路由器和业务模块的密钥对需要定期更新，更新周期不超过1年；b)密钥备份：私钥应采用异地多地备份，备份介质应加密存储，备份恢复应多人授权，应明确存证中心，建立密钥撤销公示机制，撤销信息在全网的延迟不超过1h。当密钥泄露或主体注销时，应在24h内向存证中心提交公钥撤销请求，并同步更新网络内公钥私钥应采用硬件加密模块或可信执行环境存储，禁止明文存储。65.5错误处理机制格式错误处理：a)接收到格式不符合JSON标准的报文时，应返回格式错误响应；b)缺少必要字段的报文应被拒绝，并返回字段缺失错误信息；c)字段类型不匹配时应返回类型错误响应。验证错误处理：a)数字签名验证失败时，应拒绝处理并记录安全日志；b)时间戳超出有效期的报文应被拒绝；c)发送方地址与签名不匹配时应拒绝处理。业务逻辑错误处理：a)不支持的报文应用类型应返回不支持错误；b)权限不足的操作应返回权限错误；c)业务参数错误应返回参数错误信息。传输错误处理：a)校验和验证失败的数据包应被丢弃并请求重传；b)序列号错误或重复的数据包应被拒绝；c)分片重组超时应清理缓存并通知发送方。路由错误处理：a)目标地址不可达时应返回路由错误；b)路由表查找失败应返回地址解析错误；c)网络拥塞时应实施流量控制机制。协议错误处理：a)不支持的协议版本应返回版本不兼容错误；b)包长度超出限制应返回长度错误；c)控制字段错误应返回协议错误。连接错误处理：a)连接建立超时应重试或返回连接失败；b)身份验证失败应断开连接并记录日志；c)会话密钥协商失败应重新进行握手。通信错误处理：a)心跳超时应检测连接状态并尝试重连；b)消息发送失败应根据错误类型决定重试策略；c)会话异常中断应清理资源并通知应用层。资源错误处理：7a)内存不足时应清理缓存并限制新连接；b)存储空间不足应清理过期数据并告警；c)CPU负载过高应实施负载均衡策略。安全错误处理：a)检测到攻击行为应立即阻断并记录详细日志；b)有密钥泄露风险应立即更换密钥并通知相关方；c)异常访问模式应触发安全审计机制。所有错误响应需采用统一格式，内容至少包含错误代码、错误描述和错误发生时间。a)临时性网络错误应自动重试；b)连接中断应自动重连；c)分片丢失应自动请求重传。人工干预：a)严重安全事件需要人工处理；b)系统配置错误需要管理员修正；c)硬件故障需要物理维修。降级服务：a)部分功能异常时应提供基础服务；b)性能下降时应优先保证核心功能；c)资源不足时应限制非关键操作。6符合性要求协议实现按以下要求：必须完全实现DDAN通信协议的报文层和数据包层；必须支持JSON格式的报文结构；必须实现数据包的分片和重组机制；必须支持本文件要求的非对称加密算法(如RSA)的密钥对生成和管理。安全要求：必须为每个路由器和业务模块配置至少2个密钥对；必须对所有报文进行数字签名；必须对存证类和金融类业务报文内容进行AES加密；必须实现身份验证和防重放攻击机制。网络拓扑要求：必须包含至少1个存证模块；必须通过路由器进行报文转发，业务模块间不应直接互联；必须支持分布式网络拓扑结构。性能要求：应支持负载均衡和高可用性配置；应实现流量控制和拥塞控制机制；应支持多连接会话以提高传输可靠性。安全增强要求：应定期更新密钥对；应实现会话密钥协商机制；应对一般性业务数据进行加密保护。管理要求：应建立完整的公钥管理体系；应实现网络监控和日志记录功能；应制定应急响应和故障恢复预案。8b)报文收发测试；基础的DDAN网络系统需要至少一个存证节点和一个其他业务模块。9d)为路由配置安全与合规规则(可选);据应覆盖各种业务场景。测试执行原则：所有测试应按照第6章执行；测试结果应有详细记录和分析报告；关键测试项目应进行重复验证。8.2握手测试测试目的：验证系统身份验证和会话建立功能。测试步骤：a)请求连接端使用私钥签名包含双方地址、时间戳和随机数的验证消息；b)使用对方公钥加密整个消息并发送至响应端；c)响应端解密消息并验证签名和时间戳有效性；d)响应端用同样方式进行反向验证；e)双方协商生成会话密钥。a)身份验证成功完成；b)时间戳验证通过；c)会话密钥协商成功；d)防重放攻击机制有效。测试目的：验证报文收发和业务处理功能。测试步骤：a)组建符合标准格式的业务请求报文；b)对报文进行数字签名；c)根据业务类型决定是否加密报文内容；d)发送报文至对端业务模块；e)接收并验证对端响应报文。达到以下要求，通过数据报文测试：a)报文格式符合JSON标准；b)数字签名验证通过；d)业务逻辑处理正确。测试步骤：a)发送超过MTU大小的报文；b)验证报文自动分片功能；c)模拟网络传输过程；d)验证接收端重组功能；e)检查重组后数据完整性。达到以下要求，通过数据包传输测试：a)分片机制工作正常；b)序列号管理正确；c)重组功能完整；d)数据完整性保持。测试指标：a)每秒处理报文数量；b)网络带宽利用率；c)系统资源占用率。测试方法：a)逐步增加并发连接数；b)测量不同负载下的系统性能；c)记录性能瓶颈点。测试指标：a)端到端报文传输延迟；b)握手建立时间；c)加密解密处理时间。测试方法：a)使用高精度时间戳；b)测量各环节处理时间；c)分析延迟分布特征。测试要求：a)连续运行时间不少于72h;b)模拟各种异常情况；c)验证系统恢复能力。测试目的：验证加密算法的安全性。测试方法：a)捕获网络传输的加密数据包；b)尝试使用各种破解方法；c)验证加密强度是否达到业务安全要求；d)测试密钥管理机制的安全性。达到以下要求，通过加密强度测试：a)加密数据无法被破解；b)密钥泄露风险可控；c)符合相关安全标准。测试目的：验证身份验证机制的有效性。测试方法：a)尝试伪装合法用户身份；b)发送伪造的验证消息；c)测试系统识别能力；d)验证防护措施有效性。a)伪装攻击被成功识别；b)系统能够拒绝非法访问；c)安全日志记录完整。测试目的：验证防重放攻击机制。测试方法：a)捕获合法的验证消息；b)尝试重放历史消息；c)验证时间戳检查机制；d)测试随机数验证功能。a)重放攻击被成功阻止；b)时间戳验证有效；c)随机数机制工作正常。跨平台测试：验证不同操作系统间的兼容性；测试不同硬件平台的适配性；确保协议实现的一致性。版本兼容性测试：测试不同版本间的向后兼容性；验证协议升级的平滑性；确保新旧系统能够正常跨网络互操作测试：验证不同DDAN网络间的网关能否正确路由报文、验证对方网络的存证签名，以及完成跨网的业务会话建立。数据异常测试：发送格式错误的报文；测试数据校验机制；验证异常处理流测试记录：详细记录测试过程和结果；保存测试数据和日志文件；记录发现的问题和解决方案。测试评估：对测试结果进行综合评估；分析系统性能和安全性；提出改进建议和优化方案。9业务处理过程DDAN的基本业务处理模式是请求/响应模式，即用户向远端业务模块发出业务请求，远端业务模块收到该请求后，使用密钥对进行数字签名并回复用户。为进行业务处理，主体需要先拥有网络内唯一账号，该账号可由自治系统使用某个账号前缀为基础所有请求和响应表格均须由主体进行私钥签名，并由接收方使用公钥验证后进行业务处理并保存。9.2请求响应表格定义请求响应均填充在报文的“报文内容”字段中，具体可由交易各主体自行定义，也介组织或专业人员定义发布后，由交易主体各方采用。9.3启动业务模块存证主体启动存证业务模块，请求主体启动具体业务模块。这些业务模块通常由若干个进程构成。在通信过程中，会话请求由请求存证主体发出，该请求经业务模块，通过其边界的边界路由，最终连接至对方存证业务模块。这一流程遵循请求响应规则：请求方先完整填写表格字段，随后用自身私钥进行签名，再利用对方公钥加密表格内容，并将其传送给对方。接收方主体收到后，先解密，再验证签名。若验证通过且逻辑无误，便同意建立会话，若验证不通过或逻辑存在问题，则断开请求存证主体填写报文并签名后，按协议切割成数据包发送至存证主体，存证主体将报文签名后储存于本地，并返回存证结果证书给请求主体。跨网存证凭证：除自身签名外，还应包括所属网络的可验证信任锚签名，或符合标准的跨网存证凭证格式，以证明该存证在互联网络生态中的可信性。9.6存证数据保存与查询根据存证数据的使用目的和种类，存证数据需要保存相应的年份，请求存证主体可以自行查询存证数据，也可以授权其他主体查询存证数据。当主体A授权主体B查询存证时，该授权操作本身应生成一个符合本文件的、可被网关验证的签名报文，确保跨网过程授权过程的安全与标准化。10协议跨域协作实施示例跨域协作：符合本文件并实现互联的系统，应致力于在保障各方权益与安全的前控的跨组织、跨地域数据协作，促进数据要素的高效流通与市场化配置。以此明确本文件的核心价值护法》的要求，使用本文件组建或接入DDAN网络系统。以数据资产管理为例，具体见图2。存证存证确权、交易记账计费数据提供者业务场景：某制造企业需要将生产数据进行资产化管理，实现数据确权、交易和使用追踪。参与主体如下：b)数据使用者：供应链合作伙伴；实施流程如下。a)数据记账阶段：1)数据提供者使用DDAN协议将生产数据(设备运行数据、质量检测数据等)提交给存证2)存证单位对数据进行哈希计算并存证，返回存证凭证；3)数据提供者获得数据所有权证明。b)数据确权阶段：1)数据提供者将存证凭证和数据描述信息提交给确权交易平台；2)双方通过DDAN协议进行交易协商和合同签署；