坚持自主可控，长安链ChainMaker全面拥抱国密的技术实践

密码技术作为与核技术、航天技术并列的国家三大安全核心技术之一，在保障信息安全，增强我国行业信息系统的“安全可控”等方面具有关键作用。长期以来国际上较为通用的商用算法是由美国安全局发布的国际算法，包括DES对称加密、AES对称加密、RSA非对称加密、SHA1以及SHA256等算法。自2012年，国家密码管理局陆续公布了SM2/SM3/SM4等密码算法标准及其应用规范，以摆脱对国外技术和产品的过度依赖，建设行业网络安全环境。国家有关机关和监管机构站在国家安全的高度提出了推动国密算法应用实施的要求，并要求率先在金融领域实现国产密码应用的突破和应用。

从安全性上看，国密算法在加密强度优于同类国际通用算法。2017年，国家密码管理局发布《关于使用SHA-1密码算法的风险提示》指出：SHA-1杂凑密码算法碰撞攻击实例显示对SHA-1算法的攻击从理论变为现实,继续使用SHA-1算法存在重大安全风险。相关单位应遵循密码国家标准和行业标准,全面支持和应用SM3等国产密码算法,严格按照《商用密码管理条例》等相关法律法规的要求开展商用密码研发、生产、销售、使用等活动。

长安链作为国产基础软件，致力于打造国内完全自主可控区块链，从产品设计初期就积极拥抱国密算法，全面支持国密标准，为上层智能合约以及承载业务应用的正常运行，提供安全保障。

长安链整体国密设计

长安链密码算法库对外提供统一的密码应用接口，支持RSA、ECDSA、SHA256、AES等国际算法之外，全方位支持SM2、SM3以及SM4国密算法，在设计和实现上综合考虑了性能、安全性、标准化以及技术生态的建设等方面，形成了比较完善的密码算法库、密码协议库等基础组件，兼顾了国际算法和国密算法的支持，为上层服务提供了统一的密码应用接口。

图1

高 性 能

在国密算法性能上，长安链实现了一套国密算法引擎机制，并支持了同济国密库tjfoc（go实现）、北大国密库gmssl（c实现）以及腾讯国密库tencentsm（c实现），通过配置方式可实现灵活选择或切换，在跨平台兼容性、算法性能上满足了上层的业务需求。

三种国密算法引擎，完全支持信创环境，支持linux amd64以及linux arm64平台下sm2高性能签名、验证。

标 准 化

在标准化方面，除了国密算法标准的支持外，长安链密码协议库按照《GM/T 0024-2014:SSL VPN技术规范》要求，实现了ECC-SM4-SM3密码套件，并与第三方开源软件完成了跨语言的互联互通测试，该套件将在近期即将发布的版本中开源。

图2

长安链密码协议库：

• x509库支持国际算法和国密算法，支持国密x509证书的生成和解析；
• TLS协议支持国际标准TLS1.2、TLS1.3，并兼容国密TLS标准（双证书体系）；
• 国密TLS与主流第三方国密开源实现库，支持双向互联互通。

更 安 全

根据Kerckhoffs原则，密码系统的安全性依赖于密钥的安全性，长安链除了支持密钥文件加密方式，进一步提供了通过硬件密码设备提供更高级别保护密钥的能力。

长安链目前支持多种方式接入硬件密码设备，并通过硬件密码设备为上层应用提供基础加密以及签名服务，借助权威机构认证的密码设备，长安链业务密钥可以被更好更安全的进行管理。长安链硬件加密整体架构如下：

图3

硬件密码设备接入方式：

• PKCS11接口；
• SDF接口；
• 适配器插件。

长安链目前支持PKCS11和SDF两类接口接入方式，硬件密码设备只要支持一种接口即可；同时长安链通过适配器插件可以兼容不同厂商的密码设备的平滑接入，屏蔽实现上的细微差别。

技术生态

国密算法、协议等相关标准推行近十年，使用规模仍不够庞大，究其原因，国密相关软件产品或基础库不完善、开源生态不活跃、各语言支持现状参差不齐、使用成本高等问题引起。长安链在国密软件基础组件上进行了积极地探索，先后实现了golang国密版grpcs、java国密版grpcs，并实现了跨语言的互联互通，现已应用到长安链项目：

图4

此外，长安链密码基础库中，进一步支持了golang版国密https以及websocket。python、nodejs相关国密基础组件也在持续研发中。

结 语

长安链正在持续打造“强隐私、高安全”特性的区块链底层平台，保障国产基础软件自主可控、安全可靠，赋能国家数字经济发展。

参考文献

长安链开源文档-加密服务支持:

https://docs.chainmaker.org.cn/tech/%E5%8A%A0%E5%AF%86%E6%9C%8D%E5%8A%A1%E6%94%AF%E6%8C%81.html

信息安全技术 SM2密码算法使用规范:

http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=2127A9F19CB5D7F20D17D334ECA63EE5

信息安全技术 SM3密码杂凑算法:

http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=2127A9F19CB5D7F20D17D334ECA63EE5

信息安全技术 SM4分组密码算法:

http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=7803DE42D3BC5E80B0C3E5D8E873D56A

SSL VPN技术规范:

https://img.antpedia.com/standard/files/pdfs_ora/CN-GM/7e0/GM_T%200024-2014_6865.pdf

信息安全技术 密码设备应用接口规范：

http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=69E793FE1769D120C82F78447802E14F

Tips

更多长安链开源项目QA，可登录开源社区、技术文档库查看。

下载源码

https://git.chainmaker.org.cn/chainmaker/chainmaker-go

查阅文档

https://docs.chainmaker.org.cn/

长安链ChainMaker案例征集

http://www.wenjuan.com/s/UZBZJvhFGte/

“长安链ChainMaker”是国内首个自主可控区块链软硬件技术体系，由微芯研究院、腾讯等头部企业和高校共同研发，具有全自主、高性能、强隐私、广协作的突出特点。长安链面向大规模节点组网、高交易处理性能、强数据安全隐私等下一代区块链技术需求，融合区块链专用加速芯片硬件和可装配底层软件平台，为构建高性能、高可信、高安全的数字基础设施提供新的解决方案，为长安链生态联盟提供强有力的区块链技术支撑。取名“长安链”，喻意“长治久安、再创辉煌、链接世界”。