Title ## 简谈 Rust 与国密 TLS Introduction on Rust and SM TLS 王江桐 wangjiangtong@huawei.com 华为 公共开发部 嵌入式软件能力中心 ## 😍 ## Title ## 简谈 Rust 与国密 TLS Introduction on Rust and Shangmi TLS  Table of Contents 目录 #1 国密算法总览 Overview of Shangmi Cryptography #2 国密算法与协议介绍 Introduction to Shangmi Algorithms and Protocols #3 Rust 实现密码与安全协议的优势与现状 [Image](/uploads/documents/d/a/2/b/da2b2e98ff4e359194a1823400ade131/p5_1.jpg) ## 国密算法总览 Overview to Shangmi Cryptography • 密码算法安全目标 · 密码算法分类 · 国密套件总览 - 通常来说，通过加密方式，对于信息的传输，我们希望达成以下五个目标： 机密性（Confidentiality）保证信息私密性和保密性

# Redis TLS Origination ## through the sidecar Author: Sam Stoelinga | Twitter: samosx | GitHub: samos123 Based on blog post: https://samos-it.com/posts/securing-redis-istio-tls-origination-termination tion.html ## What are we solving? • App with multiple microservices • external Redis TLS only - each microservice talks to Redis  ## I stio TLS Origination - app talks unencrypted TCP

# Golang to the rescue: Saving DevOps from TLS turmoil GopherCon 2017 Lightning Talk Chris Short Manager of DevOps at Bankrate ## I ntroduction ## Chris Short • Manager of DevOps at Bankrate (http://www derived from an opensource.com article I wrote in April 2017: Golang to the rescue: Saving DevOps from TLS turmoil (https://opensource.com/article/17/4/testing-certificate-chains-34-line-go-program) But Most documented here This site works only in browsers with SNI support. Experimental: This server supports TLS 1.3 (draft 18). HTTP Strict Transport Security (HSTS) with long duration deployed on this server.

访问加速 ## 灵活弹性 安全合规 防攻击 蚂蚁金服网络接入十年变迁 万物互联云原生时代 ↑ 移动时代 ↑ PC时代 再启程 2018 年协议，安全持续升级（QUIC，MQTT，国密）， 云原生 All in 无线 2015 年无线通道协议，安全升级， 连接收编 自研 2010 开始网络代理白盒化，定制业务逻辑，软硬件一体解决方案 前世 2010年前部署商用设备 2015 • All in 无线，通信通道全面升级（MMTP，MTLS协议） 2016 • 安全防护能力提升，WAF，流量镜像 - 通信协议，架构，安全再次升级（物联终端接入，QUIC协议，国密，可信计算，海外加速，云原生） ## 金融级三地五中心容灾架构（LDC）  轻量级TLS库，小于50k；2) 优化的TLS协议 ## 0-RTT · 减少握手延迟 - 代价：握手前发送的数据不能保证防重放攻击，因此要求应用程序自己保证防重放攻击 ## Small Ticket • 自定义Session Ticket编码格式 • 160 byte -> 76 byte ## 高效 优化 灵活 ## TLS扩展 - Session

18 @Shanghai RUST CHINA CONF 2023 ## 基于 Rust 编程语言构建 Amphitheatre CLI / Desktop / Server 的全平台实践经验 王宜国·独立开源软件作者 ## ⼀⼤纲 ## 项目介绍 ·项目背景介绍 ·产品功能演示 ·应用场景概览 ## 👑 ## 设计与实现 · 概念 ·架构设计 ·技术实现 ## 项目介绍 Amphitheatre

10 开发部署工具(build_chain.sh) 11 命令行交互控制台 12 WeBASE管理平台 13 区块链浏览器 14 运维部署工具 15 数据治理通用组件 16 国密使用 17 证书相关 18 JDK版本 19 整体架构 20 模块设计 21 JSON-RPC API 22 深入浅出 FISCO BCOS 3 7 21 31 行区块内的交易。 • 交易生命周期的异步并行处理：共识、同步、落盘等各个环节的异步化以及并行处理。 ### 1.5 安全性 考虑到联盟链的高安全性需求，除了节点之间、节点与客户端之间通信采用TLS安全协议外，FISCO BCOS还实现了一整套安全解决方案： - 网络准入机制：限制节点加入、退出联盟链，可将指定群组的作恶节点从群组中删除，保障了系统安全性。 - 黑白名单机制：每个群组仅可接 可及时与作恶节点断开网络连接，保障了系统安全。 · 权限管理机制：基于分布式存储权限控制机制，灵活、细粒度地控制外部账户部署合约和创建、插入、删除和更新用户表的权限。 · 支持国密算法：支持国密加密、签名算法和国密通信协议。 • 落盘加密方案：支持加密节点落盘数据，保障链上数据的机密性。 • 密钥管理方案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 -

行区块内的交易。 • 交易生命周期的异步并行处理：共识、同步、落盘等各个环节的异步化以及并行处理。 ### 1.5 安全性 考虑到联盟链的高安全性需求，除了节点之间、节点与客户端之间通信采用TLS安全协议外，FISCO BCOS还实现了一整套安全解决方案： - 网络准入机制：限制节点加入、退出联盟链，可将指定群组的作恶节点从群组中删除，保障了系统安全性。 - 黑白名单机制：每个群组仅可接 可及时与作恶节点断开网络连接，保障了系统安全。 · 权限管理机制：基于分布式存储权限控制机制，灵活、细粒度地控制外部账户部署合约和创建、插入、删除和更新用户表的权限。 • 支持国密算法：支持国密加密、签名算法和国密通信协议。 • 落盘加密方案：支持加密节点落盘数据，保障链上数据的机密性。 • 密钥管理方案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 - supported_version 配置项获取 ###### 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变更描述 新增 · 新增使用硬件安全模块进行密码运算的功能。 - 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 - 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。

行区块内的交易。 • 交易生命周期的异步并行处理：共识、同步、落盘等各个环节的异步化以及并行处理。 ### 1.5 安全性 考虑到联盟链的高安全性需求，除了节点之间、节点与客户端之间通信采用TLS安全协议外，FISCO BCOS还实现了一整套安全解决方案： - 网络准入机制：限制节点加入、退出联盟链，可将指定群组的作恶节点从群组中删除，保障了系统安全性。 - 黑白名单机制：每个群组仅可接 可及时与作恶节点断开网络连接，保障了系统安全。 · 权限管理机制：基于分布式存储权限控制机制，灵活、细粒度地控制外部账户部署合约和创建、插入、删除和更新用户表的权限。 • 支持国密算法：支持国密加密、签名算法和国密通信协议。 • 落盘加密方案：支持加密节点落盘数据，保障链上数据的机密性。 • 密钥管理方案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 - supported_version 配置项获取 ###### 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变更描述 新增 · 新增使用硬件安全模块进行密码运算的功能。 - 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 - 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。

行区块内的交易。 • 交易生命周期的异步并行处理：共识、同步、落盘等各个环节的异步化以及并行处理。 ### 1.5 安全性 考虑到联盟链的高安全性需求，除了节点之间、节点与客户端之间通信采用TLS安全协议外，FISCO BCOS还实现了一整套安全解决方案： - 网络准入机制：限制节点加入、退出联盟链，可将指定群组的作恶节点从群组中删除，保障了系统安全性。 - 黑白名单机制：每个群组仅可接 可及时与作恶节点断开网络连接，保障了系统安全。 · 权限管理机制：基于分布式存储权限控制机制，灵活、细粒度地控制外部账户部署合约和创建、插入、删除和更新用户表的权限。 • 支持国密算法：支持国密加密、签名算法和国密通信协议。 • 落盘加密方案：支持加密节点落盘数据，保障链上数据的机密性。 • 密钥管理方案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 - supported_version 配置项获取 ###### 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变更描述 新增 - 新增使用硬件安全模块进行密码运算的功能。 - 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 - 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。

行区块内的交易。 • 交易生命周期的异步并行处理：共识、同步、落盘等各个环节的异步化以及并行处理。 ### 1.5 安全性 考虑到联盟链的高安全性需求，除了节点之间、节点与客户端之间通信采用TLS安全协议外，FISCO BCOS还实现了一整套安全解决方案： - 网络准入机制：限制节点加入、退出联盟链，可将指定群组的作恶节点从群组中删除，保障了系统安全性。 - 黑白名单机制：每个群组仅可接 可及时与作恶节点断开网络连接，保障了系统安全。 · 权限管理机制：基于分布式存储权限控制机制，灵活、细粒度地控制外部账户部署合约和创建、插入、删除和更新用户表的权限。 • 支持国密算法：支持国密加密、签名算法和国密通信协议。 • 落盘加密方案：支持加密节点落盘数据，保障链上数据的机密性。 • 密钥管理方案：在落盘加密方案的基础上，采用KeyManager服务管理节点密钥，安全性更强。 - supported_version 配置项获取 ###### 2.2.1 v2.8.0 标签：v2.8.0 版本特性 变更描述 新增 · 新增使用硬件安全模块进行密码运算的功能。 - 支持使用符合国密《GMT0018-2012密码设备应用接口规范》标准的密码机/密码卡进行SM2、SM3、SM4等算法运算；支持使用密码机内部密钥，用硬件保障私钥安全。 - 支持使用密码卡/密码机进行共识签名、交易验签、落盘加密。