云山雾隐 端隐SDP

企业博客

端隐SDP密钥交换简介

全面加密的必要性

TCP是目前最广泛使用的网络传输协议,但TCP并未包含数据加密流程。当我们在使用浏览器访问网站时,如果网站的服务器未配置HTTPS,仅使用基于TCP的HTTP协议, 此时用户与网站服务器之间的数据可能会被负责转发的设备(例:路由器、交换机、网络上的恶意嗅探用户) 所截获,并查看、篡改相关信息。如果用户正在进行注册、登陆、输入密码等敏感操作, 网络上的恶意用户就可以直接窃取到普通用户的身份信息,进而产生针对性的电信诈骗、勒索、盗刷银行卡等活动。

为了解决数据流加密问题,网景公司(Netscape)设计了SSL(Secure Sockets Layer)协议,这种协议在Web上被广泛应用。在经历了SSL1.0、SSL2.0、SSL3.0以后,IETF(Internet Engineering Task Force)将SSL标准化,并将其称为TLS(Transport Layer Security),目前TLS的最新版本是TLS1.3,而TLS的内部实现则使用了多种对称加密和非对称加密算法。

对称加密、非对称加密简介

对称加密:即加密方和解密方都使用同一个密钥。

非对称加密:也叫非对称式密码学,拥有2个密钥,一个可以公开让所有人查看,称为公钥;另一个是私有密钥,需要隐藏在安全的地方被保护,一般使用公钥加密、私钥解密。

从以上两种加密算法的特点可知,由于对称加密的加解密过程都使用同一个密钥,因此只要通信双方的任意一方泄露密钥,都可能会导致加密后的数据被成功解密;所以更加通用的解决方案是采用非对称加密。由于非对称加密的算法性能远低于对称加密,实际在使用过程中,比较典型的实现是:首先使用非对称加密传递随机密钥,后续使用该随机密钥进行对称加密通信。

端隐SDP密钥使用逻辑

端隐SDP在首次启动时,会自动初始化生成一对非对称密钥,保存到内存、同时加密储存到本地磁盘。密钥类型为Curve25519,在密码学中这是一种被设计用于椭圆曲线迪菲-赫尔曼(ECDH)的密钥交换方法,可用作提供256比特的安全密钥。除此之外,它还是不被任何已知专利覆盖的最快ECC曲线之一。

对于端隐SDP安全控制中心、端隐SDP客户端、端隐SDP安全网关,任意两个组件之间的通信都是采用启动时初始化的非对称密钥来协商双方的随机密钥,然后使用该随机密钥进行对称加密通信,进而保护用户在使用端隐SDP过程中,通信数据全链路加密、无法被第三方窃取和篡改,保证企业数据信息的安全。