传输安全
访问服务器连接
TLS 1.2 连接用于客户端和访问服务器之间的连接。客户端使用以下最小密码套件:
密码版本 | TLS v.1.2 |
密钥交换 | ECDH(椭圆曲线迪菲-赫尔曼密钥交换) |
身份验证 | RSA |
编码 | AES-256 |
Mac(消息身份验证码) | SHA-384 |
通过查看应用程序日志或使用 Wireshark 以轻松验证这些连接。
接入务器使用由知名证书颁发机构(CA)使用 SHA-256 和 RSA 签名的 SSL 服务器证书。
中继服务器连接
保护 Control Center 和 Runtime 之间远程访问连接的端到端加密使用 AES-256 CBC,并在握手阶段通过单独的访问服务器连接安全地交换会话密钥。由于中继服务器从不参与此握手,而是在交换会话密钥后使用,因此它无法解码传入流量,并且连接是真正端到端安全的。
基础传输可以是 TCP(出于性能原因使用)或 TLS1.2(作为与需要 TLS 连接的防火墙兼容的回退)。在这种情况下,TLS 不保证机密性,而由上层 AES-256 封装保证。
出于安全原因,可以禁用 TCP 传输以支持 TLS1.2 连接。
Web API 连接
所有前端都对 Web API 使用 HTTPS。Web 服务器使用由知名证书颁发机构(CA)使用 SHA-256 和 RSA 签名的 SSL 服务器证书。
提供反馈