传输加密
本文约需 2 分钟阅读
传输中加密 (Encryption in Transit) 是指对在网络上流动的数据进行加密,以防止窃听和篡改的技术。TLS (Transport Layer Security) 是其代表性协议,被用于保护 HTTPS 通信、邮件收发、 VPN 隧道等各种网络通信。截至 2025 年, TLS 1.3 在主要网站中的普及率已超过 70%,向后量子密码迁移的准备工作也在推进中。
现场使用案例
“渗透测试指出,我们的微服务之间的通信是以明文进行的。我们引入了服务网格 (Istio),将 mTLS 应用于所有通信,实现了服务间认证和加密的自动化。”
通信加密流程
客户端:发起 TLS 握手
服务器:出示证书、交换密钥
生成共享密钥 (会话密钥)
建立加密通信 (数据收发)
与静态加密的区别
静态加密保护的是存储在磁盘和数据库中的数据,而传输中加密保护的是数据从发送方移动到接收方的过程。二者是互补关系,仅靠任何一方都不够充分。例如,即使对数据库进行了加密,如果与应用服务器之间的通信是明文,数据仍可能在中间人攻击中被截获。通信加密入门书 (Amazon)可供系统学习。
主要协议与实现
TLS 1.3 是当前的标准,它减少了握手的往返次数,兼顾了安全性与速度。 SSH 加密服务器管理的通信, IPsec 在 VPN 隧道中提供网络层加密。在云环境中,推荐对服务间通信也应用 mTLS (双向 TLS 认证) 的设计。在公共 Wi-Fi 环境下,传输中加密尤为重要,配合使用 VPN 还能保护未加密的通信。
运维要点
因 TLS 证书过期导致的服务中断是频发的事故。请利用 Let's Encrypt 的自动续期或证书管理工具来防止过期。此外, TLS 1.0/1.1 等旧协议存在已知漏洞,需要将其禁用。将强随机密码与传输中加密相结合,认证信息在发送时也能得到安全保护。加密技术书籍 (Amazon)也可作为参考。
这篇文章对您有帮助吗?