安全白皮书
版本 1.0 · 2025 年 6 月
EasyTier Pro 的安全架构建立在"零信任网络"理念之上。我们假设网络中的任何节点都不可信,每一次连接都需要经过严格的身份认证,每一份数据都需要端到端加密。本文档从认证、加密、隔离、审计四个维度,说明 EasyTier Pro 如何保护你的网络与数据安全。
一、安全架构概览
EasyTier Pro 采用分层安全设计,核心能力由开源 EasyTier 的分布式网络协议提供,控制台负责身份认证、策略管理与审计。整体架构可概括为:
- 控制面安全:HTTPS/TLS 加密传输,多因素身份认证,租户级数据隔离;
- 数据面安全:Noise 协议握手建立会话,AES-256-GCM / ChaCha20-Poly1305 端到端加密;
- 身份安全:静态公钥认证 + 网络密钥双向确认 + 临时凭据(可撤销、可过期);
- 策略安全:标签级访问控制,子网路由隔离,凭据级权限细分。
二、身份认证
2.1 节点身份如何确立
每一台接入 EasyTier Pro 的设备,在首次启动时都会生成一对 X25519 密钥。这对密钥就是该设备的"数字身份证"——公钥向网络中的其他节点公开,私钥则严格保存在本地,永不离开设备。
当两台设备尝试建立连接时,双方会先通过 Noise XX 握手协议交换各自的静态公钥,并用预先配置的网络密钥(network_secret)进行双向验证。只有同时满足"公钥在可信列表中"和"网络密钥验证通过"两个条件,连接才会被接受。
2.2 临时凭据:安全地邀请新设备
传统的组网方式需要把网络密钥分发给每一台新设备,一旦泄露就必须全网更换密钥。EasyTier Pro 引入了临时凭据机制来解决这个问题:
- 管理员在控制台生成一张临时凭据,本质上是一对全新的 X25519 密钥;
- 凭据持有者的公钥被加入网络的可信列表,并通过路由协议同步到全网;
- 新设备只需拿到凭据私钥即可接入,无需知道主网络密钥;
- 凭据支持设置过期时间,到期后自动失效;
- 管理员可随时在控制台撤销凭据,撤销后使用该凭据的节点会被全网立即断开。
这一机制的核心优势在于最小权限原则:每台设备只拥有接入网络所需的最小凭证,且凭证的生命周期完全可控。
2.3 共享节点的可信锚定
对于跨网络转发的共享节点(如中继服务器),EasyTier Pro 支持通过 Pinning 机制将其长期静态公钥固定在本地配置中。即使网络名称不同,只要对端公钥与预置的锚定公钥匹配,连接即被视为可信。这避免了共享节点需要持有用户网络密钥的安全隐患。
三、传输加密
3.1 握手阶段:Noise 协议
EasyTier Pro 采用 Noise 协议框架进行握手。Noise 协议是 Signal、WireGuard 等安全通信工具广泛采用的现代密码学协议,其核心特点包括:
- 前向安全性:即使长期私钥在未来泄露,历史会话内容也无法被解密;
- 抗中间人攻击:通过静态公钥认证和 channel binding 机制,确保通信双方身份真实;
- 零往返握手:在特定模式下,首个数据包即可携带加密载荷,降低延迟。
3.2 数据传输:端到端加密
握手完成后,双方会协商出数据面密钥。所有通过虚拟网络传输的业务数据均采用以下算法加密:
| 层级 | 算法 | 说明 |
|---|---|---|
| 密钥交换 | X25519 (ECDH) | Curve25519 上的椭圆曲线 Diffie-Hellman |
| 数据加密 | AES-256-GCM | 256 位 AES 搭配 Galois/Counter 模式 |
| 数据加密(备选) | ChaCha20-Poly1305 | 面向移动端和纯软件实现优化的流加密 |
| 哈希 | SHA-256 | 用于密钥派生和完整性校验 |
3.3 关键特性:即使中继也无法窥探
在 P2P 直连场景下,数据直接在通信双方之间传输,不经过任何第三方。当中继路径被使用时,数据包会经过中继服务器转发,但由于采用了端到端加密,中继服务器只负责转发加密后的密文,无法解密、无法解析、无法识别传输内容。这意味着:即便我们的中继基础设施被攻破,攻击者也无法获取你的业务数据。
3.4 抗重放保护
每个数据包都携带一个唯一的序号(nonce),接收端会维护一个滑动窗口来检测并丢弃重复或乱序的恶意包。即使攻击者截获了合法的数据包并试图重新发送,也会被系统识别为无效数据而丢弃。
四、访问控制与隔离
4.1 标签级访问控制
EasyTier Pro 摒弃了传统的 IP 白名单模式,引入了标签(Tag)作为访问控制的基本单元。你可以为设备打上标签(如"财务部""研发中心""生产环境"),然后通过策略规则定义"谁可以访问谁"。策略实时下发,秒级生效,无需重启设备或重建连接。
4.2 租户隔离
不同租户的网络配置、节点列表、路由表和审计日志在数据库层面完全隔离。一个租户的管理员无法查看、修改或影响其他租户的任何资源。控制台对每一次数据访问都进行租户边界校验,确保不存在跨租户数据泄露的风险。
4.3 子网路由隔离
每个虚拟网络拥有独立的子网段和路由表。你可以在控制台精确控制哪些子网可以访问哪些子网,哪些流量需要经过特定节点转发。路由策略与网络拓扑解耦,即使物理连接存在,策略也可以阻断非法访问路径。
五、控制台安全
5.1 传输安全
控制台全站强制 HTTPS,使用 TLS 1.3 加密浏览器与服务器之间的所有通信。我们定期更新 TLS 配置,禁用弱密码套件和过时的协议版本。
5.2 身份认证
控制台支持邮箱密码登录和 OAuth 第三方登录(如 GitHub、微信)。登录会话采用短期有效的 Token 机制,Token 过期后需重新认证。管理员可以在控制台查看活跃会话列表,并随时注销可疑会话。
5.3 数据存储
数据库中的敏感字段(如手机号码、邮箱地址)采用 AES-256 加密存储。数据库访问仅限于授权运维人员通过堡垒机进行,所有访问操作均记录审计日志。生产环境的备份数据同样加密存储,并定期轮换加密密钥。
六、审计与监控
6.1 操作审计
控制台记录每一次对网络配置的变更操作:谁在什么时间、从哪个 IP 地址、做了什么修改。审计日志保留 1 年,不可篡改、不可手动删除,满足等保和合规审计要求。
6.2 安全监控
我们对控制台的登录行为、API 调用频率、异常流量模式进行实时监控。当检测到暴力破解、异常登录地点、高频异常请求等风险行为时,系统会自动触发告警,并视情况临时冻结账号或要求二次验证。
七、合规与资质
成都亿思泰科技有限公司持有以下经营资质:
- ICP 备案:蜀 ICP 备 2025173602 号-1
- ICP 经营许可证:川 B2-20260110
- 增值电信业务经营许可证:B1-20260393
我们的数据存储和日志留存策略严格遵循《网络安全法》《数据安全法》《个人信息保护法》等法律法规的要求。
八、安全事件响应
如发现安全漏洞或疑似安全事件,请通过以下渠道联系我们:
安全邮箱:security@easytier.net
响应时间:工作日 24 小时内首次回复
PGP 公钥:可在 GitHub 仓库 security 目录获取
我们承诺对负责任的安全漏洞披露予以认可和感谢。