在甲骨文云OCI集成云中使用OCI保险库实现消息级加密

消息级加密（MLE）是一种安全技术，用于保护传输过程中消息的保密性和完整性。它涉及使用加密算法来混淆消息的内容，以便只有拥有解密密钥的预期接收者可以阅读它。

Rest API按架构是无状态的，意味着服务器不维护会话，也不了解客户端。在请求中，客户端需要发送所有信息以允许服务器响应。在处理Rest API和安全性时，重点是认证、授权和保密性。

对于认证和授权，有从API密钥、基本认证、JWT令牌到oAuth等不同的协议和最佳实践。为了保密性，可以启用传输层安全性（TLS），这是通过加密网络流量来保护网络上通信的过程。这就是为什么大多数Rest API强制使用HTTPS而不是简单的HTTP。所有这些都有各自的优缺点，并由甲骨文集成云开箱即用地支持。

虽然网络级安全大多数时候能满足需求，但有时需要强制执行消息或有效负载级加密（例如，当它包含敏感信息时，如：个人识别信息[PII]、信用卡号、银行账户详情、医疗记录等）。这就是为什么许多支付网关（Visa、MasterCard、政府实体）强制对包含敏感数据的Rest API执行MLE。

甲骨文集成云提供开箱即用的功能，以满足认证、授权和TLS的需求。可以通过使用OCI保险库实现MLE。

架构

此参考架构展示了如何使用OCI保险库在甲骨文集成云中实现MLE。OCI保险库是一个加密管理服务，存储和管理加密密钥和秘密，以安全地访问资源。它提供了管理密钥的API，以及使用这些密钥对数据进行签名、加密和解密的API。在处理密码学时，有两种基本类型的系统来保护数据。

• 对称密码学使用相同的（私有）密钥进行加密和解密。发送者和接收者必须拥有相同的密钥，他们用它来加密和解密数据。这意味着如果有人截获了密钥，他们可以解密数据。
• 另一方面，非对称密码学使用两个不同的密钥：公钥和私钥。发送者使用接收者的公钥加密数据，而接收者使用他们的私钥解密。私钥保密不外泄，这使得非对称密码学比对称密码学更安全。

对称密码学具有速度快的优点，但由于加密和解密使用相同的密钥，因此安全性较差。非对称密码学虽然速度较慢，但更加安全，因为用于解密的私钥从不共享，只能由接收者访问。

OCI保险库支持这些密钥形状算法。

在某些情况下，您需要同时使用对称和非对称加密。例如，客户与您共享他们的RSA公钥；您生成并使用一个AES私钥来加密数据；然后您用客户的RSA公钥加密这个私钥，并将其随有效载荷发送。由于客户没有共享他们的RSA私钥，只有他们才能解密数据，首先通过解密AES密钥，然后使用它来解密有效载荷。当您的有效载荷大小超过RSA密钥能加密的限制时，通常会这样做。

OCI保险库允许您导入或创建自己的主加密密钥。当您使用导入的密钥材料时，您仍然对密钥材料负责，同时允许OCI保险库使用其副本。有关导入密钥的更多信息，请查看“探索更多”。

OCI保险库提供了许多可以被甲骨文集成云使用的API。有关保险库密钥管理API的更多信息，请查看“探索更多”。以下是一些在消息级加密场景中常用的API。

在甲骨文集成云中工作时，如果您需要在向Rest API发送请求之前加密有效载荷，您可以使用OCI保险库。如果您使用的是对称密码学，您可以接收AES私钥，将其上传到OCI保险库，并使用OCI保险库的API来加密数据，然后将这些加密数据发送到Rest API。如果您需要使用非对称密码学，您可以接收RSA公钥，将其上传到OCI保险库，并使用OCI保险库的API来加密数据，然后将这些加密数据发送到Rest API。同样地，如果您希望强制甲骨文集成云中的Rest API拥有加密的有效载荷，您可以创建密钥，与您的客户共享，并使用OCI保险库的API来解密数据并进行验证。此外，当您需要同时使用对称和非对称密码学时，您也可以结合两种密钥。

以下图表展示了这个参考架构。

架构包含以下组件：

甲骨文集成云

甲骨文集成云（OIC）提供了一整套工具和服务，帮助组织整合其各种应用程序、服务和数据源，无论是在本地还是在云中。OIC提供了一系列特性，包括用于与各种流行应用程序（如Oracle Fusion、Salesforce、SAP、Workday等）集成的预构建连接器，以及用于与其他应用程序和服务集成的自定义连接器。它还提供了直观的视觉界面，用于设计、测试和部署集成，使用户能够轻松创建复杂的集成工作流程，而无需编程技能。

甲骨文云基础设施保险库

OCI保险库是由甲骨文云基础设施（OCI）提供的安全且可扩展的密钥管理服务。它为管理用于保护OCI资源和应用程序的加密密钥和秘密提供了一个集中化的位置。OCI保险库提供了一系列功能，包括密钥生成和存储、安全分发密钥、加密和解密。它允许用户管理自己的密钥或使用OCI管理的密钥。用户还可以定期旋转他们的密钥以确保最大程度的安全。

OCI保险库还提供了丰富的Rest API集合，用于管理保险库和密钥。

考虑因素

在实施此参考架构时，请考虑以下几点。

安全性

使用甲骨文云基础设施身份和访问管理（IAM）策略来控制谁可以访问您的云资源以及可以执行哪些操作。为IAM用户和组分配对资源类型的最小权限访问。

服务限制

考虑拓扑中使用的OCI服务的限制和配额。请查看“探索更多”。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。

如您想咨询 Oracle 的相关业务，可联系搜索微信号：lhh1843812463 或 woshiwhw123

或者可以进入以下群组进行咨询：

微信公众号

微信技术交流社群：