企业消息总线加密

Question

我正在考虑使用Amazon的简单队列系统作为企业消息总线的基础。据Amazon称，内容没有加密，这意味着应用程序(S)必须处理加密/解密。

这个密码系统很可能需要：

• 访问消息总线的服务之间的密钥分配
• 密钥轮换/撤销
• 身份验证和完整性检查
• 性能(使用对称加密)

这似乎是一个非常常见的问题，对于这些情况，是否存在关于消息总线加密的现有方法或标准？

Answer 1

对于后人和那些从搜索引擎来到这里的人来说：

Amazon现在支持内容加密：https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-server-side-encryption.html#sqs-encryption-what-does-sse-encrypt

从文件中：

SSE不加密以下内容:队列元数据(队列名称和属性)、消息元数据(消息ID、时间戳和属性)。

在默认情况下，SQS服务器端加密是由Amazon的KMS支持的，而KMS本身是由FIPS 140-2 HSM支持的。数据密钥是从每个主体的帐户主键派生出来的.这些键的生存期可配置为1分钟至24小时，默认为5分钟。

如果关键的住院医师不是问题，SSE应该解决你的问题。