Portunus：重新想象分布式系统中的访问控制

TLS端接对网络和安全基础设施提供商至关重要，它是一种极为敏感的潜在操作，得益于接近边缘的敏感密钥材料的访问。然而，越来越多的监管问题促使客户要求对其密钥的访问位置进行复杂的控制。虽然传统的访问控制解决方案依赖于高可用的集中式进程来强制访问，但往返延迟和降低的容错性使这种方法不受欢迎。此外，所需的客户控制水平与每个密钥的分发过程的同质性不一致。

为了解决这个难题，我们设计并实现了Portunus，这是一个使用一种称为基于属性加密（ABE）的公钥加密变体构建的密码存储和访问控制系统。使用Portunus，TLS密钥将根据客户选择的策略使用ABE进行保护。每个服务器都会根据其属性颁发唯一的ABE密钥，使其只能解密满足策略的TLS密钥。因此，加密密钥可以存储在边缘，通过ABE被动实施访问控制。如果服务器接收到TLS连接，但未被授权解密必要的TLS密钥，则请求将直接转发到最近的授权服务器，从而避免了需要集中式协调器。相比之下，使用标准公钥加密对该系统进行简单实例化可能会使用每个授权数据中心的密钥包装每个TLS密钥。然而，此策略将存储开销乘以数据中心的数量。Portunus部署在Cloudflare的400多个全球数据中心，在全球每秒处理数百万个请求，是ABE最大的部署之一。