核心能力
从协议到部署,每一层都为安全和性能而设计
mTLS 双向认证
客户端与服务端同时验证证书,杜绝中间人攻击。CA 信任链 + URI SAN 语义 + 证书绑定三重校验。
四通道分离
Command、Event SSE、DB Delta、OCSP 四条独立通道,职责分离、故障隔离、互不挤占。
四类独立 CA
CP 服务端、节点客户端、TCP 服务端、App 客户端——四类 CA 独立管理,最小化爆炸半径。
Lua 云函数
沙箱化 Lua 5.4 运行时,禁止 IO/OS/debug 访问。独立线程池 + 背压限流,不影响核心链路。
线程域隔离
IO / Logic / DB / Crypto / CloudFunction 五大线程域物理隔离,互不阻塞、可独立扩容。
Fail-Closed 设计
PKI 未初始化不开端口、CA 校验失败拒连接、OCSP revoked 拒握手——默认安全,非默认开放。
OCSP Stapling
节点主动拉取 OCSP 响应并 staple 到 TLS 握手。SDK must-staple 验证,证书吊销实时生效。
双数据库后端
SQLite 轻量部署 / PostgreSQL 规模化,统一抽象层无缝切换。Control DB 与 Runtime DB 独立。
系统架构
三进程分离 + 四通道通讯,每个组件职责单一、故障域隔离
性能指标
在真实硬件上实测,非理论值
| 指标 | 数值 | 说明 |
|---|---|---|
| Token 登录 | <3ms | 含 DB 查询 + HMAC-SHA256 + Token 签发 |
| 心跳处理 | <0.3ms | Session 更新 + 状态同步 |
| TLS 握手 | <15ms | mTLS 双向认证 + OCSP Stapling 验证 |
| 云函数执行 | <5ms | Lua 5.4 沙箱,含序列化开销 |
| 密码哈希 | <0.1ms | HMAC-SHA256 高速版本化方案 |
安全,不妥协
每一个设计决策都优先安全,而非便利
Fail-Closed 默认安全
PKI 未初始化?不开端口。CA 校验失败?拒绝连接。证书被吊销?拒绝握手。系统默认状态是关闭的——只有显式配置正确才开放服务。
零信任证书体系
四类独立 CA 各管一域。mTLS 握手验证 CA 信任链 + clientAuth EKU + URI SAN 语义 + CP 绑定——四道约束全过,才允许通讯。
实时证书吊销
节点主动拉取 OCSP 响应,staple 到每次 TLS 握手。SDK must-staple 强制验证。吊销 → 所有新连接立即拒绝,无缓存窗口风险。
故障域物理隔离
五大线程域互不共享。SSE 长连接独占线程池,不挤占 CP 短请求。云函数有背压限流,不影响认证热路径。一个域故障,其他域继续服务。