深度揭秘BitUniverse如何保障用户API Key的安全性

0.589字数 1939阅读 1469

什么是BitUniverse?

BitUniverse(币优)是一款一站式全功能的数字货币管理工具,提供一站式的数字货币追踪、分析、存储与交易功能,包括自动持仓资产与盈亏追踪、200+交易所与6000种数字货币的实时行情与专业数据追踪、个性化提醒、聚合交易、量化交易(如网格交易)等。


什么是网格交易?

最近,BitUniverse的网格交易功能成为了熊市里的一个灯塔,受到了众多用户的喜爱。网格交易是一种自动化的量化交易策略,非常适合震荡行情。简单来说,就是在一个币不断波动的过程中自动化地低买高卖,持续获取利润。根据用户实际操作下来,年化收益率都在100%以上。目前微信一群已经人满,想要交流网格交易,可以加微信机器人(微信号Circle_maya)回复“财富密码”加入二群,里面还有诸多量化大神,手把手地教你如何使用网格交易策略,赚到最多的钱。

以下是一些用户用网格交易的用户,既有赚短期波动收益的,也有赚长期稳定币收益的,收益率是余额宝的十倍。


为什么要上传API Key?

很多量化类的产品都需要用户把资金冲入到他们的账户,在现在熊市的状态下,一些交易所都跑路了,资金存到一些没有保障的小机构更是非常不安全的。而BitUniverse采用API下单的形式,用户只需要提供交易所的API,我们就可以帮助用户下单买卖,资金全部存放在交易所中,无需托管给BitUniverse,再也不用担心财产受到损失。而且大型交易所基本都支持权限控制,意味着我们无法拥有提取你的资金,哪怕API Key被盗,资金也不会被黑客提走。


API Key存在BitUniverse服务器安全吗?

很多用户因为之前听说过币安交易所等API Key被盗的事件,会非常担心自己的API Key安全问题。在这里,我先解析一下币安的API Key被盗事件。币安的事件核心原因是黑客利用钓鱼网站骗取用户填写自己的API Key,然后黑客收集到许多API Key之后,先提前购买一个市值非常低,而且交易量比较小的币,然后使用窃取的API Key集中下单购买那个小币,然后再出货卖出,全部换成BTC,然后再提取BTC到自己的钱包,完成攻击。因此可以看到,币安API Key被盗事件的核心是钓鱼网站,而不是存放在一个地方被盗。

但这当然不代表,BitUniverse团队就简单地上传用户的API Key,不加任何保护措施,反而我们在各个环节做了大量的技术方案,深度保护你的APIKey安全,接下来我仔细介绍一下我们的安全方案。


首先扔一张高级的架构图出来:

看完这张图是不是一头雾水???有一种不明觉厉的感觉。


API Key存储架构详解 

API Key的存储

首先我们的API Key是存储在Private VPC中的。什么是Private VPC呢?说得简单一些就是一个隔离的专属网络服务器中,这个服务器中的数据是不能通过互联网访问的,只能通过一个中介服务器API Key Service来访问,而这个访问也只是接口形式的,就是说只能调用一个函数来实现一个功能,而不能直接去读取数据库。所以保证了这些数据没有办法被黑客通过攻击服务器来获取。Private VPC用的是Amazon AWS的服务器,存储在海外,非常安全。

其次,在API Key从本地上传至这个Private VPC的过程中,首先需要使用用户注册账号时的信息用公钥进行加密传输,这个加密是非对称加密算法(非对称加密技术就是一个信息用公钥加密之后,用私钥可以解密,用私钥加密之后,用公钥没有办法解密),所以传输过程中,即时加密后的API Key被黑客截获,因为他没有私钥,也无法获取到真实的API Key。


API Key的调用

在我们需要使用到用户的API Key来进行下单时,我们也做了大量的工作来防止被恶意下单或者API Key被盗取。

首先,为了确认这个订单是你本人下的,你登录之后我们会生成一个access token和一个refresh token。access token是通过refresh token生成的,access token用来做网络传输,进行下单操作,过几分钟之后就会失效,防止重放攻击,而refresh token的生命周期较长,我们设置了一个月,用来让用户不用不停地去登录自己的账号密码,提升用户体验。

在下单的时候,我们会把要下单的信息(比如哪个交易所、哪个币种、买卖多少个等)上传到二级的VPC里(如果是普通的订单就用普通VPC,如果是网格订单就用网格VPC)。然后同时将你的access token用非对称加密算法加密,然后二级的VPC会使用前面提到的接口问最底层的物理隔离服务器去使用你的API Key下单,并且验证你的access token是不是真的。如果是真的,就会解密你的API Key,然后把你的的API Key用签名算法签名之后提交给交易所,然后成功下单,然后再重新加密API Key(整个过程在毫秒级别,几乎不可能被黑客在这个时间内破解并窃取API Key)。


总结一下

整体来说,你的API Key是存在一个物理隔离的私有服务器中,外界几乎没有任何渠道去访问,而且这些API Key也是加密存储在数据库里的,哪怕黑客偷走了数据库,由于这些API Key是用用户信息对应的私钥进行加密过的,他无法知道哪个API Key是哪个用户的,所以也无法解密。

在用你的API Key下单的时候,整个过程是在物理隔离服务器中进行的,然后整个过程只有毫秒级的时间,黑客几乎没有可能性在这么短的时间攻破这个服务器去偷走你的API Key。


所以,你的API Key非常非常安全!


看到这里心动了?怎么下载BitUniverse?

到我们的官网下载:https://www.biyou.tech/

有问题的话还可以加我们的机器人,然后拉你进群讨论,机器人微信号:Circle_maya

推荐阅读更多精彩内容