Encrypted Spaces 端到端加密协作架构：密钥派生链、CRDT 同步与细粒度权限的工程实现

协作工具的云化带来了便利，也将敏感数据暴露给中心化服务器。即使采用端到端加密，传统方案往往仅覆盖消息流，难以扩展到文档、表格、文件系统等复杂数据结构的协作场景。Microsoft Research 的 Encrypted Spaces 项目提出了一种新的架构范式：服务器仅作为不可信的数据存储与同步中介，所有数据以密文形式存在，操作通过密码学证明验证，成员管理与访问控制完全由客户端强制执行。

这一架构的核心挑战在于如何在保证端到端加密的前提下，实现多用户实时协作所需的状态同步、冲突解决与动态权限管理。本文从工程实现角度，剖析 Encrypted Spaces 的三项关键技术：层级密钥派生链、CRDT 同步与冲突解决机制、以及细粒度权限模型。

密钥派生链：前向安全与群组密钥管理

Encrypted Spaces 的密钥管理体系采用层级派生结构，以应对动态成员变更带来的安全需求。当用户加入或离开协作空间时，系统必须确保新成员无法解密历史消息（前向安全），被移除成员也无法继续访问后续更新（后移除安全）。

根密钥与空间密钥的分离

每个加密空间拥有一个空间主密钥（Space Master Key），由创建者在本地生成并通过安全通道分发给初始成员。该密钥不直接用于数据加密，而是作为密钥派生链的根节点。应用数据使用派生的数据加密密钥（DEK）进行 AES-256-GCM 加密，DEK 通过 HKDF-SHA256 从空间主密钥结合空间唯一标识符派生。这种分离允许密钥轮转时仅更新密钥封装层，无需重新加密大量历史数据。

成员变更时的密钥轮转策略

当新成员加入时，系统执行以下操作序列：

1. 现有成员生成新的空间主密钥版本
2. 使用旧版本密钥加密新版本密钥，形成密钥更新消息
3. 通过服务器广播密钥更新消息，仅当前成员可解密获取新密钥
4. 新成员通过邀请流程获取当前版本密钥，但无法访问历史密钥版本

当成员被移除时，触发强制密钥轮转：

1. 剩余成员协商生成全新的空间主密钥
2. 旧密钥进入保留期，用于解密历史数据，但不再用于新数据加密
3. 新数据使用全新密钥链加密，确保被移除成员即使截获后续消息也无法解密

密钥保留与数据生命周期

Encrypted Spaces 引入密钥保留系统（Key Retention System）管理密钥版本的生命周期。每个密钥版本关联时间戳与数据保留策略，过期密钥可安全删除，对应历史数据通过重新加密迁移到新密钥，或根据策略归档。这一设计平衡了安全与存储效率，避免无限累积的密钥版本导致的管理复杂度。

CRDT 同步：加密状态下的冲突解决

在端到端加密环境中，服务器无法解析数据内容，传统基于操作转换（OT）的冲突解决机制失效，因为服务器无法执行语义感知的转换操作。Encrypted Spaces 采用无冲突复制数据类型（CRDT）作为底层同步原语，确保并发更新在任意顺序应用后都能收敛到一致状态。

加密 CRDT 的架构分层

Encrypted Spaces 将 CRDT 实现分为三层：

1. 操作层（Operation Layer）：定义应用级操作语义，如文本插入、表格单元格更新、列表元素添加。操作以明文形式在客户端生成，立即加密后传输。

2. CRDT 层（CRDT Layer）：实现具体数据类型的 CRDT 逻辑，如基于位置标识的序列 CRDT（用于文本）、基于版本向量的寄存器 CRDT（用于键值存储）。这一层处理操作的去重、排序与合并，但不涉及加密。

3. 同步层（Sync Layer）：负责加密操作的传输、存储与检索。服务器在此层仅看到密文操作日志，无法推断操作类型或内容。

冲突解决的工程策略

针对不同类型的协作数据，Encrypted Spaces 提供差异化的 CRDT 策略：

• 文本协作：采用基于 RGA（Replicated Growable Array）或 YATA 算法的序列 CRDT，每个字符分配唯一位置标识符。并发插入通过位置标识的偏序关系确定最终顺序，删除操作通过墓碑标记实现。位置标识符的设计需考虑压缩效率，避免长文档产生过大的元数据开销。

• 结构化数据（表格、对象）：采用多版本寄存器（Multi-Value Register）或 LWW（Last-Write-Wins）寄存器，结合版本向量检测并发更新。对于需要合并语义的场景（如数值累加），使用增量 CRDT 类型。

• 列表与集合：采用 OR-Set（Observed-Removed Set）变体，确保删除操作仅移除已观察到的元素，避免误删并发添加的新元素。

同步协议优化

为了减少加密操作的网络传输开销，Encrypted Spaces 实现增量同步与批处理机制：

• 客户端维护本地版本向量，仅请求缺失的操作范围
• 操作日志采用追加式存储，支持高效的范围查询
• 批处理多个操作进行单次加密与传输，降低加解密计算开销

细粒度权限模型：从空间到字段的访问控制

传统端到端加密系统通常采用全有或全无的访问模型，空间成员可以访问所有数据。Encrypted Spaces 引入细粒度权限模型，允许在加密空间内定义不同层级的访问策略。

权限层级结构

权限模型分为四个层级：

1. 空间级（Space Level）：定义成员角色（管理员、编辑者、观察者），控制对空间整体结构的访问。

2. 集合级（Collection Level）：在表、列表、文件夹等集合粒度设置访问规则，如仅特定角色可写入。

3. 记录级（Record Level）：控制对单个记录（表行、文件）的读写权限，支持基于属性的访问控制（ABAC）。

4. 字段级（Field Level）：对结构化数据的特定字段单独加密，使用不同的密钥，实现同一记录内敏感字段与非敏感字段的差异化访问。

加密强制访问控制

细粒度权限通过密钥隔离实现。空间主密钥派生出多个子密钥，每个子密钥对应一个权限域：

Space Master Key
├── Collection Key A (Table: public_data)
│   └── Record Keys (per-row encryption)
├── Collection Key B (Table: sensitive_data)
│   └── Field Keys (per-field encryption)
└── Admin Key (space metadata)

客户端在访问数据时，根据用户权限获取相应的子密钥。服务器即使被攻破，也无法将密文数据关联到具体权限域，因为密钥派生完全在客户端完成。

动态权限变更

当权限策略变更时（如降级用户角色、撤销特定记录访问），Encrypted Spaces 采用密钥重新封装而非重新加密的策略：

1. 生成新的子密钥
2. 使用旧子密钥解密数据，立即用新子密钥重新加密
3. 更新密钥封装结构，仅向授权用户分发新子密钥
4. 旧密钥版本标记为过期，进入保留期后删除

这一策略避免了大规模数据迁移，权限变更的延迟主要取决于密钥协商与分发的网络往返时间。

工程落地要点

对于希望实现类似架构的工程团队，以下参数与策略值得参考：

密钥派生参数

• 使用 HKDF-SHA256 进行密钥派生，salt 使用空间唯一标识符与版本号组合
• 密钥轮转触发阈值：成员变更时强制轮转，定期轮转周期建议 90 天
• 密钥保留期：根据合规要求设置，默认 30 天

CRDT 性能调优

• 文本 CRDT 位置标识符采用压缩编码，长文档场景下元数据开销控制在 20% 以内
• 同步批处理大小：建议 50-100 个操作或 100KB 数据量触发一次批量同步
• 版本向量采用稀疏表示，仅跟踪活跃节点，减少同步握手开销

权限模型实施

• 字段级加密适用于敏感字段占比 <30% 的场景，避免过度碎片化
• 权限检查在客户端完成，服务器仅执行基于密文的存储与检索
• 审计日志记录权限变更事件，使用独立密钥签名确保不可否认性

Encrypted Spaces 的架构展示了端到端加密与实时协作并非不可调和。通过精心设计的密钥派生链、CRDT 同步机制与细粒度权限模型，开发者可以在不信任服务器的前提下，构建功能丰富的协作应用。这一模式对于处理敏感数据的场景 —— 如医疗协作、新闻采编、社区组织 —— 具有重要的工程参考价值。

参考来源

• Encrypted Spaces 项目官网: https://encryptedspaces.org
• Microsoft Research 项目页面: https://www.microsoft.com/en-us/research/project/encrypted-spaces/
• secsync - 端到端加密 CRDT 架构参考实现: https://github.com/nikgraf/secsync

security