CRelay is an encrypted API relay with replay protection. It protects sensitive API payloads beyond HTTPS using AES-256-GCM encryption, timestamp freshness, route-bound AAD, and encrypted responses within a trusted gateway boundary.

Is CRelay a replacement for HTTPS?

No. CRelay is not a replacement for HTTPS. It adds application-level payload encryption on top of HTTPS to protect sensitive data even if TLS is terminated or intercepted at a proxy.

Is CRelay zero-knowledge?

No. CRelay v0.1 operates as a trusted gateway boundary. The relay server decrypts payloads to forward them to target APIs. Zero-knowledge architecture is not a feature of v0.1.

How does CRelay prevent replay attacks?

CRelay uses timestamp freshness validation combined with unique nonces and route-bound Authenticated Associated Data (AAD) to ensure each request is unique and cannot be replayed.

What encryption does CRelay use?

CRelay uses AES-256-GCM for payload encryption, providing both confidentiality and integrity verification.

وسيط API مشفّر يحمي من إعادة الإرسال

يحمي CRelay بيانات طلبات API الحساسة بعد HTTPS، عبر تشفير AES-256-GCM، والتحقق من حداثة الطلب، وربط الحمولة بالمسار، وتشفير الاستجابة.

اطلب الوصول إلى التجربة الخاصة عرض المشروع على GitHub

SDK مفتوح. بروتوكول موثّق. حماية مُدارة.

SDK العميل

بوابة CRelay

واجهة API لديك

استجابة مشفّرة

HTTPS يحمي القناة. CRelay يحمي الحمولة.

بعد انتهاء TLS، قد تظهر البيانات الحساسة داخل السجلات أو البروكسيات أو الطوابير أو الخدمات الداخلية. يضيف CRelay حماية على مستوى الحمولة نفسها، مع منع إعادة الإرسال وربط الطلب بسياقه الصحيح.

بعد انتهاء TLS

عند انتهاء TLS، تصبح الحمولة نصًا واضحًا داخل البنية التحتية؛ وقد تصل إلى السجلات والطوابير والبروكسيات.

خطر إعادة الإرسال

من دون حماية من إعادة الإرسال، يمكن استخدام الطلبات الملتقطة مرة أخرى. قبول الحمولة نفسها مرتين قد يعني رسومًا مزدوجة أو إجراءات مكررة.

خلط المسارات

من دون ربط الحمولة بالمسار عبر AAD، قد تُقبل حمولة مشفّرة وصحيحة لكن في سياق غير مقصود.

آلية العمل

يشفّر SDK الطلب

يشفّر SDK في تطبيقك حمولة الطلب باستخدام AES-256-GCM، ويربط AAD بطريقة الطلب والمسار والمستأجر.

تتحقق البوابة من AAD والحداثة وإعادة الإرسال

تراجع البوابة حداثة الطابع الزمني، وتتأكد من تطابق AAD مع المسار، وترفض أي طلب مكرر.

تمرر البوابة الطلب إلى الوجهة المسموحة

لا يصل الطلب بعد فك تشفيره إلا إلى عناوين URL المعتمدة مسبقًا.

تشفّر البوابة الاستجابة قبل إرجاعها

تُشفّر استجابة الخدمة باستخدام AAD مخصص للاستجابة قبل أن تعود إلى SDK.

يفك CRelay التشفير داخل حدود البوابة الموثوقة فقط لتطبيق فحوصات الأمان، ثم يمرر الطلب إلى الوجهة التي سمحت بها.

ميزات الأمان

AES-256-GCM

تشفير مصدّق بمفاتيح 32 بايت، وnonce بحجم 12 بايت، وعلامات مصادقة 16 بايت. نمط تشفير معتمد وشائع في الأنظمة الحساسة.

حماية من إعادة الإرسال

كل طلب يحمل nonce فريدًا. ترفض البوابة أي nonce سبق استخدامه داخل نافذة الحداثة.

حداثة الطابع الزمني

يجب أن تصل الطلبات ضمن نافذة زمنية قابلة للضبط، والافتراضي 5 دقائق. تُرفض الطلبات القديمة تلقائيًا.

AAD مرتبط بالمسار

تربط بيانات المصادقة الإضافية كل عملية تشفير بطريقة الطلب والمسار والمستأجر. هذا يمنع خلط المسارات.

قوائم وجهات مسموحة

لا تُمرر الطلبات إلا إلى عناوين URL المعتمدة مسبقًا. هذا يقلل مخاطر SSRF والتوجيه غير المصرح به.

استجابات مشفّرة

تُشفّر الاستجابات قبل إرجاعها إلى SDK، باستخدام AAD مخصص للاستجابة (RESPONSE:/path:tenantId).

تحقق صفري الثقة على مستوى الحمولة

CRelay لا يفترض أن الطلب آمن لمجرد أنه وصل عبر HTTPS.

كل طلب محمي يجب أن يثبت أنه مشفّر بالمفتاح الصحيح، حديث، غير مكرر، مربوط بالمسار المقصود، ومتجه فقط إلى API مسموح.

يقوم CRelay بفك التشفير داخل حدود البوابة الموثوقة لتطبيق هذه الفحوصات، تمرير الطلب، ثم تشفير الاستجابة وإعادتها للعميل.

تشفير الحمولة

تتم حماية بيانات الطلب والاستجابة باستخدام AES-256-GCM.

منع إعادة الإرسال

يتم رفض requestId أو nonce المكرر.

التحقق من حداثة الطلب

يتم رفض الطلبات القديمة أو المؤرخة في المستقبل.

ربط الطلب بالمسار

يتم ربط الحمولة بالـ method والمسار والـ tenant المقصود.

السماح بالوجهات المحددة

لا يتم تمرير الطلب إلا إلى upstream origin مسموح.

لا نسجل الحمولة

يسجل CRelay بيانات تشغيلية فقط، وليس محتوى الطلبات أو الاستجابات.

أسئلة حول تسجيل الحمولة

هل يسجل CRelay بيانات الطلب؟

لا. CRelay لا يسجل عمدًا محتوى الطلبات أو الاستجابات بصيغتها النصية.

يسجل CRelay بيانات تشغيلية ضرورية للتشخيص والاعتمادية، مثل request ID، tenant ID، key ID، method، path، حالة الاستجابة من الـ upstream، رمز الخطأ، ومدة التنفيذ.

لا يتم تسجيل مفاتيح API الخام، أو مفاتيح التشفير، أو محتوى الطلبات، أو محتوى الاستجابات.

هل CRelay نظام zero-knowledge؟

لا. CRelay في الإصدار v0.1 ليس نظام zero-knowledge.

تقوم البوابة بفك التشفير داخل حدود موثوقة حتى تتمكن من تطبيق حماية إعادة الإرسال، التحقق من حداثة الطلب، ربط الحمولة بالمسار، السماح بالوجهات المحددة، وتشفير الاستجابة.

مصمم للمطورين

quickstart.ts
import { CRelayClient } from "@crelay/sdk";
const client = new CRelayClient({
  apiKey: process.env.CRELAY_API_KEY!,
  baseUrl: "https://gateway.crelay.dev",
  tenantId: "tenant_demo",
  kid: "key_v1",
  keyB64: process.env.CRELAY_KEY_B64!,
});
const response = await client.secureRequest({
  targetUrl: "https://api.example.com/internal/action",
  method: "POST",
  data: { amount: 1000 },
});

اقرأ مستندات SDK افتح دليل البدء السريع

SDK مفتوح. بروتوكول موثّق. حماية مُدارة.

يبقي CRelay الأجزاء الموجهة للمطورين واضحة وقابلة للمراجعة: SDK، والبروتوكول، ونموذج التهديد، ودليل البدء السريع. وتوفر البوابة المستضافة طبقة الحماية المُدارة لإيقاف إعادة الإرسال، والتحقق من الحداثة، وربط AAD بالمسار، وتحديد الوجهات المسموحة، وتشفير الاستجابات.

SDK مفتوح

راجع مسار التشفير من جهة العميل وادمج CRelay في دقائق.

بروتوكول موثّق

اطلع على تنسيق الظرف، وقواعد AAD، ونموذج الحداثة، وافتراضات التهديد.

دليل بدء سريع

شغّل بوابة محلية تجريبية وواجهة API لفهم مسار الطلب المشفّر بالكامل.

بوابة مستضافة

استخدم بوابة CRelay المُدارة لتطبيق الفحوصات، ومنع إعادة الإرسال، وتشفير الاستجابات.

شفافية كافية للمراجعة. وإدارة كافية للاستخدام العملي.

خارطة الطريق

قدرات مخطط لها للفرق التي تحمي حمولات API الحساسة.

إدارة مفاتيح BYOK للمؤسسات

الجدول الزمني: مخططالحالة: مخطط

خيارات لإدارة المفاتيح للمؤسسات التي تحتاج تحكمًا أكبر في حفظ المفاتيح وسير عمل تدويرها.

تحقق الحمولة المرتبط بالسياسات

الجدول الزمني: Q2 2026الحالة: مخطط

هوية workload، سياسات على مستوى المسار، قرارات سياسة، بيانات حالة المفاتيح، وسجلات تدقيق لقرارات التحقق.

حماية حمولة AI APIs

الجدول الزمني: Q3 2026الحالة: مخطط

حماية الـ prompts الحساسة، بيانات tool-calling، سياق RAG، واستجابات الذكاء الاصطناعي عند تمريرها عبر AI proxy أو backend مملوك للعميل.

سيساعد CRelay الفرق على تشفير طلبات واستجابات AI، التحقق من حداثة الطلب، منع إعادة الإرسال، ربط الطلب بالمسار المقصود، والسماح فقط بالتمرير إلى نقاط AI proxy المعتمدة.

CRelay لا يجعل مزودي الذكاء الاصطناعي الخارجيين zero-knowledge. إذا قام backend بإرسال prompt بصيغته النصية إلى مزود AI خارجي، فالمزود سيستقبل هذا المحتوى. دور CRelay هو حماية الحمولة داخل حدود تطبيقك وطبقة التحقق قبل تمرير الطلب.

دعم GraphQL

الجدول الزمني: مخططالحالة: مخطط

أنماط حماية لحمولات GraphQL مع الحفاظ على نموذج CRelay لإيقاف إعادة الإرسال، التحقق من الحداثة، وربط الطلب بالسياق.

تشفير WebSocket

الجدول الزمني: مخططالحالة: مخطط

استكشاف تحقق مشفر للرسائل في الاتصالات طويلة العمر من دون إضعاف نموذج HTTP API.

توزيع المفاتيح عبر عدة مزودين سحابيين

الجدول الزمني: مخططالحالة: مخطط

أنماط تشغيلية لتوزيع بيانات المفاتيح عبر بيئات سحابية متعددة.

لوحة الامتثال والتدقيق

الجدول الزمني: مخططالحالة: مخطط

واجهة مستقبلية لمراجعة وضع التحقق، البيانات التشغيلية، وأحداث الأمان.

اطلب الوصول إلى التجربة الخاصة

HTTPS يحمي القناة. CRelay يحمي الحمولة.

تحقق صفري الثقة على مستوى الحمولة

CRelay لا يفترض أن الطلب آمن لمجرد أنه وصل عبر HTTPS.

SDK مفتوح. بروتوكول موثّق. حماية مُدارة.