защита связи клиент/сервер

У меня особая среда, которая требует, чтобы я думал о безопасности немного нестандартно.

Задействованные компоненты:

Веб-сервис, который запрашивает данные у шлюза, обрабатывает их и отправляет веб-клиентам. Служба шлюза, которая запрашивает данные из серверной части базы данных.

Инфраструктуры PKI не существует.

Проблема заключается в том, как сделать связь между веб-сервером и шлюзом достаточно безопасной. Связь между веб-сервером и клиентами, а также между шлюзом и серверной частью выходит за рамки.

Проблема: код веб-сервиса следует считать небезопасным, поскольку он написан обычным текстом PhP. Служба шлюза написана на «скомпилированном» языке, поэтому можно (хотя и не рекомендуется…) хранить внутри достаточно запутанный общий секрет.

Какие концепции существуют для такого сценария по созданию аутентифицированного и зашифрованного безопасного канала, предпочтительно через SSL, при условии, что все коммуникации всегда происходят на веб-сервере.

(Кто-то уже упомянул в обсуждении «Использовать OAuth», но я не вижу в этом смысла, поскольку мне пришлось бы хранить учетные данные OAuth/токены доступа где-то в PhP --> Я не понимаю, как это может решить проблему проблема)