【溫馨提醒】文章內(nèi)容僅供參考,海外服務(wù)器租用\托管方案,請咨詢YINGSOO客服,24小時免費電話400-630-3752

　　【熱門主機】香港云主機丨云主機產(chǎn)品丨日本東京云主機丨游戲云主機

　　【熱搜問題】如何選云主機配置帶寬大?。科鋵嵑芎眠x

　　▌什么是證書/私鑰?

　　在數(shù)字化的網(wǎng)絡(luò)世界中，證書是一個人或者一個實體的有效標(biāo)識，就像日常生活中的身份證，可以唯一的標(biāo)識一個實體，比如網(wǎng)站。而與證書相對應(yīng)的“私鑰”則是證明該實體是證書持有者的關(guān)鍵。在目前廣泛部署的ssL/tLs協(xié)議中，網(wǎng)站通過傳遞自己的證書以及相對應(yīng)的“私鑰”簽名信息，來向網(wǎng)絡(luò)另一端的用戶證明自己的真實性。因此私鑰在網(wǎng)絡(luò)的認(rèn)證中具有極其重要的地位。換句話說任何形式的私鑰竊取或者濫用，會導(dǎo)致網(wǎng)站被克隆，惡意的攻擊者進(jìn)而可以對訪問的用戶進(jìn)行“釣魚”。私鑰的保護(hù)在互聯(lián)網(wǎng)中是至關(guān)重要的，私鑰對于一個提供互聯(lián)網(wǎng)服務(wù)的公司來說屬于其核心資產(chǎn)。

　　▌如何保護(hù)私鑰？

　　為了保護(hù)私鑰，現(xiàn)有的web服務(wù)器都會提供私鑰的加密服務(wù)，即私鑰以文件形式持續(xù)化存儲在硬盤上時是被加過密的。在服務(wù)啟動階段，通過輸入對應(yīng)的密碼進(jìn)行解密并加載到服務(wù)器的進(jìn)程中去。這種比較初級的保護(hù)措施能達(dá)到的安全效果有限。在服務(wù)器進(jìn)程加載了解密的私鑰后，私鑰會以明文的形式存在于系統(tǒng)內(nèi)存中，任何可能導(dǎo)致內(nèi)存信息被探測的軟件或系統(tǒng)漏洞，如2014年爆發(fā)的openssL心臟滴血漏洞，都可能造成私鑰內(nèi)容的泄露。

　　尤其是隨著互聯(lián)網(wǎng)規(guī)模的不斷擴(kuò)大，以前的單點服務(wù)模式已經(jīng)無法滿足互聯(lián)網(wǎng)大量用戶的請求。傳統(tǒng)的cdn或者新的基于cloud的cdn被大規(guī)模部署使用以提供高質(zhì)量的互聯(lián)網(wǎng)內(nèi)容服務(wù)。cdn是通常由第三方服務(wù)商或者電信運營商提供的網(wǎng)絡(luò)基礎(chǔ)服務(wù)，這就意味著對cdn上內(nèi)容的安全控制已經(jīng)遠(yuǎn)遠(yuǎn)超出了網(wǎng)站運營者的控制，尤其是需要提供Https服務(wù)的網(wǎng)站來說，如果想使用cdn對其內(nèi)容進(jìn)行緩存分發(fā)，必須要在cdn的服務(wù)節(jié)點上部署相應(yīng)的私鑰以滿足終端用戶接入Https時的認(rèn)證需求。正如前面所述，對私鑰部署在外部cdn節(jié)點上安全的擔(dān)憂一直是網(wǎng)站運營者的顧慮。

　　為了解決這一問題，不同的安全策略被各大cdn服務(wù)商提出。cdn服務(wù)商根據(jù)用戶的需求提供的不同的私鑰管理解決方案。第一種是私鑰完全托管，即網(wǎng)站運營者將自己網(wǎng)站使用的私鑰通過安全渠道發(fā)送給cdn服務(wù)商，由cdn服務(wù)商代其部署相應(yīng)的Https節(jié)點，當(dāng)然這種做法是完全無法打消之前的安全的顧慮的。因此，cdn服務(wù)商還會提供另一種策略即共享證書，這種方式實際上相當(dāng)于cdn服務(wù)商重新申請頒發(fā)一套新的證書，證書可以認(rèn)證的實體包含了cdn服務(wù)商所支持的網(wǎng)站，私鑰由cdn服務(wù)商持有。這種做法一定程度上緩解了網(wǎng)站運營者對自身私鑰安全的擔(dān)憂——因為使用的是cdn服務(wù)商共享證書的私鑰而不是自己網(wǎng)站的私鑰，但另一方面，對cdn服務(wù)商而言，如何保證共享證書的私鑰的安全，同樣也是一個難題。同時，這種共享證書的方式也增加了網(wǎng)站運營的管理負(fù)擔(dān)以及需要承擔(dān)的額外證書維護(hù)費用。

　　▌ Keyless ssL方案

　　2015年某cdn服務(wù)商提出了”Keyless ssL” [1] 方案。該方案在私鑰安全性和網(wǎng)絡(luò)性能之間做了一個折中， 引入了由網(wǎng)站運營者負(fù)責(zé)維護(hù)的“密鑰中心”來保存密鑰，對于cdn節(jié)點接受的每一個ssL請求，在cdn節(jié)點和密鑰中心間引入一條新的安全連接用于請求相應(yīng)的“私鑰服務(wù)”。盡管通過ssL session reuse和長鏈接的形式可以減少^{[菲律賓vps]}一定的開銷，但cdn節(jié)點和密鑰中心額外的安全鏈接的引入不可避免的帶來了網(wǎng)絡(luò)延時的增加和吞吐率的下降。

　　圖1. Keyless ssL 的建鏈流程 (RsAwrapping密鑰交換)

　　圖1 是Keyless ssL工作的典型流程，我們以tLs協(xié)議中最典型的RsA wrapping的密鑰交換形式為例說明Keyless ssL是如何工作的。在這類密鑰交換套件中，如圖示第3步，客戶端在驗證了服務(wù)端證書的有效性之后，使用證書中的公鑰對一個預(yù)主密鑰（后續(xù)導(dǎo)出鏈接會話密鑰的種子）進(jìn)行加密。根據(jù)RsA算法的特性，只有對應(yīng)的私鑰才能正確解密出上述密文。當(dāng)被加密的預(yù)主密鑰到達(dá)cdn節(jié)點時，為了完成內(nèi)容的檢索和分發(fā)的請求，cdn必須使用正確的私鑰對其進(jìn)行解密來完成ssL的握手，這也是為什么cdn節(jié)點需要知道其托管網(wǎng)站的私鑰。

　　Keyless ssL在這里引入了步驟4和5，在cdn節(jié)點不知道私鑰的情況下，向后端的密鑰中心（由真正的網(wǎng)站運營者管理）建立另一條安全連接，將需要被解密的報文轉(zhuǎn)發(fā)給對應(yīng)網(wǎng)站的密鑰管理中心，在網(wǎng)站運營者自己管理的密鑰中心里，預(yù)主密鑰被相應(yīng)的私鑰正確解密并發(fā)還給cdn節(jié)點，cdn節(jié)點利用預(yù)主密鑰即可完成ssL鏈接的建立。在整個過程中，網(wǎng)站私鑰始終由自己的密鑰中心管理，不必對外托管，cdn節(jié)點在不知道任何私鑰信息的情況成功完成了ssL的建鏈，整個過程中保證了私鑰的安全。

　　Keyless ssL在提高私鑰安全性的同時也引入了更多的限制。首先，顯而易見的對每一個客戶端發(fā)起的ssL請求，都會增加一個cdn到后端密鑰中心的交互，即增加了網(wǎng)絡(luò)延遲，這與cdn就近訪問原則相悖。另一方面，通過分布在全球各地的cdn節(jié)點，任何網(wǎng)站可以對不同地區(qū)的用戶提供高質(zhì)量的內(nèi)容服務(wù)，然而后端密鑰中心的引入，再次在分布式的網(wǎng)絡(luò)中引入了一個中心節(jié)點，使得所有的安全連接的建立都要回溯到一個密鑰中心，增加了網(wǎng)絡(luò)瓶頸。

　　現(xiàn)實中的一些大型網(wǎng)站運營方，為了緩解匯聚來的大量的ssL/tLs建鏈請求，即ssL握手中cdn節(jié)點傳送來的私鑰服務(wù)請求，往往會使用硬件加速器，比如intel? QAt，來卸載高cpU消耗的私鑰運算。另一方面， 憑著硬件加速器在Https服務(wù)中出色的性能加速效果，越來越多的網(wǎng)站和cdn服務(wù)商都開始標(biāo)準(zhǔn)化的部署硬件加速器，然而在Keyless ssL的方案中，cdn節(jié)點上部署的硬件加速器只能在數(shù)據(jù)傳輸階段提供幫助，對于運算量最大的建鏈握手階段卻無法為客戶的密鑰中心分擔(dān)壓力，一定程度上造成了資源重復(fù)配置和浪費。

　　▌基于intel? sgX 和 intel? QAt的cdn密鑰保護(hù)和Https加速方案

　　為了徹底解決這一問題，intel? QuickAssist technology (QAt)[2]技術(shù)團(tuán)隊在2017年提出了一種針對cdn私鑰保護(hù)的安全密鑰管理和分發(fā)體系。該方案利用intel? software guard extensions (sgX) [3] 技術(shù)構(gòu)建了安全的密鑰分發(fā)和保護(hù)體系，使用了intel? QAt硬件加速器在cdn節(jié)點上對ssL建鏈握手提供加速，擺脫了ssL請求中對后端密鑰中心的依賴，充分利用cdn分布式的特性大大提高了網(wǎng)絡(luò)性能。具體內(nèi)容發(fā)表在2017年的Acm symposium on cloud computing會議上[4].

　　圖2. 結(jié)合intel? sgX和intel? QAt的cdn密鑰保護(hù)和Https加速方案

　　圖2為我們展示了該方案的系統(tǒng)框圖。cdn節(jié)點上部署了intel? sgX和intel? QAt加速器。在phase 1階段，密鑰分發(fā)中心（Kdc）將相應(yīng)的私鑰通過sgX的Remote Attestation 流程安全的部署到相應(yīng)cdn節(jié)點的sgX enclave里面 （圖中Ksc中的Ks）。phase 2階段Ksc與intel? QAt建立安全通道協(xié)商出用于保護(hù)私鑰的會話密鑰，并用此會話密鑰將私鑰加密導(dǎo)出至cdn服務(wù)器的硬盤上。phase 3階段，相應(yīng)的web service啟動后，將硬盤中加密的私鑰直接載入內(nèi)存。在ssL建鏈階段，所有需要私鑰的操作均伴隨著內(nèi)存中加密的私鑰卸載至intel? QAt加速器中，QAt在硬件中完成私鑰的解密和相應(yīng)的運算并返回結(jié)果給上層的web service以完成ssL握手。

　　整個過程中cdn對私鑰的內(nèi)容不可見。同時該方案中還包含撤銷機制，當(dāng)發(fā)現(xiàn)疑似有安全漏洞的cdn節(jié)點時，Kdc可以撤銷其相應(yīng)的sgX enclave，保證私鑰及時銷毀并不再對其進(jìn)行密鑰部署。利用intel? QAt對公鑰算法良好的加速性能 [5] ，可以將單個cdn節(jié)點的ssL建鏈能力提升數(shù)倍，并且不需要每次向Kdc請求私鑰服務(wù)，消除了Keyless ssL網(wǎng)絡(luò)中密鑰中心的瓶頸同時提升了鏈接響應(yīng)時間。

　　▌總結(jié)

　　該方案是intel?安全技術(shù)和加速技術(shù)的典型結(jié)合，為cdn網(wǎng)絡(luò)提供了安全保障的同時大幅提高Https的處理性能。在intel? QAt下一代的產(chǎn)品中引入了Kpt（Key protection technology）技術(shù)，進(jìn)一步提供了更加完善和便捷的密鑰保護(hù)和加速方案，將在后續(xù)文章中詳細(xì)介紹。

　　本公司idc提供cdn、ssL協(xié)議服務(wù)，詳詢在線客服！

　　哪個有多IP的美國服務(wù)器出租

　　多IP的站群服務(wù)器，一般都會首推美國的。多個IP對于做站群網(wǎng)站來說是非常重要的。美國剛好在IP資源這塊是比較豐富的，擁有眾多的獨立IP。當(dāng)然本公司也是有專用于做站群使用的美國主機出租的，專業(yè)的搭配，可以讓您使用起來更放心一些。

　　什么是多IP的服務(wù)器呢?

　　通常一臺服務(wù)器上會有一個IP。多IP服務(wù)器可以理解^{[衡陽高防服務(wù)器]}為一臺服務(wù)器上同時存在有多個IP數(shù)量。多個IP下是可以同時放置有多個網(wǎng)站的。

　　那么多IP的美國服務(wù)器有哪些好處呢?

　　1、更有利于企業(yè)業(yè)務(wù)推廣

　　一臺服務(wù)器上多個IP的情況下，只要配置可以，都是可以同時放置多個網(wǎng)站的。針對于這個特點有很多企業(yè)都會選擇通過使用站群服務(wù)器的形式來進(jìn)行企業(yè)業(yè)務(wù)的推廣。同時設(shè)立多個站群網(wǎng)站來進(jìn)行SEO優(yōu)化，提升廣告曝光度^{[韓國服務(wù)器托管該如何選擇托管商]}。

　　2、降低降權(quán)風(fēng)險

　　在一個IP地址下放置多個網(wǎng)站的話，只要一個網(wǎng)站出現(xiàn)問題，就會導(dǎo)致其他網(wǎng)站一起被降權(quán)處理。如果使用多IP的形式來放置網(wǎng)站的話，在有網(wǎng)站出現(xiàn)問題的時候，可以及時的發(fā)現(xiàn)問題，也可以降低網(wǎng)站被降權(quán)的風(fēng)險。

　　3、提高主機的穩(wěn)定性

　　對于多IP的美國主機而言，只要主IP不被屏蔽，通常都是可以正常的被訪問的。一旦出現(xiàn)攻擊針對于某個副IP上時，只需要屏蔽掉附屬IP即可，這樣是不會影響到其他IP的正常訪問的。所以相對于單IP的主機來說，多IP的主機在穩(wěn)定性上會更好一些。

　　YINGSOO電話：400 630 3752

　　熱門文章：【lol從聊天服務(wù)器斷開】【香港服務(wù)器國內(nèi)加速】【2U服務(wù)器托管】【美國10G口大帶寬服務(wù)器速度快到想不到】【硬盤陣列故障】【宿遷IDC】【使用美國高防服務(wù)器建外貿(mào)網(wǎng)站的優(yōu)缺點】【亞馬遜微軟都在華投資】【云服務(wù)器品牌】【私服服務(wù)器】【ntp服務(wù)器】【云服務(wù)器有哪些系統(tǒng)】【買個服務(wù)器需要多少錢】【Core i3】【為什么選擇美國虛擬主機】【共享虛擬主機能干嘛】【vps 國外服務(wù)器】【帶寬配置費用】【500M便宜服務(wù)器】【傳奇服務(wù)器維護(hù)】【高防服務(wù)器多少錢一套】【香港站群服務(wù)器應(yīng)用】【機架式服務(wù)器和刀片式服務(wù)器的區(qū)別】【騰訊云服務(wù)器云服務(wù)器】【做游戲選擇什么服務(wù)器】【美國虛擬主機空間】【臺灣服務(wù)器租用價格貴不貴】【帶寬租用】【集群服務(wù)器】【國外網(wǎng)頁代理服務(wù)器】

　　YINGSOO美國主機月供3天免費試用. 海外云主機品牌

　　好網(wǎng)絡(luò),不怕曬!美國主機月供免費試用,自主平臺更可靠,海外云服務(wù)品牌2019年度美國主機月供銷量再度破表,超過1200家企業(yè)共同的選擇

　　http://www.sddonglingsh.com/products/cloud-us.html

　　韓國機房主機租用,選知名品牌YINGSOO

　　9年韓國機房主機租用業(yè)務(wù)運營經(jīng)驗,1200家企業(yè)客戶共同選擇.韓國Korea Telecom機房核心合作伙伴,機房帶寬資源充足,到國內(nèi)速度平均在80ms左右.

　　http://www.sddonglingsh.com/products/cloud-kr.html

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。