摘录


解决方案
        在论文的撰写过程中,我们向涉及到的CDN厂商都通报了这一问题,并和CloudFlare、Akamai等公司的技术人员有过多次交流,我们所报告的问题得到了所有联系到的产商的认可。其中,CloudFlare 公司在得到我们论文后,很快推出了更加安全的服务 Strict SSL[4],并宣称这一服务可以挫败NSA对后台通信的监听。
        然而浏览器和CDN前端的授权问题却不只是实现上的问题。为解决这一HTTPS在CDN服务中的授权问题,我们在论文中提出并实现了一个基于DANE[3]的轻量级的解决方案,DANE(DNS-based Authentication of Named Entities)是IETF 制定的标准以完善Web 网站的PKI信任模型。我们的实现表明,在CDN环境下实现安全、高效的HTTPS通信是可行的,但是由于DNSSec和DANE的部署并不普及,这一方案离工业界的普遍部署还有一定的距离。我们希望推进CDN和安全领域中进一步的研究,希望有更加有效的解决方案。
        本文的第一作者梁锦津博士还参与了CloudFlare公司后来的一种解决方案——Keyless SSL[5]的开发和测试工作。这一方案不要求客户网站与CDN共享私钥,而是在CDN在与前端浏览器进行TLS的认证和秘钥协商过程中,通过安全的信道把协商过程中的信息转发给源网站,由源网站提取会话秘钥或完成签名以后再提交给CDN节点。由于TLS的通信过程中只有握手过程中才用到Private Key,以后的通信过程与源网站无关。清华大学计算机系张道维的本科毕业设计完成了Keyless SSL的的部分实现,实现中修改了OpenSSL和Ngnix的部分源代码,比较复杂,还有很大改进的空间。
        受本论文的影响,互联网标准组织IETF的CDN互联工作组(CDNI)开始讨论CDN及CDNI互联的网络环境中加密流量的授权问题[6],还没有形成最终的解决方案。因为最初的互联网设计原则之一是端到端,而今天许多中间盒子(Middle Box)使得互联网到处都是中间人,类似HTTPS在CDN中的问题将普遍存在,许多问题值得我们进一步研究,也欢迎有兴趣的研究者、CDN厂商的技术人员和我们合作研究。

点评

NULL

原文

点击这里查看原文

其它

本帖内容由21QA云收藏工具自动生成,欢迎使用。

系统消息 若觉得内容不错,请点击左上角的"赞"图标,以优化网站的内容呈现。 另外,请及时验证注册邮箱,否则收不到21QA发出的红包。 官方Q群:250203055

asked 28 Feb, 21:15

%E8%B7%AF%E4%BA%BA%E7%94%B2's gravatar image

路人甲
131528584621

Be the first one to answer this question!
toggle preview

Follow this question

By Email:

Once you sign in you will be able to subscribe for any updates here

By RSS:

Answers

Answers and Comments

Markdown Basics

  • *italic* or _italic_
  • **bold** or __bold__
  • link: [text](http://url.com/ "title")
  • image: ![alt](/path/img.jpg "title")
  • numbered list: 1. Foo 2. Bar
  • to add a line break simply add two spaces to where you would like the new line to be.
  • basic HTML tags are also supported

Question tags:

×752
×18

question asked: 28 Feb, 21:15

question was seen: 94 times

last updated: 28 Feb, 21:15

powered by O*S*Q*A

粤ICP备14040061号-1