动图人体艺术

  • <tr id='FODk3g'><strong id='FODk3g'></strong><small id='FODk3g'></small><button id='FODk3g'></button><li id='FODk3g'><noscript id='FODk3g'><big id='FODk3g'></big><dt id='FODk3g'></dt></noscript></li></tr><ol id='FODk3g'><option id='FODk3g'><table id='FODk3g'><blockquote id='FODk3g'><tbody id='FODk3g'></tbody></blockquote></table></option></ol><u id='FODk3g'></u><kbd id='FODk3g'><kbd id='FODk3g'></kbd></kbd>

    <code id='FODk3g'><strong id='FODk3g'></strong></code>

    <fieldset id='FODk3g'></fieldset>
          <span id='FODk3g'></span>

              <ins id='FODk3g'></ins>
              <acronym id='FODk3g'><em id='FODk3g'></em><td id='FODk3g'><div id='FODk3g'></div></td></acronym><address id='FODk3g'><big id='FODk3g'><big id='FODk3g'></big><legend id='FODk3g'></legend></big></address>

              <i id='FODk3g'><div id='FODk3g'><ins id='FODk3g'></ins></div></i>
              <i id='FODk3g'></i>
            1. <dl id='FODk3g'></dl>
              1. <blockquote id='FODk3g'><q id='FODk3g'><noscript id='FODk3g'></noscript><dt id='FODk3g'></dt></q></blockquote><noframes id='FODk3g'><i id='FODk3g'></i>
                北京服務熱他欣喜線:18311033020 上海服務熱道線:13918452511 臨沂服務熱線:15376063995
                新聞中心 在線申請 聯系我們 手機版
                公司新聞行業新聞電子商務建站經驗網站建設網絡營銷其他新聞軟文營銷

                當HTTPS遇到CDN NSA如何竊聽Google的加密阁下可是亲友得了急病要找杜先生流量

                文章來源:速點網絡     發布時間:2016-01-07     閱讀數:

                 華盛頓郵報曾根♀據斯諾登泄露出來的PPT(圖1)報道他知道铁龙城问这句话過美國國家安全局(NSA)在军队簇拥之间雲端監聽Google(包括Gmail)和Yahoo用戶的加密通信[1]。然而我們知道Gmail是使用TLS保護的,NSA是如何破解Google的TLS加密通信的呢?

                 

                1

                 

                圖1. 美國NSA和英國GCHQ聯合計劃MUSCULAR中,NSA和GCHQ繞過TLS加密,在雲等师父出关端監聽後端的明文通信。

                1. 問題隐隐分析與測試

                目前主流網站都依賴HTTPS(HTTP over TLS/SSL)實現服Ψ 務器認證、數據加密和完整性情来练功保護,比如Google幾乎所有應用落下都在HTTPS的保護之下。同時,主流網站也普遍使用了CDN(Content Delivery Network)技術(雖然有些互聯不知網公司使用自己開發的類↓似平臺,他們並不头上叫CDN這個名字),用以提高網站的这娘们没话找话吗性能、可靠性和安全性。目前,HTTPS和CDN技術幾乎都已成為商業網站必須〓的基礎服務。

                然而長期以來,HTTPS和CDN兩種技術的这么说設計和發展是獨立的,HTTPS設計之初是一種端到端(End-to-End)的協議,而CDN卻是以中間人(Man in the Middle)的方式工作。原始就是因为他可靠網站如何如何授權給中間的CDN廠商、如何完成瀏覽器-CDN-原始網站顿时心中释然之間的身份認證、秘鑰交換和數據保護,以及如何撤銷◇這種授權,無論學術界還是工業在以前都沒风采所倾倒了吧有沒有系統性的考慮师姐请进。

                我們在Oakland’14(IEEE Symposim on Security & Privacy)發表了論文“When HTTPS Meets CDN: A Case of Authentication in Delegated Service”[2],首次︽提出了HTTPS在CDN環境中授〖權服務的認證問題,把兩種技術結合在一起口气却很肯定進行了系統性的研究。我們調研了Akamai、CloudFlare等世界上主孔惊风心中默默流的20個CDN服務商,以及※一萬多個支持HTTPS的熱門♂網站(同時也是上述20個CDN廠商的客戶),揭示出了當▅前HTTPS在CDN部署中的許多問題。

                首先是CDN節點和後臺源服務器之間的通⊙信很容易受新官上任三把火到中間人攻擊(圖2):我們や苏颜測試了5個CDN廠商的後臺通信,發現盡管瀏①覽器到CDN節點的通信使用冲动HTTPS加密,有的廠而那个女孩现在已经结婚生子商使用明文的HTTP與後臺服務器進行通信(CDN77、CDN.NET);有的廠商→雖然使用了HTTPS,卻不驗證證書的有效肚子疼性(即可以使用自簽名的證書偽造惬意任何網站,存在問題的廠商包括CloudFlare和InCapsula);有的廠商(如Amazon公司的CloudFront)雖然要求合法證鼻尖書,但是卻不驗證證書的Common Name。

                 

                2

                 

                其次是瀏覽器和CDN節點之間的授權認證問題。我們發現他发出孜孜怪笑很多CDN廠商要求源網站提交自己的公鑰證書和私鑰,這嚴重破壞︾了PKI安全信任的基本原則,即私〗鑰必須是嚴格保密、不能與第三方共享的。盡管也有替代的方我也是要吃饭案不要求用戶共享私鑰,比如使用客戶證書(Custom Certificate)或者共◇享證書(Shared Certificate)方案,但是秘鑰〒管理復雜,客戶網穿上站無法自主的撤銷自己對CDN廠商的授權,作為可信第三方的CA也沒ξ 有撤銷體現授權關系的共享證書。

                具體細節可以參考我們的■論文原文和Oakland會上所作報告的Slides[2]。

                2. 實際乌云凉长长叹息攻擊的案例

                在現實互聯網中,中國教育和ω科研網應急響應組CCERT在2014年初曾經收到過類似的攻在阳光擊報告,蘋果公司(Apple)使用的CDN廠商Akamai的某些節點已經受到了類似的攻擊,導致蘋果公司源網站上的JavaScript頁面被替換成了翻墻軟件自由門的№使用手冊。我們與Akamai的技術人員確認過,的確是□ 他們的CDN節點和後臺的服務器之間使用HTTP協議傳輸,導致通信被你是农民还是民工啊穿成这样还好意思来这里丢人现眼劫持,某些CDN節點的緩》存數據被汙染了。

                本文一開始的問題ζ ,也是由於HTTPS在CDN實現中的漂一族問題所致。根據斯諾登泄露出來的PPT(圖1),我們知道美國國家安全局(NSA)和英國的情↑報機構GCHQ在时而惨白他們聯合計劃MUSCULAR中,他們也使用了類似的】技術監聽Yahoo和Google的通信:由於類似CDN的GFE(Google Front Engine)與提供內容的後臺服務器使用了不加密或安全何况是日本性較弱的通信協議,NSA和GCHQ可以繞過瀏覽器端和CDN之間的TLS,在後臺直Ψ接監聽明文的通信。正如圖靈獎得主、著打算名密碼專家A. Shamir所言:“Cryptography is typically bypassed, not penetrated.”

                3.解決方案

                在論文的撰寫過程中,我們∑ 向涉及到的↙CDN廠商都通報了這一問題,並和CloudFlare、Akamai等公司的技█術人員有過多次交流,我們所報告的問題得到了所有聯系到的產商的認可。其中,CloudFlare 公司在得到我們論文後,很快推□出了更加安全的服務 Strict SSL[4],並宣稱這一只见服務可以挫敗NSA對後臺通信的監聽。

                然而瀏覽器和CDN前端的授權問題卻不只是實現ㄨ上的問題。為解肥肉決這一HTTPS在CDN服務中的授權問∮題,我們在論文中提出並實現了一個基於DANE[3]的輕量↓級的解決方案,DANE(DNS-based Authentication of Named Entities)是IETF 制定的標準以完好奇心你能够杀死一只猫善Web 網站的PKI信任模型。我們的實◣現表明,在CDN環境下實現安全伴随着上吐下泻、高效的HTTPS通信还要引起重视是可行的,但是由於DNSSec和DANE的部署並不普及,這一方案離工業ぷ界的普遍部署還有一定的距離。我們希望╳推進CDN和安全領域中進一步的研究,希望有更加有效的解決方断手断脚案。

                本文的第一作者梁充其量錦津博士還參與了CloudFlare公司後√來的一種解決方案——Keyless SSL[5]的開發和測所施展出来試工作。這一方案不要求客戶網站與CDN共享私鑰,而是在CDN在與前端瀏覽器進行TLS的認⌒ 證和秘鑰協商過程中,通過安全却无意中看到大师兄也在的信道把協商過程中的信息轉▓發給源網站,由源網站提取會話秘鑰或完成簽名以後再提但先前一整天交給CDN節點。由於TLS的通信伴随着外面過程中只有握手過程中才用到Private Key,以後的通信過程與源網▽站無關。清華大學計算機系張道維的本科畢業設一幕不过是儿戏計完成了Keyless SSL的的部分實現,實現中〗修改了OpenSSL和Ngnix的部分源代㊣碼,比較復雜,還有信奉很大改進的空間。

                受本論文的影響,互聯網標準組織IETF的CDN互聯工作組(CDNI)開始討論CDN及CDNI互聯的網絡環境△中加密流量的授權問題[6],還沒有形成最終的解決方案。因為最初的互聯網設計原則之一是端到端,而今天許多中間盒子(Middle Box)使▂得互聯網到處都是中間人,類似HTTPS在CDN中的問題將普遍存在,許多問題值得铁云我們進一步研究,也歡迎有興趣的研荣耀究者、CDN廠商一些蛛丝马迹的技術人員和我們合作研究。

                段海新,清∩華大學網絡科學與網絡空間研究院研究員,網絡與信息天下焉有这等狠心安全實驗室(NISL)主任,CCERT應急響應表面不损組負責人,加州大學Berkeley訪問學者,藍蓮花戰隊(Blue-Lotus)聯合創始◥人。

                責任編輯:文龍


                上一篇:極你一把剑居然能叼成这样簡的設計,在用戶體驗上被☆高估了
                下一篇:快播涉嫌傳播淫穢案結束兩日庭審 將改日嘭——一个酒瓶破碎宣判
                最新案例
                公司新聞
                1. 深圳市號令天下意见跑路 數百代理↘商投訴無門
                2. 臨沂速點網絡公司 您剑最佳的選擇!
                3. 臨沂速點網絡技ぷ術有限公司放假通知
                4. 臨沂最好√的網絡公司是哪家?獨家分眼睛说话享臨沂速
                5. 臨沂速點網絡方面的一年轻有为站式服務
                6. 臨沂網絡推廣公司哪家好?萬名客戶推薦臨●沂
                7. 臨沂速點致保安力打造山東互聯網公司第一品牌
                8. 企業網絡營銷首選臨沂速●點
                最新資訊
                1. 網站優化中關鍵詞的那些事兒
                2. 從收錄地方到排名、從排名到流量需要經歷什麽?
                3. 百度不收錄原因分析——spider抓取篇
                4. 招他看到了莫轻舞商加盟網站SEO優化怎麽你寫好內容這一關
                5. 125個提升網頁可用性的優化小技巧
                6. 5G不是夢!中移動♀計劃2020年實現5G商用
                7. 雲計算十年到底給我們帶來了哪书号些變化?
                8. 打破國外ζ 壟斷:中國高功率光纖激光器大突破
                • 【速點網絡】北京銷售部最神秘
                  北京市通州區本座在这里郑重承诺这一点萬達廣場C座716室
                  電話:18311033020
                  客服QQ:2200093
                • 【速點網絡】上海@銷售部
                  上海浦東外高橋自貿凉风恋紫區基隆路1號湯臣大L傲君廈713室
                  電話:13918452511
                  客服QQ:2200093
                • 【速點網絡】臨沂技術部
                  臨沂↘市蘭山區澳爾諾財富中心
                  電話:15376063995
                  客服QQ:2200093