发布者:售前小黄 | 本文章发表于:2021-09-24 阅读数:2102
目前市面上做高防服务器的idc很多家,导致客户不知道如何选着产品。最近有客户在问高防服务中的“清洗”是什么意思?其实清洗是当你的服务器受到ddos流量攻击的时候,机房上层会监控异常流量,并对异常流量进行牵引,在不影响正常业务的前提下,清洗掉异常流量,保证客户业务的正常运行。快快网络江苏省BGP清洗区,位于长江三角洲核心区域,建立五层清洗模型,识别攻击模型直接在源头清洗,将使客户业务摆脱被攻击状态。
抗DDoS攻击流量清洗系统由攻击检测、攻击缓解和监控管理三大部分构成。
一 、检测系统首先通过检测网络流量中隐藏的非法攻击流量,发现攻击后及时通知并激活防护设备进行流量的清洗;
二 、缓解系统通过专业的流量清洗功能,将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离,还原出的合法流量回注到原网络中转发给目标系统,其它合法流量的转发路径不受影响;
三 、监控管理系统实时展现DDOS攻击数据流量,流量清洗报表,实时连接数、请求数、带宽报表等数据。
企业一定要提前做好安全防护措施,接入专业的抗DDoS攻击高防服务,对可能出现的非法流量进行清洗,保障正常用户的运行,避免企业因恶意攻击流量而受到经济损失。
流量清洗服务的定位
主要面对高防服务器租用中的客户,尤其是对互联网络有高度依赖性并且容易受到DDoS等流量攻击的客户是本产品的主要使用群体,这类客户主要有金融行业、游戏行业、电商行业、视频行业等。
流量清洗的部署方式
通过在IDC出口通过旁挂的方式部署探测设备及防护设备,通过路由方式引导客户流量清洗,实现DDos防护功能。
联系快快网络客服小黄QQ98717256-------智能云安全管理服务商-----------------快快i9,就是最好i9。 快快i9,才是真正i9!
网站没备案如何选择高防?快快网络香港高防弹性云助您无忧
在中国内地运营网站,备案是一项基本要求。然而,对于一些初创企业或者个人开发者来说,备案过程可能较为繁琐,或者由于某些原因暂时无法完成备案。在这种情况下,选择合适的高防服务变得尤为重要。本文将探讨在网站未备案的情况下,如何选择一款适合的高防服务,并特别介绍快快网络香港高防弹性云的优势。未备案网站面临的挑战安全性问题:未备案的网站更容易成为黑客攻击的目标,尤其是DDoS攻击,可能导致服务中断。合规性问题:在中国内地,未备案的网站可能面临法律风险,影响长期运营。用户体验:攻击事件可能导致用户体验下降,影响用户留存率和品牌声誉。选择香港高防服务的优势香港作为一个国际金融中心,拥有成熟的网络基础设施,并且不受中国大陆的备案制度约束,因此成为众多未备案网站选择高防服务的理想地点之一。以下是选择香港高防服务的一些优势:无需备案在香港部署的服务器不需要进行ICP备案,可以快速部署并上线服务。国际带宽香港拥有丰富的国际出口带宽资源,能够为全球用户提供稳定的服务体验。地理位置优势香港地处亚洲中心位置,距离中国大陆较近,能够提供较低的网络延迟,保证访问速度。高防御能力专业的香港高防服务提供商能够提供针对DDoS等多种网络攻击的防御能力,确保服务的连续性。快快网络香港高防弹性云的优势快快网络香港高防弹性云以其独特的技术和服务优势,在众多高防服务中脱颖而出:弹性防御快快网络香港高防弹性云支持根据实际攻击流量自动调整防御能力,确保资源利用最大化。智能防护采用先进的AI算法,能够自动识别并过滤恶意流量,降低误报率,提升防护效果。全方位防护提供包括DDoS防护、CC攻击防护、SQL注入防护等多项安全服务,全面保障网站安全。快速响应专业的技术团队提供7x24小时全天候监控与支持,确保在攻击发生时能够快速响应并解决问题。灵活计费提供按需计费模式,用户可以根据实际使用情况灵活选择套餐,降低运营成本。易于管理用户可通过简洁的控制面板轻松管理服务器,包括配置防火墙规则、查看攻击日志等功能。如何选择适合的高防服务?评估需求:明确网站面临的攻击类型和频率,选择相应级别的防护服务。考察服务商:选择有丰富经验和技术实力的服务商,确保服务质量和稳定性。测试性能:在正式签约前,进行性能测试,验证服务的实际防护效果。签订合同:仔细阅读服务条款,确保自己的权益得到保障。成功案例分享某跨境电商平台在未完成备案的情况下,选择了快快网络香港高防弹性云服务。通过部署该服务,平台成功抵御了多次大规模DDoS攻击,保证了业务的连续性和用户体验。对于尚未完成备案的网站来说,选择合适的高防服务是保障网站安全、提升用户体验的重要环节。快快网络香港高防弹性云以其无需备案、国际带宽、地理位置优势、高防御能力、智能防护、快速响应、灵活计费以及易于管理等优势,成为了众多网站主的优选。如果您正在寻找一款可靠的高防服务,快快网络香港高防弹性云将是您的理想选择。
SCDN技术如何解决延迟与安全双重挑战?
用户对网络服务的质量要求不断提高,无论是企业级应用还是个人用户,都期望在任何时间、任何地点都能享受到快速、稳定且安全的网络体验。然而,在实际应用中,网络延迟和安全威胁却时常成为影响用户体验的主要障碍。为了应对这些挑战,SCDN(Secure Content Delivery Network,安全内容分发网络)作为一种结合了CDN(内容分发网络)与WAF(Web应用防火墙)技术的创新解决方案,正逐渐成为解决延迟与安全双重挑战的关键工具。那么SCDN技术如何解决延迟与安全双重挑战?解决延迟挑战1. 内容缓存与就近分发全球节点部署:SCDN在全球范围内部署了众多边缘节点,用户请求会被路由到距离最近的节点进行处理,从而减少数据传输的物理距离,缩短延迟时间。智能缓存机制:通过智能缓存算法,SCDN能够自动识别并存储热门内容,当用户请求相同内容时,直接从缓存中返回,避免重复回源,进一步降低延迟。2. 智能路由与负载均衡智能调度算法:SCDN使用先进的智能调度算法,根据实时网络状况和节点负载情况,将用户请求分配到最优节点,确保服务的高可用性和低延迟。动态路由优化:通过持续监控网络状况,SCDN能够动态调整路由路径,避开拥堵链路,选择最优路径传输数据。3. 高效的数据压缩与传输优化数据压缩技术:SCDN支持高效的数据压缩技术,如GZIP压缩,能够显著减小传输数据量,加快传输速度。协议优化:利用HTTP/2或HTTP/3等新协议,SCDN能够实现多路复用、头部压缩等功能,进一步优化数据传输效率。解决安全挑战1. 流量监控与智能防御实时流量分析:SCDN内置强大的流量监控系统,能够实时监测所有通过其网络的数据流,识别异常流量模式。智能防御机制:通过分析流量特征,SCDN能够自动识别并过滤掉疑似攻击流量,减轻源站服务器的负担,并根据实时监测结果动态调整防御策略。2. 行为分析与模式识别用户行为建模:SCDN利用机器学习技术建立正常用户行为模型,通过分析用户请求的频率、类型等特征,识别出异常行为。模式识别:通过与历史数据对比,SCDN能够识别出异常访问模式,并对其进行标记,进一步分析其是否为攻击流量。3. SSL加密与数据完整性校验加密传输:SCDN支持HTTPS加密技术,确保数据传输过程中的安全性,防止数据被截获或篡改。完整性校验:通过数据完整性校验机制,SCDN能够确保传输的数据未被篡改,保障数据的真实性和完整性。4. 细粒度访问控制与权限管理细粒度控制:SCDN支持细粒度的访问控制,可以根据用户身份和访问需求设置不同的权限级别,限制非法访问。日志记录与审计:记录所有通过SCDN的流量信息,包括正常请求和被拦截的攻击请求,便于事后分析与审计。SCDN通过其高效的内容缓存与就近分发、智能路由与负载均衡、高效的数据压缩与传输优化等技术手段,有效解决了网络延迟问题;并通过实时流量分析与智能防御、行为分析与模式识别、SSL加密与数据完整性校验以及细粒度访问控制与权限管理等多重防护机制,保障了数据的安全性。
SSL是什么,SSL在服务端与客户端之间的运用
很多人都会问SSL证书是什么,为什么需要用到SSL证书,今天快快网络苒苒就围绕着SSL展开讲解,将从SSL简介到工作愿意以及数据传输等给大家做详细的介绍。我们来往下看!1、SSL 简介SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层与应用层之间对网络连接进行加密。在标准的 HTTP 协议下,客户端与服务端直接通过 TCP 链接,以 明文 的形式交换数据,这样做其实在传输一些普通网页数据时并没什么问题,但是如果用户在浏览网页中,需要向服务端发送用户名、密码、银行卡号之类的敏感信息的话,我们不希望这些信息被入侵者所获取,也不希望其遭到篡改或伪造,这时就需要用到 SSL 了。一个安全的通信往往需要包含三个特性:机密性、数据完整性、端点鉴别,三者缺一不可。机密性:如果没有机密性,入侵者就可能截获客服端的报文,并获取其的敏感信息。数据完整性:如果没有数据完整性,入侵者就可以随意篡截获的客户端报文,并对其的信息进行随意的篡改。端点鉴别:如果没有端点鉴别,客服端所请求的服务器有可能是一个钓鱼网站,用来恶意收集用户的敏感信息。SSL 就是通过提供机密性、数据完整性以及服务端和客户端鉴别,来强化一个普通的 TCP 链接。因为 SSL 协议是运行在 TCP 之上的,因此,理论上来讲它能为包括 HTTP 协议在内的任何基于 TCP 连接的应用层协议提供安全性保障。下面来看一下 SSL 的工作原理。2、SSL 工作原理SSL 的工作主要可以分为三个阶段:握手、密钥导出、数据传输。2.1、握手阶段:在握手阶段需要完成的三个任务分别是:建立一条 TCP 连接、验证服务端身份、分发通信主密钥。大致过程描述如下:客户端首先发起一条到服务端的 TCP 连接,随后的数据传输都是在这条 TCP 连接之上的,在 TCP 链接建立之后,客户端会向服务端发送 HELLO 报文,这个报文中包含了客户端所支持的密码算法列表,服务端在接收后会选用一种对称算法,一种非对称算法和一种 MAC 算法,连同其 证书 回应给客户端(这个证书就是经过权威机构认证的一个实体与其公钥的绑定)。因为在各种的加密过程中,只要是涉及到使用公开密钥的,一般都会有公钥被入侵者盗用和伪造的风险,这时就需要权威机构颁发的数字证书来证明一个公要与实体的绑定。客户端在收到服务端发来的证书之后,就可以明确的知道当前正在跟自己通信的服务端就是目标服务器,客户端随后会从证书中提取服务端发来的公钥,并在客户端生成一个随机的主密钥 MS,然后用服务端的公钥对其进行加密后发送给服务端,服务端会用自己的私钥解密得到主密钥 MS,这样就完成了主密钥的分发。客户端和服务器都掌握了主密钥,有了这个其他人都不知道的主密钥,随后的数据加密和验证过程就好办了。2.2、密钥导出:密钥导出阶段,就是通信双方会以相同的方法,用主密钥生成四个密钥,这四个密钥的分别作用如下:EB:用于从服务端到客户端发送数据的会话加密密钥MB:用于从服务端到客户端发送数据的会话 MAC 密钥EA:用于从客户端到服务端发送数据的会话加密密钥MA:用于从客户端到服务端发送数据的会话 MAC 密钥会话加密密钥就是实际用来加密传输数据的对称密钥,MAC 密钥在是标志传输数据完整性的密钥。MAC:报文鉴别码,是一种用来监测报文完整性的技术。它的过程并不复杂,发送方将明文与一个鉴别密钥进行级联,这个鉴别密钥是通信双方所共有的,随后会计算这个级联后的数据散列值,这个散列值就叫做原始数据的报文鉴别码 MAC,将报文的鉴别码附加在原始明文后面,一同发送给接收方。接收方用收到的明文,级联相同的鉴别密钥,再以相同的方法计算散列值,与收到的散列值 MAC 进行对比,若两者相同,则说明数据未被篡改,上述的 MA 和 MB 就是 MAC 里的鉴别密钥。2.3、数据传输:SSL 将数据流分割成记录,对每个记录 EA 加密,并附加一个 MAC(用于完整性鉴别),然后对该记录与 MAC 进行加密,然后将这个被加密的包发送服务器,服务端收到这个数据包后,用相应的 EB 对称密钥进行解密,再用 MB 进行数据完整性检验。3、报文重放攻击上述操作看似是实现了对安全通信的三个基本需求,但是其对整个会话过程中报文流的数据完整性的保障并未达到天衣无缝,虽然单个记录的报文完整性可以由 MAC 保障,但是若是入侵者恶意调换两个 SSL 记录的顺序,或者故意多次重放同一个 SSL 记录多次,这样会导致接收方收到的最终报文不正确,这也就是 "报文重放攻击"。不过这个问题可以通过序号来解决,你可能会想,在每一个记录中增加一个序号不就行了么,但是实际上不必直接在 SSL 记录中额外包含一个序号,只需要由发送方自己维护一个计数器,每发送一次,就将自己的计数器 +1,并在计算记录 MAC 时,将这个需要括在 MAC 中的记录中,接收方也跟踪自己收到的所有记录的序号,同样在计算记录 MAC 进行校验时,让自己跟踪到的序号参与计算,若计算结果相同就说明记录即通过了完整性检验,也没有被篡改顺序。以上就是今天给大家讲解的SSL的原理以及SSL的作用的文章,大家可以从以上文章中得知SSL在客户端以及服务端中的运用,我们快学习起来吧!
阅读数:4541 | 2021-05-17 16:50:19
阅读数:3653 | 2021-05-28 17:18:54
阅读数:3336 | 2021-09-30 17:35:02
阅读数:3299 | 2021-09-08 11:09:40
阅读数:3242 | 2021-12-31 16:45:10
阅读数:3155 | 2021-06-09 17:17:56
阅读数:3139 | 2021-06-23 16:27:27
阅读数:2953 | 2021-11-12 10:38:55
阅读数:4541 | 2021-05-17 16:50:19
阅读数:3653 | 2021-05-28 17:18:54
阅读数:3336 | 2021-09-30 17:35:02
阅读数:3299 | 2021-09-08 11:09:40
阅读数:3242 | 2021-12-31 16:45:10
阅读数:3155 | 2021-06-09 17:17:56
阅读数:3139 | 2021-06-23 16:27:27
阅读数:2953 | 2021-11-12 10:38:55
发布者:售前小黄 | 本文章发表于:2021-09-24
目前市面上做高防服务器的idc很多家,导致客户不知道如何选着产品。最近有客户在问高防服务中的“清洗”是什么意思?其实清洗是当你的服务器受到ddos流量攻击的时候,机房上层会监控异常流量,并对异常流量进行牵引,在不影响正常业务的前提下,清洗掉异常流量,保证客户业务的正常运行。快快网络江苏省BGP清洗区,位于长江三角洲核心区域,建立五层清洗模型,识别攻击模型直接在源头清洗,将使客户业务摆脱被攻击状态。
抗DDoS攻击流量清洗系统由攻击检测、攻击缓解和监控管理三大部分构成。
一 、检测系统首先通过检测网络流量中隐藏的非法攻击流量,发现攻击后及时通知并激活防护设备进行流量的清洗;
二 、缓解系统通过专业的流量清洗功能,将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离,还原出的合法流量回注到原网络中转发给目标系统,其它合法流量的转发路径不受影响;
三 、监控管理系统实时展现DDOS攻击数据流量,流量清洗报表,实时连接数、请求数、带宽报表等数据。
企业一定要提前做好安全防护措施,接入专业的抗DDoS攻击高防服务,对可能出现的非法流量进行清洗,保障正常用户的运行,避免企业因恶意攻击流量而受到经济损失。
流量清洗服务的定位
主要面对高防服务器租用中的客户,尤其是对互联网络有高度依赖性并且容易受到DDoS等流量攻击的客户是本产品的主要使用群体,这类客户主要有金融行业、游戏行业、电商行业、视频行业等。
流量清洗的部署方式
通过在IDC出口通过旁挂的方式部署探测设备及防护设备,通过路由方式引导客户流量清洗,实现DDos防护功能。
联系快快网络客服小黄QQ98717256-------智能云安全管理服务商-----------------快快i9,就是最好i9。 快快i9,才是真正i9!
网站没备案如何选择高防?快快网络香港高防弹性云助您无忧
在中国内地运营网站,备案是一项基本要求。然而,对于一些初创企业或者个人开发者来说,备案过程可能较为繁琐,或者由于某些原因暂时无法完成备案。在这种情况下,选择合适的高防服务变得尤为重要。本文将探讨在网站未备案的情况下,如何选择一款适合的高防服务,并特别介绍快快网络香港高防弹性云的优势。未备案网站面临的挑战安全性问题:未备案的网站更容易成为黑客攻击的目标,尤其是DDoS攻击,可能导致服务中断。合规性问题:在中国内地,未备案的网站可能面临法律风险,影响长期运营。用户体验:攻击事件可能导致用户体验下降,影响用户留存率和品牌声誉。选择香港高防服务的优势香港作为一个国际金融中心,拥有成熟的网络基础设施,并且不受中国大陆的备案制度约束,因此成为众多未备案网站选择高防服务的理想地点之一。以下是选择香港高防服务的一些优势:无需备案在香港部署的服务器不需要进行ICP备案,可以快速部署并上线服务。国际带宽香港拥有丰富的国际出口带宽资源,能够为全球用户提供稳定的服务体验。地理位置优势香港地处亚洲中心位置,距离中国大陆较近,能够提供较低的网络延迟,保证访问速度。高防御能力专业的香港高防服务提供商能够提供针对DDoS等多种网络攻击的防御能力,确保服务的连续性。快快网络香港高防弹性云的优势快快网络香港高防弹性云以其独特的技术和服务优势,在众多高防服务中脱颖而出:弹性防御快快网络香港高防弹性云支持根据实际攻击流量自动调整防御能力,确保资源利用最大化。智能防护采用先进的AI算法,能够自动识别并过滤恶意流量,降低误报率,提升防护效果。全方位防护提供包括DDoS防护、CC攻击防护、SQL注入防护等多项安全服务,全面保障网站安全。快速响应专业的技术团队提供7x24小时全天候监控与支持,确保在攻击发生时能够快速响应并解决问题。灵活计费提供按需计费模式,用户可以根据实际使用情况灵活选择套餐,降低运营成本。易于管理用户可通过简洁的控制面板轻松管理服务器,包括配置防火墙规则、查看攻击日志等功能。如何选择适合的高防服务?评估需求:明确网站面临的攻击类型和频率,选择相应级别的防护服务。考察服务商:选择有丰富经验和技术实力的服务商,确保服务质量和稳定性。测试性能:在正式签约前,进行性能测试,验证服务的实际防护效果。签订合同:仔细阅读服务条款,确保自己的权益得到保障。成功案例分享某跨境电商平台在未完成备案的情况下,选择了快快网络香港高防弹性云服务。通过部署该服务,平台成功抵御了多次大规模DDoS攻击,保证了业务的连续性和用户体验。对于尚未完成备案的网站来说,选择合适的高防服务是保障网站安全、提升用户体验的重要环节。快快网络香港高防弹性云以其无需备案、国际带宽、地理位置优势、高防御能力、智能防护、快速响应、灵活计费以及易于管理等优势,成为了众多网站主的优选。如果您正在寻找一款可靠的高防服务,快快网络香港高防弹性云将是您的理想选择。
SCDN技术如何解决延迟与安全双重挑战?
用户对网络服务的质量要求不断提高,无论是企业级应用还是个人用户,都期望在任何时间、任何地点都能享受到快速、稳定且安全的网络体验。然而,在实际应用中,网络延迟和安全威胁却时常成为影响用户体验的主要障碍。为了应对这些挑战,SCDN(Secure Content Delivery Network,安全内容分发网络)作为一种结合了CDN(内容分发网络)与WAF(Web应用防火墙)技术的创新解决方案,正逐渐成为解决延迟与安全双重挑战的关键工具。那么SCDN技术如何解决延迟与安全双重挑战?解决延迟挑战1. 内容缓存与就近分发全球节点部署:SCDN在全球范围内部署了众多边缘节点,用户请求会被路由到距离最近的节点进行处理,从而减少数据传输的物理距离,缩短延迟时间。智能缓存机制:通过智能缓存算法,SCDN能够自动识别并存储热门内容,当用户请求相同内容时,直接从缓存中返回,避免重复回源,进一步降低延迟。2. 智能路由与负载均衡智能调度算法:SCDN使用先进的智能调度算法,根据实时网络状况和节点负载情况,将用户请求分配到最优节点,确保服务的高可用性和低延迟。动态路由优化:通过持续监控网络状况,SCDN能够动态调整路由路径,避开拥堵链路,选择最优路径传输数据。3. 高效的数据压缩与传输优化数据压缩技术:SCDN支持高效的数据压缩技术,如GZIP压缩,能够显著减小传输数据量,加快传输速度。协议优化:利用HTTP/2或HTTP/3等新协议,SCDN能够实现多路复用、头部压缩等功能,进一步优化数据传输效率。解决安全挑战1. 流量监控与智能防御实时流量分析:SCDN内置强大的流量监控系统,能够实时监测所有通过其网络的数据流,识别异常流量模式。智能防御机制:通过分析流量特征,SCDN能够自动识别并过滤掉疑似攻击流量,减轻源站服务器的负担,并根据实时监测结果动态调整防御策略。2. 行为分析与模式识别用户行为建模:SCDN利用机器学习技术建立正常用户行为模型,通过分析用户请求的频率、类型等特征,识别出异常行为。模式识别:通过与历史数据对比,SCDN能够识别出异常访问模式,并对其进行标记,进一步分析其是否为攻击流量。3. SSL加密与数据完整性校验加密传输:SCDN支持HTTPS加密技术,确保数据传输过程中的安全性,防止数据被截获或篡改。完整性校验:通过数据完整性校验机制,SCDN能够确保传输的数据未被篡改,保障数据的真实性和完整性。4. 细粒度访问控制与权限管理细粒度控制:SCDN支持细粒度的访问控制,可以根据用户身份和访问需求设置不同的权限级别,限制非法访问。日志记录与审计:记录所有通过SCDN的流量信息,包括正常请求和被拦截的攻击请求,便于事后分析与审计。SCDN通过其高效的内容缓存与就近分发、智能路由与负载均衡、高效的数据压缩与传输优化等技术手段,有效解决了网络延迟问题;并通过实时流量分析与智能防御、行为分析与模式识别、SSL加密与数据完整性校验以及细粒度访问控制与权限管理等多重防护机制,保障了数据的安全性。
SSL是什么,SSL在服务端与客户端之间的运用
很多人都会问SSL证书是什么,为什么需要用到SSL证书,今天快快网络苒苒就围绕着SSL展开讲解,将从SSL简介到工作愿意以及数据传输等给大家做详细的介绍。我们来往下看!1、SSL 简介SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层与应用层之间对网络连接进行加密。在标准的 HTTP 协议下,客户端与服务端直接通过 TCP 链接,以 明文 的形式交换数据,这样做其实在传输一些普通网页数据时并没什么问题,但是如果用户在浏览网页中,需要向服务端发送用户名、密码、银行卡号之类的敏感信息的话,我们不希望这些信息被入侵者所获取,也不希望其遭到篡改或伪造,这时就需要用到 SSL 了。一个安全的通信往往需要包含三个特性:机密性、数据完整性、端点鉴别,三者缺一不可。机密性:如果没有机密性,入侵者就可能截获客服端的报文,并获取其的敏感信息。数据完整性:如果没有数据完整性,入侵者就可以随意篡截获的客户端报文,并对其的信息进行随意的篡改。端点鉴别:如果没有端点鉴别,客服端所请求的服务器有可能是一个钓鱼网站,用来恶意收集用户的敏感信息。SSL 就是通过提供机密性、数据完整性以及服务端和客户端鉴别,来强化一个普通的 TCP 链接。因为 SSL 协议是运行在 TCP 之上的,因此,理论上来讲它能为包括 HTTP 协议在内的任何基于 TCP 连接的应用层协议提供安全性保障。下面来看一下 SSL 的工作原理。2、SSL 工作原理SSL 的工作主要可以分为三个阶段:握手、密钥导出、数据传输。2.1、握手阶段:在握手阶段需要完成的三个任务分别是:建立一条 TCP 连接、验证服务端身份、分发通信主密钥。大致过程描述如下:客户端首先发起一条到服务端的 TCP 连接,随后的数据传输都是在这条 TCP 连接之上的,在 TCP 链接建立之后,客户端会向服务端发送 HELLO 报文,这个报文中包含了客户端所支持的密码算法列表,服务端在接收后会选用一种对称算法,一种非对称算法和一种 MAC 算法,连同其 证书 回应给客户端(这个证书就是经过权威机构认证的一个实体与其公钥的绑定)。因为在各种的加密过程中,只要是涉及到使用公开密钥的,一般都会有公钥被入侵者盗用和伪造的风险,这时就需要权威机构颁发的数字证书来证明一个公要与实体的绑定。客户端在收到服务端发来的证书之后,就可以明确的知道当前正在跟自己通信的服务端就是目标服务器,客户端随后会从证书中提取服务端发来的公钥,并在客户端生成一个随机的主密钥 MS,然后用服务端的公钥对其进行加密后发送给服务端,服务端会用自己的私钥解密得到主密钥 MS,这样就完成了主密钥的分发。客户端和服务器都掌握了主密钥,有了这个其他人都不知道的主密钥,随后的数据加密和验证过程就好办了。2.2、密钥导出:密钥导出阶段,就是通信双方会以相同的方法,用主密钥生成四个密钥,这四个密钥的分别作用如下:EB:用于从服务端到客户端发送数据的会话加密密钥MB:用于从服务端到客户端发送数据的会话 MAC 密钥EA:用于从客户端到服务端发送数据的会话加密密钥MA:用于从客户端到服务端发送数据的会话 MAC 密钥会话加密密钥就是实际用来加密传输数据的对称密钥,MAC 密钥在是标志传输数据完整性的密钥。MAC:报文鉴别码,是一种用来监测报文完整性的技术。它的过程并不复杂,发送方将明文与一个鉴别密钥进行级联,这个鉴别密钥是通信双方所共有的,随后会计算这个级联后的数据散列值,这个散列值就叫做原始数据的报文鉴别码 MAC,将报文的鉴别码附加在原始明文后面,一同发送给接收方。接收方用收到的明文,级联相同的鉴别密钥,再以相同的方法计算散列值,与收到的散列值 MAC 进行对比,若两者相同,则说明数据未被篡改,上述的 MA 和 MB 就是 MAC 里的鉴别密钥。2.3、数据传输:SSL 将数据流分割成记录,对每个记录 EA 加密,并附加一个 MAC(用于完整性鉴别),然后对该记录与 MAC 进行加密,然后将这个被加密的包发送服务器,服务端收到这个数据包后,用相应的 EB 对称密钥进行解密,再用 MB 进行数据完整性检验。3、报文重放攻击上述操作看似是实现了对安全通信的三个基本需求,但是其对整个会话过程中报文流的数据完整性的保障并未达到天衣无缝,虽然单个记录的报文完整性可以由 MAC 保障,但是若是入侵者恶意调换两个 SSL 记录的顺序,或者故意多次重放同一个 SSL 记录多次,这样会导致接收方收到的最终报文不正确,这也就是 "报文重放攻击"。不过这个问题可以通过序号来解决,你可能会想,在每一个记录中增加一个序号不就行了么,但是实际上不必直接在 SSL 记录中额外包含一个序号,只需要由发送方自己维护一个计数器,每发送一次,就将自己的计数器 +1,并在计算记录 MAC 时,将这个需要括在 MAC 中的记录中,接收方也跟踪自己收到的所有记录的序号,同样在计算记录 MAC 进行校验时,让自己跟踪到的序号参与计算,若计算结果相同就说明记录即通过了完整性检验,也没有被篡改顺序。以上就是今天给大家讲解的SSL的原理以及SSL的作用的文章,大家可以从以上文章中得知SSL在客户端以及服务端中的运用,我们快学习起来吧!
查看更多文章 >