作者:王泽; 李文强; 蔡权伟公钥基础设施内容分发网络安全套接层安全传输层协议公开日志信任
摘要:内容分发网络可以提高浏览器访问网站的速度和网站安全性(例如防DDo S攻击),已被广泛部署和应用。当浏览器的HTTPS连接被重定向到内容分发网络的服务器时,由于浏览器要求收到的证书与访问的网站域名匹配,内容分发网络不能直接使用自己的证书,而是需要使用内容来源网站的有效证书和私钥,才能正确地同浏览器建立HTTPS连接。现在,大量内容分发网络和源网站共用私钥,违背了PKI的设计原则。同时,现有模式下的关系对于浏览器是不透明的,内容源网站也无法快速地撤销关系。本文提出了一种面向HTTPS的,公开可验证的内容分发网络关系管理方案。在本方案中,内容来源网站在公开的日志服务器中授权其内容的内容分发网络的信息,并产生可验证的证据。浏览器使用HTTPS连接内容分发网络服务器时,服务器推送自己的证书和相应的证据。浏览器不必与源网站直接通信,即可验证证据,并使用内容分发网络的证书正确地建立HTTPS连接。同时,本方案允许内容分发网络和内容来源网站独立地管理各自的私钥,且内容来源网站可以独立地更新、撤销关系。我们实现了本方案的原型系统,并进行了性能评估:实验结果表明,本方案在带宽/延迟/存储等各方面均未造成过大开销。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
