独角兽企业重金招聘Python工程师标准>>>
4. 安全的网络通道-网络加密
4.1 通过VPN隧道保证云计算的数据安全
VPN具备两个基本条件:长连接和加密。长连接的意思是每条VPN隧道都是有状态的,通信的双方通过类似“三次握手”这样的机制保证通信对端的唯一性,以及数据传输的可靠性。加密则使隧道内的数据对外不可见,保证了传输的私密性。
4.2 VPN技术选择-SSL PK IPSec
IPSec和SSL是目前企业最常见的两种VPN技术。IPSec网关设备将发往对端的数据打包加密后在因特网上传输,对端节点收到数据包后解封发往最终用户,整个过程中用户感觉不到IPSec隧道的存在。IPSec 工作在OSI模型的第三层网络层,IPSec的短板:
管理成本高昂
安全隐患
网络负责性
4.3 让SSL胜出的独门绝技
SSL工作在传输层,在实际部署中有以下几种绝活:
简洁的部署模式
精细的访问控制
防火墙穿越
更可靠的安全防护
4.4 SSL的技术实现
SSL协议分为握手协议和记录协议两部分。SSL握手协议描述建立安全连接的过程,完成诸如加密算法和回话秘钥的确定,通信双方的身份验证等功能;SSL记录协议则定义了数据的传输格式。
4.4.1 SSL握手协议
SSL握手协议同时使用了公开密钥和对称密钥两种加密技术。通过使用公开密钥技术实现客户端和服务器之间的身份认证,然后双方协商生成用于加密通信的对称密钥。
4.4.2SSL记录协议
所有的传输数据都封装在记录中。记录由记录头和长度不为0的记录数据组成。SSL记录协议定义了记录头和记录数据的格式。
4.5 几种SSL VPN类型
SSL可以分为零客户端,瘦客户端,隧道模式三种。
4.6 SSL 的后续发展-DTLS/TLS
