偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

可以關(guān)閉互聯(lián)網(wǎng)的七個人,太厲害了!

安全 應(yīng)用安全
全球的電腦都向它發(fā)出請求,這個服務(wù)器就累死了。那些需要查詢IP地址的電腦可能距離DNS服務(wù)器很遠(yuǎn),導(dǎo)致嚴(yán)重的時延。

這個世界上有7個人,如果他們愿意的話,可以把整個互聯(lián)網(wǎng)“關(guān)閉”。

他們之所以這么牛,主要因?yàn)槊咳苏莆樟艘话焉衩氐蔫€匙。

這個神秘的鑰匙是什么? 

我們得從IP地址說起。

一、IP地址和DNS

世界上每臺計(jì)算機(jī)都有一個IP地址,這樣大家可以互相找到對方,進(jìn)行通信。

圖片圖片

很明顯,110.242.68.5這樣的IP地址太難記了,所以,人類又發(fā)明了域名

圖片圖片

我們可以把所有的域名和IP地址的對應(yīng)關(guān)系都放到一個DNS服務(wù)器中,形成一個集中式的數(shù)據(jù)庫

圖片圖片

但是這個設(shè)計(jì)會帶來幾個嚴(yán)重的問題

1.單點(diǎn)故障

如果該DNS服務(wù)器崩潰,整個互聯(lián)網(wǎng)就崩潰了

2.性能

全球的電腦都向它發(fā)出請求,這個服務(wù)器就累死了。

那些需要查詢IP地址的電腦可能距離DNS服務(wù)器很遠(yuǎn),導(dǎo)致嚴(yán)重的時延。

可以看出,單一集中式的DNS數(shù)據(jù)庫完全沒有擴(kuò)展能力。

所以,人們設(shè)計(jì)的DNS系統(tǒng)是一個的分布式數(shù)據(jù)庫。

這個分布式數(shù)據(jù)庫分為三級:

圖片圖片

根DNS服務(wù)器,全球有13個(實(shí)際上,每個根服務(wù)器都是個冗余服務(wù)器網(wǎng)絡(luò))

頂級域名服務(wù)器,負(fù)責(zé)頂級域名,例如com 、org、net、edu、gov等

權(quán)威DNS服務(wù)器,如果某個公司、組織機(jī)構(gòu)在互聯(lián)網(wǎng)上具有可以被公眾訪問的主機(jī),那它必須要提供公共可訪問的DNS記錄。

除了這三級之外,還有個叫做“本地DNS服務(wù)器”的DNS,負(fù)責(zé)和這三級的DNS交互。

通常的交互過程是這樣的。

圖片圖片

不是每次DNS查詢都這么復(fù)雜,為了減少時延和傳輸?shù)膱笪臄?shù)量,DNS廣泛使用了緩存,這里不再詳述。

二、解決DNS的漏洞

分布式,隨意擴(kuò)展,這是個設(shè)計(jì)得非常漂亮的系統(tǒng)。

任何互聯(lián)網(wǎng)產(chǎn)品,只要不考慮安全,都會死得很難看。

如果有人冒充DNS服務(wù)器,給你返回了假IP怎么辦?

圖片圖片

所以,這個DNS記錄發(fā)給瀏覽器的時候,必須得做個數(shù)字簽名。

數(shù)字簽名可以證明:

1.這的確是我給你發(fā)的DNS記錄

2.這個DNS記錄在傳輸過程中沒有被篡改過。

數(shù)字簽名依賴非對稱加密,也就是公鑰和私鑰,這里就不再詳述了,可以參考這篇文章《一個故事講完Https》

簡單來說就是DNS服務(wù)器用自己的私鑰來對DNS數(shù)據(jù)進(jìn)行簽名,查詢方用公鑰來驗(yàn)證。

這的確是一個完美的解決方案,可是和HTTPS一樣,這里也遇到了公鑰分發(fā)的問題。

查詢方如何確定自己拿到的DNS公鑰是合法的呢? 

要知道公鑰可是經(jīng)過網(wǎng)絡(luò)傳輸?shù)?,完全可能被中間人篡改,進(jìn)行中間人攻擊?。?/p>

既然問題和HTTPS一樣,那解決思路也是一樣的:讓上級對下級服務(wù)器的公鑰進(jìn)行簽名。然后用上級的公鑰來驗(yàn)證。

可是,如何安全地拿到上級的公鑰?它在網(wǎng)絡(luò)傳輸中會不會被篡改呢?有可能。

那就用上上級對上級的公鑰簽名,用上上級的公鑰驗(yàn)證簽名。

可是,上上級的公鑰在網(wǎng)絡(luò)傳輸?shù)倪^程中會不會被篡改呢?會的。

那就用上上上級對上上級的公鑰簽名,用上上上級的公鑰驗(yàn)證簽名

......

如此下去,總得有個盡頭吧,那就是ICANN(“互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)”)的公鑰!

大家都信任ICANN,可以把它的公鑰內(nèi)置到系統(tǒng)中,這樣一個信任鏈就可以建立起來了!

三、可以關(guān)閉互聯(lián)網(wǎng)的7個人

而ICANN的私鑰,這可是天大的秘密了,一定得保護(hù)好。

私鑰本身其實(shí)是個文件,ICANN把它放到了一個叫做硬件安全模塊 (HSM) 的專用設(shè)備中。

圖片圖片

這個HSM做了四個備份,分別保存在相距4000公里的美國東西海岸。

圖片圖片

每個備份都被重重保護(hù),保險箱、攝像頭、指紋、警衛(wèi)......你能想象的保護(hù)方式都用上了。

圖片圖片

即使你通過了重重防衛(wèi),成功地拿到了一個HSM,你也很難打開它。

如果你嘗試暴力打開,HSM會擦除其保存的密鑰,你啥也拿不到。

正確的做法是使用幾張智能卡,但是這些智能卡保存在其他的保險箱里,只有使用物理的鑰匙才能打開。

這些鑰匙,被世界上7個人所持有(實(shí)際上,還有七個人作為備份)。嗯,這七個人終于出現(xiàn)了!

圖片圖片

這些鑰匙持有者并不是各國的政要,而是安全領(lǐng)域的頂級專家,他們對這一套安全流程理解地比你我要透徹地多。

當(dāng)需要使用ICANN私鑰的時候,七個人中的五個需要拿著它們的鑰匙,來到保存HSM的地方,取出各自的smart card,然后一起開啟HSM。

這個過程被稱為key ceremony(鑰匙儀式)。

圖片圖片

由于必須要保證私鑰的安全性,key ceremony的安全措施非常嚴(yán)格。

參與者需要多次掃描指紋,使用多個密鑰代碼,才能打開進(jìn)入會議室的一道道門。

圖片圖片

這個會議室是密閉的,連電子信號都傳不出去。

大樓保安和清潔工也不能進(jìn),有一次,一個瑞典的鑰匙持有者買了個20美元的吸塵器專門做了清潔。

整個活動嚴(yán)格按照事先寫好的腳本來進(jìn)行,有100多個步驟,所有操作都使用GMT時間記錄到分鐘,每一步都保持透明。

圖片圖片

流程極其嚴(yán)謹(jǐn),甚至連筆記本和HSM在桌子上的擺放位置都畫好了。

圖片圖片

圖片圖片

當(dāng)然,有時候也會出差錯,有一次,安全控制器將保險箱的門關(guān)上時,觸發(fā)地震傳感器,進(jìn)而觸發(fā)自動門鎖。儀式管理員和鑰匙持有者都被鎖在一個8英尺見方的籠子里!

儀式完畢之后,據(jù)說他們會去當(dāng)?shù)氐牟宛^慶祝一番。

如需轉(zhuǎn)載,請通過作者微信公眾號coderising獲取授權(quán)。

責(zé)任編輯:武曉燕 來源: 碼農(nóng)翻身
相關(guān)推薦

2024-12-06 08:38:57

2020-07-29 07:34:53

搜狗互聯(lián)網(wǎng)騰訊

2021-11-01 07:50:44

TomcatWeb應(yīng)用

2009-08-14 17:10:32

VeriSignSSL安全安全資訊

2013-11-11 09:25:25

馬化騰WE大會互聯(lián)網(wǎng)

2019-12-11 15:05:27

互聯(lián)網(wǎng)IT云計(jì)算

2023-03-03 09:11:55

軟件開發(fā)NASA

2015-06-24 15:35:54

2015-05-28 16:11:07

互聯(lián)網(wǎng)+

2020-02-06 16:08:46

互聯(lián)網(wǎng)劇變企業(yè)的待見

2025-01-09 11:10:15

2018-04-11 14:30:33

2019-06-17 11:17:20

互聯(lián)網(wǎng)中年人工作

2020-10-09 09:28:43

互聯(lián)網(wǎng)數(shù)據(jù)技術(shù)

2021-04-05 22:55:08

互聯(lián)網(wǎng)老年人數(shù)字化

2018-08-15 09:02:59

產(chǎn)業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)

2010-09-07 11:42:58

2015-08-11 13:40:09

DEFCON漏洞黑客大會

2018-03-22 07:06:20

互聯(lián)網(wǎng)互聯(lián)網(wǎng)++互聯(lián)網(wǎng)

2018-05-14 22:58:14

戴爾
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號