代理作用:
过滤
访问控制
web缓存
反向代理
转码:将web内容根据不同语言,或者将文件转码以减少数据或者更适合观看
匿名者:删除报文中的用户私密信息
缓存
确定缓存是否新鲜,发送验证请求,如果内容无变化,服务器返回304;如果服务器对象删除,则返回404,缓存副本需要删除。
私有缓存
比较小,比如浏览器中有内建的私有缓存,一般在文档缓存在个人电脑的硬盘和内存中
公有缓存
缓存层次化,靠近客户端的缓存使用小型廉价的。
服务器返回:
Cache-Control: max-age=2592000 //相对时间
Expires: Thu, 10 Jan 2013 05:30:55 GMT //绝对时间
cache-control和expires作用相同
客户端请求:
If-Modified-Since:Thu, 20 Dec 2012 02:24:29 GMT//如果在此日期后文档修改过,则执行请求方法
if-none-match:<tags> //服务器为文档提供特殊的标签,如果缓存标签与服务器标签不同,则更新缓存
控制缓存:
cache-control 可选值:no-store; no-cache;max-age;must-revalidate
转自:http://dongzi.de/building-ssl-vpn-tunnel.html?replytocom=190
发现自己还是无法忘记当初的密码学,无法忘记密码学老师的句句教诲,多想回到大三,学知识,做人。
这次我想来说一下SSL VPN隧道建立的事情。先来一张图,然后用自己的话解释给自己听,温习那段岁月。
SSL VPN隧道建立过程
SSL VPN隧道建立过程分以下4个阶段:
第一阶段, 客户端向服务器发出SSL连接请求,并附上一段随机产生的信息,服务器端在通讯之前会向证书颁发组织申请并获得自己的公钥、私钥以及证书。最简单的证书包 含一个公开密钥、名称以及证书授权中心的数字签名。证书是由权威机构颁发的,当然也可以由自己搭建CA服务器颁发,但如果不是权威机构颁发的证书,就得不 到公众的认可,有时候我们访问某些采用https传输的站点会提示非法证书等,原因就在此。要搞清楚公钥私钥,我这里隐隐约约记得一句话:公钥加密,私钥 解密,你的公钥大家都可以拥有,私钥只有自己知道。比如说,你要给我发送机密数据,你使用我的公钥加密后发给我,我用我的私钥可以解开,别人没有我的私 钥,所以解不开,数据传输是安全的。如果你对非对称加密算法有一定了解的话,就很清楚了。
//客户端发出请求,携带随机信息
第二阶段,服 务器收到客户端的连接请求后,把收到的随机信息用私钥加密,然后连同公钥和身份信息发回给客户端。大家要记住,私钥只有服务器有,别人是没有的,所有别人 不能伪造,服务器为什么要把公钥发给客户端呢?这是因为,客户端必须要用服务器的公钥才能解开使用私钥加密后的信息。
//服务端响应请求,发送数字签名(公钥)和私钥加密后的随机信息
第三阶段, 客户端收到服务器端的回应后,将先用从服务器端发来的公钥解密信息,还原后与自己之前产生的随机信息比较异同,从而验证服务器端的身份。在服务器端身份得 到验证后,客户端将产生一个对称密钥,用于加密真正的传输信息,并将该对称密钥用公钥加密后发给服务器端。注意,此刻第一步客户端发送给服务器的随机信息 起到很大的作用了:身份验证。只有验证了服务器的身份后,才能放心的与服务器进行数据通信,验证过程使用了非对称加密算法,然而数据传输一般都使用对称加 密算法。对称加密,肯定也需要一个密钥,这个密钥必须借助非对称加密算法才能安全的传输到服务器。
//客户端用公钥解密,对比随机信息,这样就可以确定对方是正确的服务器且连接,连接建立。之后用公钥加密对称密钥
第四阶段,服务器端得到信息后,用自己私钥解密并获得该对称密钥,之后客户端和服务器之间就可以用这个对称密钥进行加密通讯了。
/服务器解密,得到对称密钥,之后用此对称密钥加密通讯
以 上只是讲了一个最基本的模型,SSL VPN应用还包含了很多其他的知识,如防重防攻击、数据完整性验证、不可否认性等。在整个通讯过程中,服务器端只要保护好私钥不被泄漏就可以保证自己的身 份不会被冒充,对称密钥也不会被破解,从而保证了加密信息不会被破解,再加上校验信息也采用公钥和私钥加密机制,因此信息篡改也不可能发生,保证了传输的 安全性。
