一、基礎知識:
1、網際網路上中間人攻擊通常用的三種方式:1)竊聽 2)資料篡改 3)會話劫持
2、資料加密的常用的三種方式有:對稱加密、非對稱加密、單向加密。
3、ssl:secure socket layer,安全的套接字層。
4、tls:transport layer security,功能類似於ssl。
5、隨機數生成器:/dev/random 和 /dev/urandom 。-salt:依賴於隨機數生成器。
7、openssl rand [base64] num 也可以用來生成隨機數。
8、echo –n 「qq」|openssl base64,表示對qq做base64編碼。
二、對稱加密:
1、加密方和解密方使用同乙個金鑰。
2、加密解密的速度比較快,適合資料比較長時的使用。
3、金鑰傳輸的過程不安全,且容易被破解,金鑰管理也比較麻煩。
4、加密演算法:des(data encryption standard)、3des、aes(advanced encryption standard,支援128、192、256、512位金鑰的加密)、blowfish。
5、加密工具:openssl、gpg(pgp工具)
三、非對稱加密(公鑰加密):
1、每個使用者擁用一對金鑰加密:公鑰和私鑰。
2、公鑰加密,私鑰解密;私鑰加密,公鑰解密。
3、公鑰傳輸的過程不安全,易被竊取和替換。
4、由於公鑰使用的金鑰長度非常長,所以公鑰加密速度非常慢,一般不使用其去加密。
5、某乙個使用者用其私鑰加密,其他使用者用其公鑰解密,實現數字簽名的作用。
6、公鑰加密的另乙個作用是實現金鑰交換。
7、加密和簽名演算法:rsa、elgamal。
8、公鑰簽名演算法:dsa。
9、加密工具:gpg、openssl
四、單向加密:
1、特徵:雪崩效應、定長輸出和不可逆。
2、作用是:確保資料的完整性。
3、加密演算法:md5(標準金鑰長度128位)、sha1(標準金鑰長度160位)、md4、crc-32
4、加密工具:md5sum、sha1sum、openssl dgst。
5、計算某個檔案的hash值,例如:md5sum/shalsum filename,openssl dgst –md5/-sha1 filename。
五、金鑰交換的兩種機制:
1、公鑰加密實現:傳送方用接收方的公鑰加密自己的金鑰,接收方用自己的私鑰解密得到傳送方的金鑰,逆過來亦然,從而實現金鑰交換。
2、使用dh演算法:前提傳送方和接受方協商使用同乙個大素數p和生成數g,各自產生的隨機數x和y。傳送方將g的x次方mod p產生的數值傳送給接收方,接受方將g的y次方mod p產生的數值傳送給傳送方,傳送方再對接收的結果做x次方運算,接受方對接收的結果做y次方運算,最終密碼形成,金鑰交換完成。
六、同時實現資料的完整性、資料加密和身份驗證所使用到的機制如下:
假設bob和rose進行通訊:
1】加密過程:
bob使用單向加密演算法得出傳送資料的特徵碼(用於資料完整性檢測),bob用自己的私鑰加密此特徵碼(實現身份驗證),並將此特徵碼置於資料的後面。bob再生成乙個密碼d,用此密碼加密加密過的特徵碼和資料(實現資料加密),此時生成的資料我們稱其為q,最後用rose的公鑰加密該密碼d,並將d置於q的後面。
2】解密過程:
rose用自己的私鑰解密得到d,然後用d解密得到資料和加密過得特徵碼,再用bob的公鑰解密此特徵碼,如果可以解密,則說明該資料是bob傳送的,反之,則不是。最後用單向加密演算法計算該段資料的特徵碼,通過比較傳送過來的特徵碼和rose通過計算得到的特徵碼來確定此資料是否被篡改掉,如果特徵碼一致,則資料未發生改變;如果特徵碼不一致,則資料發生過改變。
七、openssl:
1)元件:libcrypto:加密庫。
libssl:實現ssl功能的庫。
openssl:多用途的加密工具,能夠提供對稱加密、公鑰加密、單向加密,且可以作為乙個簡單的本地ca用。
2)在對稱加密中,使用openssl實現對某個檔案加密:
openssl enc -des3 -salt -a -in plaintext -out ciphertext.des3
使用openssl實現解密:
openssl enc -d -des3 -salt -a -in ciphertext.des3 -out plaintext
3)openssl version:檢視openssl的版本資訊。
4)openssl :進入openssl的命令列模式。
5)openssl speed:測試某種加密演算法加密不同長度金鑰的速率。
6)在公鑰加密中,openssl可以用來生成私鑰。
openssl genrsa 指定生成的私鑰長度 > 儲存到的檔名
openssl genrsa [des3] -out 儲存到的檔名 指定生成的私鑰長度
在生成金鑰檔案的同時修改金鑰檔案的許可權:(umask 077; openssl genrsa指定生成的私鑰長度》 儲存到的檔名)
openssl genrsa 指定生成的私鑰長度 [-des3](加密私鑰檔案) > 儲存到的檔名。
openssl genrsa [-des3] -out 儲存到的檔名指定生成的私鑰長度
當私鑰在生成的時候,檔案未加密,則可以使用如下格式對未加密的私鑰檔案進行加密並儲存:openssl rsa in 未加密私鑰存放的檔案 –des3 -out 儲存到的檔名
解密私鑰:openssl rsa in 需要解密的私鑰檔案 –out 儲存到的檔名。
7)公鑰在私鑰中提取出:openssl rsa –in my.key -pubout 指定儲存公鑰的檔名。
交換機的三種交換方式
1.直通式 cut through 直通方式的乙太網交換機可以理解為在各埠間是縱橫交叉的線路矩陣 交換機。它在輸入埠檢測到乙個資料報時,檢查該包的包頭,獲取包的目的位址,啟動內部的動態查詢表轉換成相應的輸出埠,在輸入與輸出交叉處接通,把資料報直通到相應的埠,實現交換功能。由於不需要儲存,延遲非常小 ...
交換機的三種埠型別
一 埠型別 1 access使用者模式 2 trunk鏈路模式 3 hybrid模式 跟trunk很類似但比trunk高階 二 埠介紹 2.1 access型別埠 只允許預設vlan的乙太網幀,也就是說只能屬於乙個vlan,access埠在收到乙太網幀後打上vlan標籤,時在剝離vlan標籤,一般情...
交換機上的三種埠模式
補充知識 pvid和vid區別 pvid英文解釋為port base vlan id,是基於埠的vlan id,乙個埠可以屬於多個vlan 本質意思是該埠採用 hybrid或者 trunk模式下,這個埠允許多個vlan的資料報通過 但是只能有乙個pvid,收到乙個不帶tag頭的資料報時,會打上pvi...