加密算法原理及DNS服務原理
阿新 • • 發佈:2018-12-01
簡單 返回 ans 公開 簽名 數據庫文件 美國 最終 資源記錄 1、簡述常見加密算法及常見加密算法原理,最好使用圖例解說
在安全領域,利用密鑰加密算法來對通信的過程進行加密是一種常見的安全手段。利用該手段能夠保障數據安全通信的三個目標
在安全領域,利用密鑰加密算法來對通信的過程進行加密是一種常見的安全手段。利用該手段能夠保障數據安全通信的三個目標
1、數據的保密性,防止用戶的數據被竊取或泄露;
2、保證數據的完整性,防止用戶傳輸的數據被篡改;
3、通信雙方的身份確認,確保數據來源與合法的用戶;而常見的密鑰加密算法類型大體可以分為三類:對稱加密、非對稱加密、單向加密。
對稱加密
對稱加密算法采用單密鑰加密,在通信過程中,數據發送方將原始數據分割成固定大小的塊,經過密鑰和加密算法逐個加密後,發送給接收方;接收方收到加密後的報文後,結合密鑰和解密算法解密組合後得出原始數據。由於加解密算法是公開的,因此在這過程中,密鑰的安全傳遞就成為了至關重要的事了。而密鑰通常來說是通過雙方協商,以物理的方式傳遞給對方,或者利用第三方平臺傳遞給對方,一旦這過程出現了密鑰泄露,不懷好意的人就能結合相應的算法攔截解密出其加密傳輸的內容。 對稱加密算法擁有著算法公開、計算量小、加密速度和效率高得特定,但是也有著密鑰單一、密鑰管理困難等缺點。 常見的對稱加密算法有: DES:分組式加密算法,以64位為分組對數據加密,加解密使用同一個算法。 3DES:三重數據加密算法,對每個數據塊應用三次DES加密算法。 AES:高級加密標準算法,是美國聯邦政府采用的一種區塊加密標準,用於替代原先 DES,目前已被廣泛應用。 Blowfish:Blowfish算法是一個64位分組及可變密鑰長度的對稱密鑰分組密碼算法,可用來加密64比特長度的字符串。
非對稱加密
非對稱加密算法采用公鑰和私鑰兩種不同的密碼來進行加解密。公鑰和私鑰是成對存在,公鑰是從私鑰中提取產生公開給所有人的,如果使用公鑰對數據進行加密,那麽只有對應的私鑰才能解密,反之亦然。 非對稱加密算法具有安全性高、算法強度負復雜的優點,其缺點為加解密耗時長、速度慢,只適合對少量數據進行加密,其常見算法包括: RSA:RSA算法基於一個十分簡單的數論事實:將兩個大素數相乘十分容易,但那時想要對其乘積進行因式分解卻極其困難,因此可以將乘積公開作為加密密鑰,可用於加密,也能用於簽名。 DSA:數字簽名算法,僅能用於簽名,不能用於加解密。 DSS:數字簽名標準,技能用於簽名,也可以用於加解密。 ELGamal:利用離散對數的原理對數據進行加解密或數據簽名,其速度是最慢的。
單向加密
這種加密嚴格意思上算不上加密,也常被稱為散列運算,用於對數據生成獨一無二的校驗碼,對於校驗碼叫法很多(如特征碼,指紋信息)這類加密有個特點,就是具有雪崩效應,對任何數據,就算你改動一個標點符號,改動前和改動後使用算法計算出來的結果是翻天覆地的變化。但只要數據沒發生改動,使用單向加密算法計算出來的值是不會發生改變的,所以使用單向加密能很好的解決數據完整性的問題。
常見的算法包括:MD5、sha1、sha224等等,其常見用途包括:數字摘要、數字簽名等。2、搭建apache或者nginx並使用自簽證書實現https訪問,自簽名證書的域名自擬
3、簡述DNS服務器原理,並搭建主-輔服務器
-
DNS是什麽
DNS(Domain Name Service的縮寫)的作用就是根據域名查出IP地址。IP地址是由32位二進制數字組成,人們很難記住這些IP,相反,大家願意使用比較容易記憶的主機名字。而電腦在處理IP數據報文時,是使用IP地址的,因為它是固定長度。 DNS查詢的類型對於客戶端來說是遞歸查詢,對於DNS服務器來說,絕大多數是叠代查詢的。DNS名稱解析中,從名稱到IP的查詢叫做正向解析,而從IP到名稱的查詢叫做反向解析。如果DNS服務器至少解析了一個或一個以上的域叫做DNS主服務器或者DNS輔助服務器,如果不負責任何解析叫做DNS緩存服務器。 -
DNS的域名解析過程
用戶使用瀏覽器輸入網址時域名解析過程: 客戶訪問時,先查自己的hosts文件,有則返回 客戶hosts中沒有就去查自己的緩存,有則返回 客戶緩存沒有就去找dns服務器 dns服務器先找根服務器獲得頂級域服務器地址 dns服務器在找頂級域服務器去獲得二級域服務器地址 dns服務器從二級域服務器獲得最終的IP地址 客戶端從dns服務器中得到IP地址 DNS區域數據庫文件: 資源記錄(resource record 簡稱rr)的類型有以下幾種: SOA:起始授權記錄,只能有一個,必須放在第一條 NS:域名服務記錄,其中一個為主,可以有多個 A:IPV4地址記錄 AAAA:IPV6地址記錄 CNAME:別名記錄 PTR:反向解析記錄 MX:郵件交換器 - 搭建DNS主--輔服務器
1)服務器環境
主服務器為CentOS6.5,地址:192.168.2.104
輔服務器為CentOS7.4,地址:192.168.2.100
2)在主服務器上
#mv /etc/named.conf{,.bak}
#vim /etc/named.conf
options {
directory “/var/named”;
};
zone “.” IN {
type hint;
file “named.ca”;
};
zone “localhost” IN {
type master;
file “named.localhost”;
};
zone “0.0.127.in-addr.arpa” IN {
type master;
file “named.loopback”;
};
zone “magedutext.com” IN {
type master;
file “magedutext.com.zone”;
};
zone “1.168.192.in-addr.arpa” IN {
type master;
file “192.168.2.zone”;
};
#chgrp named /etc/named.conf
#cd /var/named
#vim /var/named/magedutext.com.zone
$TTL 600
IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018012801
1H
5M
2D
6H)
IN NS ns1.magedutext.com.
IN NS ns2.magedutext.com.
IN MX 10 mail
ns1 IN A 192.168.2.104
ns2 IN A 192.168.2.100
mail IN A 192.168.2.100
www IN A 192.168.2.104
www IN A 192.168.2.100
chmod 640 /var/named/magedutext.com.zone
chown root.named /var/named/magedutext.com.zone
named-checkzone “magedutext.com” /var/named/magedutext.com.zone
cp magedutext.com.zone 192.168.2.zone -p
vim 192.168.2.zone
IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018120116
1H
5M
2D
6H)
IN NS ns1.magedutext.com.
IN NS ns2.magedutext.com.
104 IN PTR ns1.magedutext.com.
100 IN PTR ns2.magedutext.com.
104 IN PTR www.magedutext.com.
100 IN PTR mail.magedutext.com.
100 IN PTR www.magedutext.com.
#named-checkconf
#named-checkzone “1.168.192.in-addr.arpa” 192.168.2.zone
#service named start3)在輔服務器上
#yum install -y bind
#mv /etc/named.conf{,.bak}
#rsync -e ssh -avz –progress [email protected]:/etc/named.conf /etc
#setenforce 0
#systemctl stop firewalld
#mv /etc/named.conf{,.bak}4)在主服務器上
#chgrp named /etc/named.conf
#service named restart
#rsync -e ssh -avzr –progress /etc/named.conf 192.168.2.100:/etc/5)在輔服務器上
#vim /etc/named.conf
options {
directory “/var/named”;
allow-recursion {192.168.2.0/24; 127.0.0.1;};
};
zone “.” IN {
type hint;
file “named.ca”;
};
zone “localhost” IN {
type master;
file “named.localhost”;
allow-transfer {none;};
};
zone “0.0.127.in-addr.arpa” IN {
type master;
file “named.loopback”;
allow-transfer {none;};
};
zone “magedutext.com” IN {
type slave;
file “slaves/magedutext.com.zone”;
masters {192.168.2.104;};
allow-transfer {none;};
zone “1.168.192.in-addr.arpa” IN {
type slave;
file “slaves/192.168.2.zone”;
allow-transfer {none;};
masters {192.168.2.104;};
};
#systemctl start named6)在主輔兩臺服務器上查看傳送日誌
#tail /var/log/messages4、搭建並實現智能DNS
創建配置文件
vim /etc/named.conf
acl telecom {
192.168.2.0/24;
127.0.0.1/8;
};
options {
directory “/var/named”;
allow-recursion {telecom;};
};
view telecom {
match-clients {telecom;};
zone “magedutext.com” IN {
type master;
file “telecom.magedutext.com.zone”;
};
};
view unicom {
match-clients {any;};
zone “magedutext.com” IN {
type master;
file “unicom.magedutext.com.zone”;
};
};//定義兩個區域,一個是telecom一個是unicom。any表示如果telecom無法匹配的都會由unicom匹配。
將兩臺主機的DNS都指向DNS服務器
創建區域文件
im /var/name/telecom.magedutext.com.zone
$TTL 43200
@ IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018012901
1H
10M
7D
1D)
IN NS ns1
IN MX 10 mail
ns1 IN A 192.168.2.104
mail IN A 192.168.110.131
www IN A 192.168.2.104
chgrp named /var/named/telecom.magedutext.com.zone
chmod 640 /var/named/telecom.magedutext.com.zone
cp -a /var/name/telecom.magedutext.com.zone /var/named/unicom.magedutext.com.zone
vim /var/named/unicom.magedutext.com.zone
$TTL 43200
@ IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018012901
1H
10M
7D
1D)
IN NS ns1
IN MX 10 mail
ns1 IN A 192.168.2.104
mail IN A 192.168.2.104
www IN A 192.168.110.131//telecom與unicom兩個區域文件中解析的地址是不一樣的。但ns地址是不會變的
dig -t A www.magedutext.com @192.168.2.104
加密算法原理及DNS服務原理