知识框架（网络服务）

openssl

openssh、

DNS、

web (apache lamp)

mysql+php

samba,ftp,nfs

iptables

1、加密、解密原理

2、openssl命令行应用

3、openssl建立CA详解

4、openssl基础应用

一、加密、解密原理

1、安全***分主动***（窃听）和被动***（伪装、重播、拒绝服务）

安全机制：加密、数字签名、访问控制、数据完整性、认证交换、流量填充

安全服务：认证、控制访问、数据保密性、数据完整性、不可否认性

2、加密算法和协议类型：

对称加密：任意加密数据块和流的内容，加密和解密用同一个密码。
                    明文（clear text）通过加密算法和密钥生成密文，再由接受者用相同的密钥和算法解密获取明文。
                     算法：（DES、3DES、AES现在使用比较广、商业算法：Blowfish、Twofish、IDEA、RC6、CAST5）
                     特性：加密、解密使用同一口令；将明文分隔成固定大小的块，逐个进行加密
                     缺陷：密钥过多、密钥传输不安全、密钥交换、身份验证。

公钥加密：非对称加密，公钥加密私钥解密，公钥是从私钥中提取，公钥可以公开，私钥保密。
                      密钥：公钥和私钥是成对出现的。公钥包含在私钥中，公钥称为public key、私钥为secret key,由发起者对接受者索要公钥，用公钥加密数据后发送给接受者。接受者用算法和私钥解密。例如：bob和Alice索要公钥，用Alice的公钥将自己的数据加密生成密文传送给Alice；Alice用自己的私钥解密。公钥长度2048位，公钥加密比对称加密慢1000倍，一般不用来数据加密.
                      运用场景：身份验证和秘钥交换

单项加密：数据完整性算法，抽取数据特征码并且在二次抽取后跟此前特征码做比较以确保数据没有被窜改。
                       单项机密也叫数据完整性校验，定长输出、雪崩效应。单项加密有这几种方式：MD5、SHA1、SHA256、SHA384、SHA512，

认证协议：用来确定通信方的真实性。
                       发起者(bob)用单项算法计算数据的特征码，用自己的私钥计算特征码附加在数据后面，在用对称密钥对整个包（数据和加特征码）进行加密，并用接受者(alice)的公钥加密对称加密密码，附加在整个包中一并发给对方(alice)。接受者(alice)用自己的私钥解密获取对称加密密码，得到密码后解密整个包获得数据和特征码，在用相同的算法计算特征码，用对方(bob)的公钥解密数据验证对方身份，用对方计算结果（特征码）和解析结果（特征码）进行对比，来验证数据的完整性。

二、openssl命令行应用

ITU-T组织规定x.509（常见的证书标准）: 定义了证书结构和认证协议标准；证书格式大概包含（版本号、证书的序列号、算法和参数、发行者名称、有效期限、主体名称（此证书的拥有者）、公钥、发行者id、主体id、ca签名）

PKI：公开密钥基础设施（Public Key Infrastructure），是现在互联网安全基础规范

签证机构：CA，

注册机构：RA，

证书吊销列表：CRL

证书存取库：

ssl：安全套接字层（Secure Socket Layer）目前使用lssv3版本。浏览器与Web服务器之间的身份认证和加密数据传输。 （应用层、传输层、网络层、链路层、物理层）工作在传输层和各应用层之间，用户可以选择是否使用ssl进行传输。如果http使用ssl协议将调用ssl函数库端口也会发生变化。http(80/tcp) --> ssl --> https(443/tcp)

http以文本传输也就是8位一个字节传输，明文。

1.鉴定证书是否合法、2、验证证书的完整性、3、验证主机的名称和申请者名称是否相同、4、检查证书的有效期、5、检查证书是否已经被吊销，这些步骤就称为PKI
 
           ssl会话建立模型。在基于tcp/ip协议建立3次握手后，服务端会把ca证书发送给客户端，客户端得到证书后通过ca公钥进行解密ca签名，能解密证明该证书是可信任的、把解密出来的数据和重新计算出来的特征码对比对确保完整性、验证主机的名称和申请者名称是否相同，验证通过后客户端会取得服务器端公钥信息，客户端用公钥生成个一次性的对称加密密码发给服务器端。服务器端获取密码后加密网页数据发给客户端。