对称密钥

1. 数据传输分类 在互联网上数据传输有两种：明文传输和加密传输。明文传输的协议有：ftp、http、smtp、telnet。但是为了数据的完整性和安全性，所以后来引用了加密等相关手段来保证数据的安全和完整性。 2. 案例引入 我在外地出差，因工作需要，公司主管要发给我一份重要资料给我，怎么才能让这个资料顺利的传到我的手上，而且我怀疑有人会窃取这个重要资料，若是被谁窃取到那公司损失就大了！ 3. 安全的特点 我能确定这个资料来来自公司 --- 数据来源认证 我能确保在通过因特网传输时没有被修改过 --- 数据的完整性保护（传输的过程中是否被修改） 确宝没有别人能够看到这份资料 --- 数据私密性 （不能被别看到） 主管不能事后否认他曾经发送过那份资料本给我 ---（不可否认性） 4. 角色说明 互联网 黑客 数据 加密 数据 5. 算法 (1). 密码学算法主要分为两个大类，对称加密算法和非对称加密算法，对称加密算法技术已经存在了很长的时间。最早在埃及使用！ (2). 我们很快就能看到，对称加密算法和非对称加密算法各有所长和弱点，所以现代密码系统都在努力做到适当地使用这两类算法以利用它们的长处，同时又避开它们各自的缺点。 6. 对称加密算法的加密和解密原理 对称加密算法概念： 使用相同密钥与算法进行加解密运算的算法就叫做对称加密算法 具体加密过程如下图： 7.

前言 由于业务需要，最近在云上新购买了一批centos7.0的服务器,用脚本批量添加了用户（脚本请见我之前的博客/秘钥认证用户自动控制: http://my.oschina.net/pwd/blog/388254 ）,加完秘钥之后发现,但是secureCRT 抛出了一下异常。 解决过程 ： 1.初步怀疑秘钥有问题,通过命令行去探测是否可以连接,-> ssh -i 秘钥文件 用户名@主机 ，发现能正常连接，确认秘钥是OK的。 2.可能出在secureCRT配置问题，具体操作不详解了,主要是涉及客户端一些可视化的设置,捣鼓完以后没好。 3.根据以上报错联想，可能是这个secureCrt 不支持以上的加密算法，上面已经明确的提示了，于是验证了xshell和putty，以及高版本的SecureCRT是可以连接. 常见终端客户端的介绍请戳链接: http://www.cnblogs.com/276815076/p/4409591.html 由于低版本 SecreCRT 不支持 AES-128-CBC 这个 Cipher，而 Linux 下用 ssh-keygen 生成的公钥默认采用这个 Cipher 的，于是对应的私钥可能会加载不了,所以登陆不上。 思考和学习 参考: http://blog.csdn.net/macrossdzh/article/details/5691924 一

1.什么是SSH SSH是英文Secure Shell的简写形式。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、Pop、甚至为PPP提供一个安全的"通道"。如图所示: 2.SSH基本框架 SSH协议框架中最主要的部分是三个协议： * 传输层协议（The Transport Layer Protocol）提供服务器认证，数据机密性，信息完整性 等的支持； * 用户认证协议（The User Authentication Protocol） 则为服务器提供客户端的身份鉴别； * 连接协议（The Connection Protocol） 将加密的信息隧道复用成若干个逻辑通道，提供给更高层的应用协议使用； 各种高层应用协议可以相对地独立于SSH基本体系之外，并依靠这个基本框架，通过连接协议使用SSH的安全机制。 同时SSH协议框架中还为许多高层的网络安全应用协议提供扩展的支持。它们之间的层次关系可以用如下图来表示： 3.互联网主机秘钥机制 对于SSH这样以提供安全通讯为目标的协议，其中必不可少的就是一套完备的密钥机制

What: 密钥管理 —— 加密并不难，难的是密钥管理 AWS KMS 全称为 Key Management Service，中文直译过来为密钥管理服务 —— 这一点很重要，它提供的核心服务是 密钥管理 ，帮助企业、开发者方便安全地管理密钥。很多刚接触 KMS 的同学经常搞不清 KMS 到底做是做什么的，很大原因也是没仔细注意到 Key Management 这两个词。 所以我们的第一个问题「What」就已经回答了，KMS 就是一个管理密钥的服务，它并不是某种 super super magic 的高超加密方法。 我希望本文的读者通过阅读能意识到一个观念：加密是简单的，难的是管理密钥本身。 Why: KMS 能确保你密钥的安全性 接着来看第二个问题：Why ？为什么我需要把我的密钥给你管理，我自己保存不行了吗？事实上你完全可以自己管理，就像你完全可以自建机房一样，only if 你清楚各种最佳实践并愿意花时间自己去维护。 服务之所以叫服务，是服务提供商为你做了各种各样麻烦的事情 （They deal with those heavy lifting），从而让你把更多的时间精力花在更有价值的事情上。 那么 AWS KMS 为用户做了哪些麻烦的工作呢？ 完全托管：你不需要额外的服务器，不需要额外的维护人员。 简化加密过程：你不需要去在意繁琐的加密细节过程，只需要调用相关接口就行了。

注意：本节内容主要参考自《Java加密与解密的艺术（第2版）》第8章“高等加密算法--非对称加密算法” 11.1、非对称加密算法 特点： 发送方和接收方均有一个密钥对（公钥+私钥），其中公钥传播，私钥自己保存，不需要传播 私钥不需要传播的特性解决了对称加密算法中密钥传播的困难（这个困难一般通过线下传递可以解决） 加密安全性极高，只用于一些电子商务网站，加解密速度远低于对称加密 一般情况下，为了解决非对称加密算法加解密速度低的问题，采用非对称加密（使用公钥+私钥对对称加密的密钥进行加解密）+对称加密（加解密数据）相结合的方式。 常见算法： DH（非对称加密的基石） RSA（非对称加密的经典，除了可用于非对称加密，也可用于数字签名，RSA--155(512位密钥)已被破解） ElGamal 11.2、DH（仅能用于密钥分配，不能加解密数据） 实现方式： JDK（密钥长度：512~1024中的64的整数倍） 几个概念： 密钥对：公钥+私钥 本地密钥：对称加密的密钥 整个流程： 1）甲乙双方初始化各自的密钥对 甲方构建出密钥对keyPair1-->乙方使用甲方的密钥对中的公钥publicKey1构建出自己的密钥对keyPair2 2）甲乙双方构建各自的本地密钥 甲方使用自己的私钥privateKey1+乙方的公钥publicKey2构建出自己的本地密钥key1

Jasypt 加密 https://www.cnblogs.com/duanxz/archive/2012/12/26/2833726.html 简 介 　　 Jasypt 也即Java Simplified Encryption是Sourceforge.net上的一个开源项目。在当地时间11月23号的通告中，Jasypt 1.4的新特征包括：加密属性文件（encryptable properties files）、Spring Framework集成、加密Hibernate数据源配置、新的命令行工具、URL加密的Apache wicket集成以及升级文档。 根据Jasypt文档，该技术可用于加密任务与应用程序，例如加密密码、敏感信息和数据通信、创建完整检查数据的sums. 其他性能包括高安全性、基于标准的加密技术、可同时单向和双向加密的加密密码、文本、数字和二进制文件。Jasypt也可以与Acegi Security整合也即Spring Security。Jasypt亦拥有加密应用配置的集成功能，而且提供一个开放的API从而任何一个Java Cryptography Extension都可以使用Jasypt。 Jasypt还符合RSA标准的基于密码的加密，并提供了无配置加密工具以及新的、高可配置标准的加密工具。 1、该开源项目可用于加密任务与应用程序，例如加密密码

这15种加密解密算法分别是：散列哈希[MD5、SHA1、CRC32]，对称[DES，3DES（TDEA、Triple DES），AES、，Blowfish，RC4、RC5，IDEA]，Base64、Rabbit、Escape。 【三种分类】 1、对称加密：密钥只有一个，解密、解密都是这个密码，加解密速度快，典型的对称加密有DES、AES、RC4等 2、非对称加密:密钥成对出现，分别为公钥和私钥，从公钥无法推知私钥，反之，从私钥也无法推知公钥，加密和解密使用不同的密钥，公钥加密需要私钥解密，反之，私钥加密需要公钥解密。非对称加密速度较慢，典型的非对称算法有：RSA,DSA,DSS. 3、Hash算法，这是一种不可逆的算法，它常用于验证数据的完整性。 【1、MD5加密解密】 md5是不可逆的，md5没有解密的方法，最好的反驳就是：数据源是无穷尽的，而 MD5密文是有限的。这里的加密解密是对md5算法先加密后解密，而不是对md5解密。 md5加密原理 MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。 // MD5加密，32位 public static String MD5(String str) { MessageDigest md5 = null;

随着网络安全重要性日益凸显，越来越多的站点已经全站切换到HTTPS，其中很多HTTPS站点同时将HTTP协议升级到了HTTP/2。作为一只前端，最近一直在学习和应用相关知识点，便总结梳理如下。 一、何为HTTPS、HTTP/2？ HTTPS 全称Hypertext Transfer Protocol Secure，是一种网络 安全 传输协议，是在HTTP之下，传输层至上，增加了传输层安全协议TLS (Transport Layer Security)。HTTPS通过HTTP进行通信，通过TLS加密传输数据，对HTTP协议的版本没有要求，可以是HTTP/1.x，也可以是HTTP/2。 HTTP/2 超文本传输协议的第2版（最初命名为HTTP 2.0），简称h2（加密连接）或h2c（非加密连接）。HTTP/2 对是否在加密通道上建立连接没有要求，但为了避免代理和中间设备对数据传输的影响，所有支持HTTP/2的浏览器都只支持HTTPS信道上的HTTP/2（参见 caniuse ）。 HTTP/2 的主要目标是 提升传输性能 ，减少延迟，提高吞吐量，从而提高页面性能。 二、为何说HTTPS是安全的？ 我们知道HTTP是明文传输的，假设A同学与B同学要通信，途径M同学，就可以被M同学查看并篡改，不能保证数据的安全。我们首先想到的就是加密，AB同学约好密钥key（因为这里的A

1, 信息系统安全属性 最小授权原则：我们再给某人授权时，为了保证他的工作能够顺利进行，不要给他过多的授权 反暴露：例：为了防止别人破解我们的数据库，就把数据库命名成非标准的扩展名的数据库。 数据库的一个安全隐患，一旦有人知道数据库的位置，文件名，就可以把数据库给当下来，因此把数据库的扩展名设置成不规则的扩展名，文件名也是很长很奇怪的名字 信息加密：及时被截获，也无法获得原始信息 物理保密：发送时加密，接收时自动解密。 完整性：信息从一个节点发送到另一个节点信息不可以发生改变【防止他人截获信息，篡改信息】 可以使用安全协议，或校验码来 可用性：合法用户可以使用合法的方式来用到相应的资源。【DDOS攻击破坏的就是服务器的可用性】 不可抵赖性主要手段就是数字签名，签名可以识别发送者的身份，发送者不可抵赖。 2, 对称加密技术 在加密和解密的时候使用的密钥一样 (1) ，非对称的加密技术 公钥加密，私钥解密。或者，私钥加密，公钥解密。 (2) ，我们使用的RAR 的压缩包，pdf ，word 都可以加密码，他们都属于对称的加密技术【加密解密密钥相同】 (3) ，常见的对称技术加密算法 DES算法加密过程采用的手段主要是替换+移位的方式 替换：会有个密码表，保存了明文密文的对应关系，直接查表，翻译。【很普遍】 移位：一旦移位就会导致字母跟原来的情况完全不一样【常用】

加密算法简介 　　 数据加密的基本过程就是对原来为明文的文件（或数据）按某种算法进行处理，使其成为不可读的一段密文，只能通过输入正确的密钥之后才能显示密文的原始信息。根据加密技术的不同，大致分为对称加密和非对称加密。 　　对称式加密就是加密和解密使用同一个密钥（secret key），通常称之为“Session Key ”这种加密技术在当今被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的Session Key长度为56bits。 　　非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为公钥（public key）和私钥（private key），这两个必需配对使用。这里的公钥是指可以对外公布的，私钥则不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难不把密钥告诉对方，不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥，且其中的公钥是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地避免了密钥的传输安全性问题。 常见的加密算法 DES（Data Encryption Standard）：对称算法，数据加密标准，速度较快，适用于加密大量数据的场合； 3DES（Triple DES）：是基于DES的对称算法，对一块数据用三个不同的 密钥