OpenSSL

X.509数字证书的结构与解析 1、什么叫数字签名 数字签名： 将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证：只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。 将该报文摘要值用发送者的私人密钥加密，然后连同原报文一起发送给接收者，而产生的报文即称数字签名 2、什么叫数字证书 数字证书： 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构—–CA机构，又称为证书授权，（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 3、PKI PKI 是一组服务和策略，提供了一个将公钥和用户身份唯一绑 定的机制，以及如何实施并维护这个绑定相关信息的框架； PKI 是一个通过使用公开密钥技术和数字证书来确保系统信息 安全，并负责验证数字证书持有者身份的体系。 体系详解 (1) 鲍勃有两把钥匙，一把是公钥，另一把是私钥。 (2) 鲍勃把公钥送给他的朋友们—-帕蒂、道格、苏珊—-每人一把。 (3)

11月6日， 全国广播电视 总局 办公厅 发布 关于印发 区块链技术应用系列白皮书 的通知，主要包含了《广播电视和网络视听区块链技术应用白皮书（2020）》的总体篇、内容审核篇、县级融媒体中心篇。该白皮书将作为广电总局 推动区块链在广播电视和网络视听行业的创新应用，加强区块链技术在广播电视和网络视听行业应用的引导与规范。其中，多次提到IPFS与区块链相结合，赋能媒介发展的可能性。 建立更安全的域名解析（DNS）服务 广电总局表示，未来将使用IPFS代替HTTP注册和解析域名，在区块链技术的帮助下，构建更安全且受信任的DNS基础设施。肯定了IPFS代替HTTP成为互联网新一代网络底层协议的功能定位，并且表明了IPFS的优势作用——安全性。通过IPFS技术，能够防止大规模“僵尸网络”入侵。 内容管控与内容屏蔽 在数据存储方面，IPFS分布式存储充分弥补了区块链的存储问题，不需要将信息内容如新闻、文字信息、音视频内容等媒体内容直接上链，而是将这些信息内容数据对应的统一标识、哈希值、各主体对内容的数字签名或者一些特征描述信息（或该信息的哈希）进行上链。 在数据管控方面，利用IPFS分布式存储的永久保存优势，结合区块链的不可篡改特性，进行媒体内容的管控与审核。同时，需要充分考虑分布式存储系统的相关节点管控和准入管理，在系统设计实现时具备对于无法删除的内容进行访问屏蔽的功能和能力。

今天讲一讲安全体系建设方案，对于企业来说，安全体系一直是比较关心的话题，无论大企业还是小企业都对于如何建设安全体系以及什么是安全，存在一定的疑问，这篇文章就从基础组成的角度来讨论一下安全架构的建设。 安全架构包括哪些方面？ 物理方面 比如机房的安全，物理服务器的安全，硬盘的安全。有人可能会问，我的服务器是放在云上的，存在物理方面的安全吗？当然，对于企业而已，云端的物理安全是不需要过于担心的，因为云提供方会对他们的云机房做物理安全监控，但其实有很多信息在初期也是需要考察的，比如云机房的监控，云机房的人员访问审查，云机房的高可用，云服务器的使用时长等等。 举个例子 在这里举个例子，我们的服务器使用时间大概已经有5年时间，主板电池有些问题，服务器一旦重启就会刷新时区，比正常的业务时间慢8个小时，HTTPS校验时间时就出了问题，导致业务进不来。Crontab的执行时间同步一旦没有达到秒级就会存在这个问题，但是正常谁会把时间同步定义到秒级呢？这个问题直接导致了业务的瘫痪，所以在选择云供应商的时候一定要询问他们的宿主机使用时长。 云物理监控需要看什么？ 比如需要监控进出机房的人员，早些时候会有一些编外人员以云提供商的身份进入云机房进行数据窃取，这方面国外最严重，国内经过管控已经好很多，但是物理监控依旧不能掉以轻心。 数据方面 数据安全，比如存放的数据加密，必要时需要脱敏处理

Check Point研究人员报告称，Trickbot和Emotet在全球威胁指数中名列前茅，并被用于向全球医院和医疗保健提供商分发勒索软件 2020年10月全球威胁指数显示，Trickbot和Emotet木马在十月份继续成为最流行的两个恶意软件，并且这些木马一直是全球针对医院和医疗服务提供商的勒索软件攻击急剧增加的原因。 FBI和其他美国政府机构最近发布了针对针对医疗保健行业的勒索软件攻击的警告，警告称全世界估计有100万以上的Trickbot感染被用于下载和传播Ryuk等文件加密的勒索软件。Ryuk还通过Emotet木马进行分发，该木马连续第四个月在Top Malware Index中排名第一。 Check Point威胁情报数据显示，十月份美国医疗保健部门成为勒索软件攻击的最大目标，与2020年9月相比，攻击数量增加了71％。同样，欧洲，中东和非洲地区针对医疗保健组织和医院的勒索软件攻击数量也增加了36％。在亚太地区占33％。 Check Point研究人员警告说，自从冠状病毒大流行开始以来，勒索软件攻击已在增加，以尝试利用安全漏洞，因为组织争先恐后地为远程员工提供支持。在过去的三个月中，这些数字激增到令人震惊的地步，尤其是在医疗保健领域，并且是由先前存在的TrickBot和Emotet感染引起的。Check Point强烈敦促各地的医疗机构对这种风险保持更高的警惕

DNS隧道 0 1 原理 在进行 DNS 查询时，如果查询的域名不在 DNS 服务器本机的缓存中，就会访问互联网进行查询，然后返回结果，如果互联网上有一台定制的服务器，那么依靠 DNS 协议即可进行数据包的交换。从 DNS 协议角度来看，这样的操作只是在一次次的查询某个特定的域名并得到解析结果，但其本质问题是，预期的返回结果应该是一个 IP ，而事实上返回的可以使任意字符，包括加密的 C&C 指令。 DNS 隧道根据实现方式大致可分为两种： 直连： 用户端直接和指定的目标 DNS 服务器建立连接，然后将需要传输的数据编码封装在 DNS 协议中进行通信。这种方式的优点是具有较高速度，但蔽性弱、易被探测追踪的缺点也很明显。另外直连方式的限制比较多，如目前很多的企业网络为了尽可能的降低遭受网络攻击的风险，一般将相关策略配置为仅允许与指定的可信任 DNS 服务器之间的流量通过。 中继隧道： 通过 DNS 迭代查询而实现的中继 DNS 隧道，这种方式及其隐秘，且可在绝大部分场景下部署成功。但由于数据包到达目标 DNS 服务器前需要经过多个节点的跳转，数据传输速度和传输能力较直连会慢很多 。 这两种功方法虽然在工作原理上存在差异，但是从流量上看都是DNS协议，但是实际工程中也需要注意，旁路采集的方式可能会影响到你最终能否采集到的完整的通信日志，例如如果采用记录dns解析的方法，则可能漏过upd

对于在git上面拉代码报"error: RPC failed; curl 56 OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 10054"解决方法 参考文章： （1）对于在git上面拉代码报"error: RPC failed; curl 56 OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 10054"解决方法 （2）https://www.cnblogs.com/xzhan/p/11239774.html 备忘一下。 来源： oschina 链接： https://my.oschina.net/u/4354470/blog/4713640