加密技术与应用.pptVIP

* * * * * Of: Your Name Date: 01/18/2010 技术分享：加密技术与应用 系统架构部 窦智 一、常见加密技术介绍 1.1、对称加密 1.2、加密哈希 1.3、非对称加密 1.4、数字签名 1.5、数字证书 1.6、密钥交换 1.7、TLS/SSL 握手 二、加密技术的应用 2.1、CA的生成、用CA签发证书 2.2、Nginx与Apache之间的安全通信 2.3、给MySQL安装SSL 、PHP与MySQL的安全通信 2.4、让Ftp使用TLS连接 一、加密技术介绍 对称加密 特点：加密和解密使用同一个密钥 常用算法：DES 3DES Blowfish, AES 安全隐患：共享的密钥丢失、密文容易被破解 单向哈希 特点：把任意固定长度的字符串转换成固定长度的字符串 常用算法：MD5，SHA-1 非对称加密 特点：基于公钥/私钥对一个密钥加密，另一个密钥解密 常用算法：RSA，EIGamal 用来解决对称加密过程中，共享密钥被泄露的问题。 数字签名 特点：私钥加密，公钥解密；也属于非对称加密 常用算法：RSA，EIGamal，DSA 私钥对明文进行哈希处理并签名，然后加密它们。 密钥交换 交换方式：Diffie-Hellman、公钥加密 第一种方式，采用共享的密钥，但是并不在网络上传输，使用数字签名来验证； 第二种方式，使用公钥加密密钥，并传送给接收方，接收方使用独有的私钥解密后获得密钥。 数字证书 特点：由第三方（CA）签署公钥 验证的基础：客户端和服务端都信任CA 数字证书包含以下信息： 证书的有效期 证书的所有者 证书如何使用（TLS/SSL） 签署该证书的CA的信息 由CA的私钥签署的证书的哈希值 TLS/SSL Handshake 客户端与服务端协商通信协议 服务端向客户端发送证书 客户端用CA证书（公钥）检查服务端证书的的合法性 客户端为本次会话生成一个密钥 客户端用服务端的公钥加密该密钥 服务端用自己的私钥解密客户端发送的密钥 双方用这个密钥进行对称加密传输 TLS与SSL的区别 SSL (Secure Socket Layer)是 Netscape 开发的专门用于保护 Web 通讯的，目前版本为ssl v3.0； TLS（Transport Layer Security Protocol）是由IETF开发，并写入RFC文档，目前版本号为1.0。 TLS比SSL更加规范，更加安全。 注：二者的加密算法不同，所以不能互操作。 二、加密技术的应用 CA的生成以及用CA签发证书 Nginx与Apache之间的安全通信 给MySQL安装SSL 、PHP与MySQL的安全通信 MySQL主从服务器之间使用SSL连接 让FTP使用TLS连接 注：详细配置见部门内部wiki 在PHP与MySQL之间使用SSL连接 一、首先建立一个必须经过ssl才能连接mysql服务器的用户： mysqlgrant all on database.* to user@% identified by password require ssl; 如果某用户已经存在： mysqlgrant usage on database.* to user@% require ssl; 二、让PHP使用SSL连接MySQL Mysql_connect()函数：mysql_connect(server,user,pwd,newlink,clientflag) 检验： ?php $link=mysql_connect(“host,user,password,false,MYSQL_CLIENT_SSL) or die(mysql_error()); $res = mysql_query(SHOW STATUS LIKE ssl_cipher;,$link); print_r(mysql_fetch_row($res)); echo Finished.; ? 打开网页如果显示以下内容则表示php与mysql之间成功使用ssl进行连接了： Array ( [0] = Ssl_cipher [1] = DHE-RSA-AES256-SHA ) 使用TLS/SSL加固Ftp的理由： 在ftp协议的通信过程中，密码和数据都是以明文的形式在网络中传输，容易第三方截取、篡改。使用TLS/SSL可以加密传输重要性较高的内容。 缺点：加密/解密会导致传输速度下降。 在ftp客户端使用TLS/SSL连接，以flashfXP为例： 谢 谢 ！ * * * * * * * * * * *