一、一致性/签名算法

这类算法有很多，流行的有MD4/MD5(128bit)、SHA-1(160bit)、SHA-2（含SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256）、HMAC等。MD即Message Digest，SHA即Secure Hash Algorithm，他们的本质都是HASH（哈希/散列）算法。

（一）HASH介绍

HASH是一种将可变长的字符串（甚至无限长）变成固定长度输出（即消息摘要）的算法，算法很多，比如映射为128位（MD5）。为什么可变长能映射到固定长度呢？首先是对可变长的字符串信息进行切割分组（比特级别的分组），形成原始“信息料”。然后将这些信息料逐一喂给内部的“压缩算法”，相当于对信息不断循环进行压缩，最后压缩成一个固定长度的字符串。开始时候，涉及一个初始输入，谓之“初始向量”。所谓的压缩算法，就是各种异或和移位操作。理想情况一般是：固定长度字符串的每个字符，都能尽量关联输入字符串的所有字符信息；同样，输入端的任何一个字符改变，都能均匀地反映到输出端所有字符上，比如输入差别一个字符，输出完全不一样（即雪崩效应）。除了寻址空间变大外，这个集中性和均匀性映射关系就是各类算法努力的方向。

（二）MD2介绍

上述的这些算法，他们的鼻祖其实是MD2，只是后来者位数更多，算法更优而已，思路大体还是沿用MD2的，所以这里大概介绍一下MD2设计思路。

MD2：文章参考来自知乎https://zhuanlan.zhihu.com/p/113198626

第一步：分组（每组16字节，也包括初始向量），不足位数的补齐。

第二步：MD函数对第1个分组进行压缩运算，输出结果作为第二个分组的输入。后续以此执行，直到所有的分组都被压缩到。

第三步：不断循环第二部，执行多轮

第四步：输出固定长度的字符串128bit

图1 MD2过程

（三）HMAC介绍

另外一个常用的是HMAC算法。HMAC即Hash-based Message Authentication Code，一种基于Hash函数和密钥进行消息认证的方法，广泛应用于互联网认证协议中。

HMAC算法公式： HMAC（K，M）=H（（K’⊕opad）∣H（（K’⊕ipad）∣M））

该算法拥有两个输入：K是分配的KEY，即密钥；M是Message，比如随机数、ID之类。H是指哈希算法，可指定各类哈希算法；K‘是经K变换而来的；ipad/opad是一些常量。或运算可以看出是字符串追加，也可以理解为加锁。该公式直白点解释就是，利用密钥对Message层层上锁，最终得到一个不可逆的签名。将这个签名发给分配KEY的那端比如后台，后台将该KEY和自己分配出去的Message做一次HMAC运算，若匹配则通过身份验证。所以利用HMAC执行身份验证的流程大致如下：

1、客户端和后台提前约定一个KEY（或者通过接口分配）

2、后台通过接口分配一个Message给客户端（该Message就是一个身份ID，比如随机数）；

3、客户端对Message执行加签操作HMAC(KEY, Message)，得到签名；

4、将该签名发送给后台，后台采用Message和Key同样执行HMAC运算校验签名，验证身份。

该流程中，HMAC内部会执行HASH运算进行加签，但重点是KEY和Message都是后台分配的，所以能够验证身份。

（四）加盐

加盐（我自己喜欢叫撒盐），就是在一段字符串或者比特上，掺杂点扰动（好比往水里撒点盐，变了味道），以达到混淆视听，使得要保护的目标更安全。加盐算法可以随意，自己乐意就行。

举个例子，网站存储你的登录密码，明文存储肯定不可行（岂不是一下子就泄漏了），所以一般会做HASH运算存储比如MD5，即存储密码的MD5。正常来说，MD5是不可逆的，即使泄露别人也猜不到真实密码是什么。但是，就怕像这样的穷举网站 https://www.cmd5.com/，通过事先计算好的MD5（一般是针对常用的简单密码）进行碰撞破解。所以，教会我们密码真不能简单设置。为了提升这种碰撞的难度，网站做了一点优化：在输入的密码上加点盐（可以后面/前面/中间或者其他位置），再执行MD5，然后存储。这样泄露出去，碰撞破解就没那么容易了（除非知道加盐的规则）。

所以，加盐能提升保护级别。加盐跟加密不同，加盐是在原文上掺杂一些扰动，加密则是将原文执行一次映射。

二、加密/解密算法

（一）对称加密

加解密采用一样密钥，块运算，速度快，适合大数据，要防止密钥泄露。

DES（Data Encryption Standard）：数据加密标准，是一种使用密钥加密的块算法，适用于加密大量数据的场合（64bit分组）。DES的密钥的位数太短，只有56bit，另外加8bit校验码，安全性不高。
3DES（Triple DES）：基于DES，对一块数据用三个不同的密钥进行三次加密，是向AES过渡的加密算法；
AES（Advanced Encryption Standard）：高级加密标准，替代DES；有时也叫Rijndael加密，密钥长度128bit、192bit或256bit，安全性高。另外效率也高，128~256bit分组。

对称加密的特点：

1、加密速度快，适合大文件加密；

2、一般结合base64使用

加密模式：

ECB（电子密码本）：分块独立加密，并行加密，速度快

CBC（密码块链接）：明文块与密文块串行加密，速度慢

图3 CBC（图片转自：https://www.cnblogs.com/happyhippy/archive/2006/12/23/601353.html）

备注：CBC有存在被攻击的可能性，这种攻击叫Padding Oracle Attack，就是虽然不知道私钥是什么，但是可以通过修改/增删分组的padding，让私钥解密。私钥解密结果要么padding长度不对，要么padding长度正确，由于这两个结果在早期TLS中会有不同返回值，因此可以被黑客利用。黑客利用一次“padding长度正确”的判定猜出分组的一点信息，一点一点猜测，最终破译密文分组。所以安全性高的场合，不宜用CBC模式。

（二）非对称加密

加解密分别采用公钥/私钥，可对称使用，即公钥加密则私钥解密，私钥加密则公钥解密。运算慢，适合小数据量，但安全度高。

RSA，支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的。密钥越长，越难破解。根据已经披露的文献，目前被破解的最长RSA密钥是768个二进制位，因此可以认为，1024位的RSA密钥基本安全，2048位的密钥极其安全。

ECC（Elliptic Curves Cryptography），椭圆曲线密码编码学，和RSA相比抗攻击性更强。

（三）结合使用

一般会使用非对称加密传输对称加密的密钥，然后数据再使用对称加密进行传输。

三、身份ID产生算法

身份ID一般会采用或者包含随机数，随机数的空间要足够大，避免重复冲突。

随机数产生算法：

（一）线性同余法（LCG）：

X(n+1) = [a * X(n) + c] mod m

其中，X(n)为伪随机序列，初始值x(0)一般叫做seed（种子）。

（二）Mersenne Twister法

一种能快速生成高质量伪随机数算法，在各种编程语言和库中普遍应用，甚至默认的伪随机数发生器。

（三）其它算法

但是一般在程序中，无需自己去研究这些算法，各种语言都有库封装，直接调用随机数接口/函数即可，比如random()或者randomUUID()之类。

UUID是一类比较不错的身份ID选择，命名空间足够大。

UUID格式：xxxxxxxx—xxxx—xxxx—xxxx—xxxxxxxxxxxx，32个十六进制数，128 bit

UUID也分多个版本，主要是通过时间戳、随机数、MAC地址、Hash值（比如MD5/SHA-1)等组合实现。对程序来说，除了选择一种较好的身份ID生成方式外，更重要是要关注和维护这些随机数的分配规则。

–经典加密–

1. Caesar Code

old letter + 3 = new letter
🔗 ： 凯撒密码

2. Vigenėre Cipher

铭文 & key -> 密文
( N * N)表格，类似二维坐标系寻找对应坐标。
🔗 ： Vigenère密码

3. Playfair Square

1）将词填入5*5格中，I/J视为同一字
2）两两划分，矩形法求编码

• 常规，矩形的另外两个对角
• 同行，右移一位
• 同列，下移一位

🔗 ： 波雷费密码

4. 一次性密钥

优点：随机、无法破解、stream cipher、 与明文无关系
缺点：key传输与保护、容易出错、消息传输

基本原理：

5. Diffie-Hellman

是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。
简而言之，是一个生成密钥的过程。
🔗 ： 迪菲-赫尔曼密钥交换

其中A和B的沟通中计算出来的Key，就类似信道。如果存在等量关系Key A = Key B，则可以说明A就是和B在通信。

Man-in-the-middle （中间人攻击）

出现了一个在A和B之间的C截获了数据，并将自己的公钥伪装成A/B的，让二人误以为在跟对方通信。
在这个场景中，上述说的Key A = Key B的等价关系就不存在了。相反，A和C、C和B分别建立起来了两个等价关系。

🔗 ： 中间人攻击

6. RSA

1）产生public和private key。

2）加密消息
消息转为Unicode编码，拼成一串长数字，按照划分（用接收者的公钥）加密。

3）解密消息
接收者用自己的密钥解密。

7. LRC

🔗 ： 纵向冗余检查

8. DES

Data Encryption Standard。是基于拆分，substitution再合并的过程。
代表性步骤参考S-Box
6位：011010
分割成：【首尾】00，【剩余】1101
转为十进制【13，0】在表格中找 = 9
转为二进制 1001

🔗 ： DES

9. AES

block cipher : 以block为单位执行。

AddRoundKey 回合密钥运算
矩阵中的每一个字节都与该次回合密钥（round key）做XOR运算, 产生很多子密钥。

Substitute Bytes 查找表替换字节
透过一个非线性的替换函数，用查找表的方式把每个字节替换成对应的字节。

ShiftRows 循环移位
将矩阵中的每个横列进行循环式移位。

MixColumns 充分混合
为了充分混合矩阵中各个直行的操作。这个步骤使用线性转换来混合每内联的四个字节。

🔗 ： AES

10. 改进操作

🔗 ： 分组密码工作模式

ECB

Electronic Code Book，电子密码本。
64位的块用同样的密钥加密。

CBC

Cipher Block Chaining, 密码块链接。
每个明文块先与前一个密文块进行XOR后，再进行加密。在这种方法中，每个密文块都依赖于它前面的所有明文块。

CFB

Cipher feedback，密文反馈。
类似于CBC。会有丢弃的过程。

Error Propagation
但是会出现问题 ： 如果初始64bit出现错误，他可能会转移到下面的8bit。

OFB

Output feedback，输出反馈。
它产生密钥流的块，然后将其与明文块进行XOR，得到密文。

CTR

Counter mode，计数器模式。
它通过递增一个加密计数器以产生连续的密钥流。
在具体细节上，与OFB相似，CTR将块密码变为流密码。在图解流程中，又和ECB相似。

–Hash加密–

用途：用户在设置密码时不能把铭文存储在数据库中，因为有被最高权限人员知道的风险。所以将密码通过Hush加密后勋在数据库中。这个过程因为是不可逆的，因此比较安全。
风险：计算常用密码的Hash可以用来匹配和暴力破解。

1. SHA1

1）先对明文分组，每组为512bits
2）内部再分为16 * 32 bits的长度，进行特定的哈希运算
3）将Hash结果（第一组）与初始链接变量求和
4）将其作为链接变量不断传递到下一组的计算中
5）产生的160bit diggest就是SHA1的摘要

2. Birthday attack

类似数学中最常见的概率论“一个班级中两个人同天生日的概率”问题。这就是对上面哈希方法的风险分析过渡了——如果我们把有限的密码的哈希值全部计算出来，那么总会有密码就是和计算哈希库试用的密码是一致的。
（比如说程序员最爱用的密码123456，我就用这个算出来的哈希结果H0。虽然确实10个人中9个不是这么设的，但是我比对出来的和计算的哈希结果H0相等的人中，有概率就有一个人用的密码就是123456）
🔗：生日攻击

–消息验证–

1. MAC

在发消息的时候就通过算法编码得到M0，在收到信息的时候再将消息编码得到M1，最后将二者的编码结果比较是否一致，以此判断整个传输过程的消息完整性。
其中，算法函数MAC(m)=f(key, m).
🔗：消息认证码

2. HMAC

基于Hush算法改进的MAC。
🔗 ：密钥散列消息认证码

优势 ：

1. 基于Hash的方式比普通的方式更快，比如DES
2. HMAC的代码可用性高
3. 没有什么类似出口限制

–密钥管理–

在简单的分类中，可以将分为短期（自动产生，临时），和 长期（用于认证、保密） 的密钥。

1. 公开密钥认证

是用于公开密钥基础建设的电子文件，用来证明公开密钥拥有者的身份。即本质就是对公钥施加数字签名。
认证机构（CA）用自己的私钥对需要认证的人（或组织机构） 的公钥施加数字签名并生成证书，使得证书与公钥绑定，因此允许在不实时访问公钥权威的情况下进行密钥交换。
【对象】：认证机构 -> 需要认证的人（或组织机构）
【操作】：施加数字签名和证书
【效果】：与公钥绑定，足够权限进行密钥交换
🔗 ： 公开密钥认证

如果A、B是同一机构认证：Trust

如果A、B不是同一机构认证：B要向他的父机构寻求A的父机构认证，Trust

数字签名

数字签名则是以数学算法或其他方式运算对其加密而形成的电子签章，以此确保数据的完整性和签名者的身份。同时，数字签名具有不可抵赖性（non-repudiation）：任何获得数字签名的人都能够将这个签名作为证据。
有些基于数据的digital signature还需要基于数据或者签名者持有的私密参数进行运算。

基本原理：私钥加密（相当于生成签名），公钥解密（相当于验证签名）。即将公钥反用，公布public key公钥可以被广泛认证，而在加密的时候用私钥。
🔗 ： 数字签名

X.509框架

X.509是密码学里公钥证书的格式标准。目录里包括用户的信息、身份验证协议、由证书颁发机构签名的用户的公钥。证书由权威机构或者用户放入目录，只要拥有该用户公钥就能查看。但是只有CA可以更改证书，任何擅自改动都会被发现。
表示：CA<< A> >表示由CA签名的A的证书
过程：A‘s未认证证书 -> 生成未认证证书的Hash码 -> 用CA‘s密钥生成签名 -> 签名证书，可用CA‘s公钥验证
🔗 ： X.509

吊销

吊销原因： 1）用户密钥失效，2）CA失效，3）用户不用CA认证了。
证书吊销列表（CRL）：是“已在颁发的证书颁发机构（CA）计划的到期日期之前已被证书颁发机构吊销并且不再受信任的数字证书的列表”。

CA的层级

每个client 都信任自己的parents。使得CA证书可以通过CA层级的思想获得认证。

2. Oakley协议

使用Diffie-Hellman Key Exchange算法思想实现，允许认证过的双方通过不安全的网络交换秘钥的一部分元素。
Oakley可以再ISAKMP的初始版本里使用。

3. ISAKMP架构

它提供了一个架构来进行授权与密钥交换，主要用来密钥交换、在互联网上创建安全关系，被设计为不受约束的钥匙交换
提供一些类型和格式，使得不同的算法可以被应用在架构中。

🔗 ： ISAKMP

–网络安全–

🌟
Application Layer : S/MIME , Kerberos
Transport Layer: TLS/SSL
Internet Layer: IPSec

1. Kerberos

前言：
整个协议是类似一个同学拿着学生卡和密码去图书馆借书的过程，但是这个场景假设的缺陷在于，这个同学需要通过网络把自己的密码发出去，这就存在了大量的隐患。所以，Kerberos的出现，虽然有些麻烦，但是就是为了防止密码输入的步骤。

过程：
1）用户把【个人ID，server addr】发送给鉴权服务器（Authentication server），这个服务器就是一个售票员的存在。它把带有身份验证信息和时间戳1的票先用自己的密钥A加密一层，再通过访问数据库的密码库检索出用户的密码，生成密钥B加密一层。
此时的票有2层加密，一层是为了验证身份，一层是为了后面的提供给时间戳1。此时的票信息包括【个人ID，server addr，时间戳1】。

2）用户此时会被要求输入密码，密码生成密钥B将第一层用密码上的锁解开了。此时用户再请求就是验票服务了，处理的服务器是（Ticket-granting Server）。该服务器作用就是把第一张票换成带有“是否准入信息”的票，并且换上一个时间戳2。做完这些，该服务器再用与应用服务器共享的密钥C加密。此时票的信息包括【个人ID，server addr，时间戳2】，和一层用密钥C加密的锁。

3）用户收到其实并不能做什么，而是直接传给应用服务器（Server），也就是提供服务的服务器。该服务器用密钥C揭开最后一层锁，终于得检查时间戳2，如果一切都正确，那么该同学就可以进去啦。

Kerberos的优点总结与陈述：

2. IPsec （互联网安全协议）

是一个协议包，透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。
🔗 ： 互联网安全协议

优点

•与防火墙或路由器相结合
•因为IP必被使用，防火墙是唯一访问入口，防火墙中的IPSec将无法被绕过。
•IPSec在传输层(TCP, UDP)之下，对应用程序是透明的。
•IPSec对终端用户是透明的。

组成：ESP 和 AH

• 认证头（AH， Authentication Header）
  无连接数据完整性、消息认证、防重放攻击保护
  
• 封装安全载荷（ESP， Encapsulate Security Payload）
  提供机密性、认证
  
  🌟两种模式 ：
  1）tunnel mode ： protect entire packet. 全局模式
  2）transport mode : protect payload 局部模式
  

Security Association (安全关联)

单向传输，呈现收、发者的关系。
收到发，发到收，two-way exchange。

Anti-Apply (防重放)

是IPsec的一个子协议。它的主要目的是避免黑客注入或篡改从源到目的地的网络数据包。

• 目的地则以“滑动窗口”维护有效接收分组的序列号记录，它将拒绝所有所含序列号低于滑动窗口中最小值或者序列号已于滑动窗口中出现的数据包。
• 如果滑动窗口已满则将最小的序列号移出窗口。

3. FireWall （防火墙）

4种方法：
1. Packet Filtering（包过滤）
拒绝未经授权的TCP/IP报文或连接请求。
在transport/ internet/ network层。

2. Application-Level Gateway （应用层网关）
充当应用程序级通信的中继。
在Application层。

3. Circuit-Level Gateway （电路层网关）
转换内部主机的地址，以隐藏外部世界。
依靠电路设计。

4. Proxy Service （代理服务）
Bastion Host。代表内部主机来完全隔离内部形式的外部主机。
硬件代理。

缺点：
1- 不能防止被绕过
2- 不能防止被攻破
3- 不能防止计算机病毒

4. TLS （Transport Layer Security）

-TLS 在TCP上运行.
-由Secure Socket Layer (SSL)派生

TLS Connection 和 TLS Session

TLS Connection :
is a transport that provide suitable type of service (p2p).

TLS Session :
is an association between a client and a server.

TLS Handshake Protocol

握手协议就是在TLS通道创建之前，两个实体达成沟通同意的过程。

1）Client request
内容包含【session ID ， 伪随机码 rc ，用户支持的加密算法list（cipher suit list） 】

2) Server response
内容包含【session ID ， 伪随机码 rs ，选中的加密算法 ， server的公钥认证副本 … 】

3) Pre-Master secrest transfer
用一种方法（Diffie-Hellman或者RSA）生成各自密钥。

4) Client Finished
客户用MAC检查消息完整性

5) Server Finished
服务器用MAC检查消息完整性

TLS Record Protocol

保证数据的——
1）机密性
2）完整性
通过分段、压缩、添加MAC、编码、【添加TLS Record Header】在最前面，可以达到以上目的。

TLS Alert Protocol

用于向对等实体传递与TLS相关的警报。
第一字节：Alert / Fatal
第二子节：错误代码
🔗 ： Alert Protocol

TLS Heartbeat Protocol

周期性产生的信号，告诉别人运行正常和同步情况。（still alive）
防止防火墙关闭这类情况，没办法容忍信道空闲的情况发生。

5. PGP

🔗 ： PGP

• 4种key ：
  pass-phrase key
  session key
  private key
  public key

• 2种key ring：
  private-key ring : 存储自己的private/public key
  public-key ring : 存储已知的别人的private/public key

6. S/MIME

是一种Internet标准，它在安全方面对MIME协议进行了扩展，可以将MIME实体（比如数字签名和加密信息等）封装成安全对象，为电子邮件应用增添了消息真实性、完整性和保密性服务。
🔗 ： S/MIME

7. RFC5322

定义了电子邮件发件的格式。
包括header line(header) 和 unrestricted line(the body)

8. 可能的威胁

病毒 Virus
执行时，试图复制自己到其他可执行代码;当它成功时，就说代码被感染了。当受感染的代码执行时，病毒也会执行。

蠕虫 Worm
一种能独立运行的计算机程序，它能把自己的完整工作版本传播到网络上的其他主机上。

特洛伊木马 Trojan horse
一种计算机程序看起来有有用的功能，但同时也有隐藏的、潜在的恶意功能，可以逃避安全机制，有时利用调用木马程序的系统实体的合法授权。

后门 Backdoor
任何绕过正常安全检查的机制，可能允许未经授权的访问功能。