一、常見加密算法及常見加密算法原理

數據在互聯網上進行通信，面臨著各種各樣的攻擊。為了保證數據的完整性，保密性以及可用性，必須對數據的通信進行加密處理。目前常用的加密算法有：對稱加密、公鑰加密、單向加密和認證協議。

• 對稱加密：

加密和解密使用同一個秘鑰，依賴于算法和秘鑰，但其安全性依賴于秘鑰而不是算法。常見的算法有：DES、3DES、ACE等。

對稱加密的特性：
（1）加密、解密使用同一秘鑰
（２）將明文分割成固定大小的塊，逐個進行加密；
（３）對稱加密導致秘鑰過多，分發困難

• 非對稱加密

采用的是公鑰加密方法，與之對應需要一個私鑰來解密，兩者統稱為秘鑰對。私鑰（secret key），僅自己個人使用；公鑰（public key），可公開跟所有人使用。
非對稱加密的特性：
（１）秘鑰長度較大，有512bits，4096bits等；
（２）加密解密分別使用秘鑰對中的秘鑰進行加解密；
（３）常用于數據簽名和秘鑰交換。

• 單向加密

單向加密：只能加密，不能解密，主要是用于提出數據的特征碼。
單向加密的特性：
（１）定長輸出，無論原來的數據有多大級別，其加密結果長度一樣；
（２）雪崩效應：原始數據微笑改變，將會導致結果巨大變化；
（３）不可逆，無法進行解密。

• 秘鑰交換

雙方通過交換秘鑰來實現數據加密解密，加密解密交換有兩種方式。
（1）公鑰加密：將公鑰加密后通過網絡傳輸到對方進行解密；
（２）DH：雙方共有一些參數，共同協商加密算法，還有屬于自己的私有參數，通過這些參數來進行加密，然后計算結果雙方交換，交換完成后再和屬于自己私有的參數進行特殊算法，雙方計算后的結果是相同的，這個結果就是秘鑰。

• 一次加密通過過程，發送發及接受方的處理流程

發送方：
（１）使用單向加密算法提取生成數據的特征碼；
（2）使用自己的私鑰加密特征碼并附加在數據后面；
（3）生成用于對稱加密的臨時秘鑰；
（4）用臨時秘鑰加密數據和已經使用私鑰加密后的特征碼；
（5）使用接收方的公鑰加密此臨時秘鑰，附加在對稱加密后的數據后方。

接收方：
（１）使用自己的私鑰解密加密的臨時秘鑰，從而獲得對稱秘鑰；
（２）使用對稱秘鑰解密對稱加密的數據和特征碼，從而獲得數據和特征碼密文；
（３）使用發送方的公鑰解密特征碼密文，從而獲得從計算生成的特征碼；
（４）使用與對方同樣的單向加密算法計算數據的特征碼，并與解密而來的進行比較。

加密解密過程

二、DNS服務器原理，并搭建主-輔服務器

DNS（Domain Name Service）：域名解析服務，工作于tcp/udp的53端口，屬于應用層協議。分為正向解析和反向解析。DNS類型分為主DNS和從DNS服務。
區域文件解析庫，有眾多RR組成（資源記錄），RR分為：
1.SOA：Start Of Authority(起始授權記錄)，一個區域解析庫有且僅能有一個SOA記錄，必須位于解析庫的第一條記錄；
2.A:internet Address(地址記錄) FQDN –> IP；
3.AAAA: FQDN –> IPv6；
4.PTR: PoinTeR(域名服務記錄) IP –> FQDN；
5.NS: Name Server(專用于標明當前區域的DNS服務器)，一個區域解析庫可以有多個NS記錄；
6.CNAME:Canonical Name (別名記錄)；
7.MX: Mail eXchanger(郵件交換器)。

• 搭建DNS服務器：

１.安裝bind程序；
２.在配置文件中定義區域；
３.建立區域數據文件；
４.讓服務器重載配置文件和區域數據文件；

在配置文件中定義區域：

定義區域　　建立區域數據文件并配置：

正向解析區域數據文件

反向區域數據文件　　配置完成后檢查配置是否有錯誤：name-checkconf,name-checkzone “zonename” ZONE_FILE，重啟服務，讓配置檔生效，可使用systemctl restart named.service，或者rndc reload。重啟完成后可使用host,dig命令測試服務是否生效。

測試服務　　搭建主－輔服務器：

在輔DNS服務器上安裝bind程序，建立區域，如下：

　　重啟服務并測試：

測試輔DNS　　配置主-輔助服務器是必須確保區域數據文件中為每個從服務器配置NS記錄，并且在正向區域文件需要為每個從服務器的NS記錄的主機名配置一個A記錄，且此A后面的地址為真正的從服務器的IP地址；并且主-輔助服務器時間必須同步，可使用ntpdate命令進行同步時間。