SkyChaserYu的博客

转载 零信任落地路径研究

零信任网络安全已被企事业单位所认可，然而如何进行零信任转型却没有标准的流程可以遵循，基于应用分类和用户角色的零信任落地路径，将零信任转型工作划分为应用隔离、身份认证、统一门户、访问策略、逐步迁移等独立的任务，同时制定连贯的计划来确保各项任务的推进、衡量和评估，确保每个阶段的用户影响最低。这个过程以VPN替换、应用微隔离和构筑统一的安全管理平台为目标，逐渐使远程访问变得更容易、网络管理变得更简单、应用数据变得更安全。基于这个过程，企事业单位可以探索出一条属于自己的零信任成功转型之路。内容目录：...

原创 深入浅出DPDK

深入浅出DPDK DPDK基础篇 一 认识DPDK 最佳实践 （1）轮询：改进对大吞吐数据的处理 （2）用户态驱动：既规避了不必要的内存拷贝，又避免了系统调用 （3）亲和性和独占：避免线程在不同核之间切换带来的性能损失 （4）降低访存开销：内存大页降低TLB miss等 （5）软件调优：纸袋一系列调优实...

转载 企业数据安全建设的思考与总结

01 为什么企业越来越关注数据安全数据泄露频繁发生随着数字经济快速发展，DT时代的到来，数据的地位越来越高，数据流动也越来越频繁，给业务发展带来了巨大机遇，但同时数据泄露事件也愈加频繁，尤其近几年事件，泄露数据量都非常惊人，对企业影响深远。图1：数据泄露事件上图盘点了DT时代的部分数据泄露事件，回顾过往数据泄露事件，可以看出数据泄露对企业带来影响颇深，导致监管压力、金钱损失、品牌美誉度受损、用户流失等，比如Facebook数据泄露事件导致市值瞬间蒸发，还面临50亿万美元的巨额罚款，.

转载 初探下一代网络隔离与访问控制

概述安全域隔离是企业安全里最常见而且最基础的话题之一，目前主要的实现方式是网络隔离（特别重要的也会在物理上实现隔离）。对于很小的公司而言，云上开个VPC就实现了办公网和生产网的基础隔离，但对于有自建的IDC、网络基础设施甚至自己构建云基础设施的大型公司而言，网络隔离是一项基础而复杂的安全建设。基础在这里的意思并非没有技术含量，而是强调其在安全体系里处于一个根基的位置，根基做不好，上层建设都不牢靠。隔离的目标是为了抑制风险传播的最大范围，使受害范围限定在某个安全域内，类似于船坞的隔离模式，一个仓进水不

转载 互联网企业：如何建设数据安全体系？

一、背景Facebook数据泄露事件一度成为互联网行业的焦点，几百亿美元市值瞬间蒸发，这个代价足以在地球上养活一支绝对庞大的安全团队，甚至可以直接收购几家规模比较大的安全公司了。虽然媒体上发表了很多谴责的言论，但实事求是地讲，Facebook面临是一个业界难题，任何一家千亿美元的互联网公司面对这种问题，可能都没有太大的抵抗力，仅仅是因为全球区域的法律和国情不同，暂时不被顶上舆论的浪尖罢了。但是全球的趋势是越来越重视隐私，在安全领域中，数据安全这个子领域也重新被提到了一个新的高度，所以笔者就借机来说一

转载 【国密】利用gmssl生成SM2证书nginx访问

之前我们项目的证书都是rsa的，这次本意是希望能升级到国密，但是理想过于丰满一、GMSSL安装# 下载wget https://github.com/guanzhi/GmSSL/archive/master.zip# 解压unzip master.zip# 进入目录cd GmSSL-master# 配置config指定目录./config --prefix=/usr/local/gmsslmakemake install# 查看版本，验证是否安装成功cd /usr/local

原创 Nginx 性能测试

记录下 Nginx 性能相关的一些结论数据：官方结论nginx 机器最高给予 24 核就可以了：1~16 核时，增加 cpu 会提高 RPS，16～32 核提升效果减弱，32 核以上基本没有提升（http 和 https 都适用） 1~16 核时，增加 cpu 会线性提高 CPS，16 核以上基本没有提升（https 可到 24 核） 1~8 核时，增加 cpu 会提高吞吐，8 核以上基本没有提升https 的开销非常大： 启用 https 后： 单核 rp..

原创 apache apisix 及dashboard centos 7 完整安装

安装依赖 （CentOS 7）# 安装 epel, `luarocks` 需要它wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpmsudo rpm -ivh epel-release-latest-7.noarch.rpm# 添加 OpenResty 源sudo yum install yum-utilssudo yum-config-manager --add-repo https://op

原创 linux 完整安装 mysql 5.7 及半路遇到的问题

1、下载 （mysql-5.7.31-linux-glibc2.12-x86_64.tar.gz）下载mysql：官网下载略慢，可以在CSDN快速下载2、解压，改名[root@localhost mysql]# tar -zxfv mysql-5.7.31-linux-glibc2.12-x86_64.tar.gz -C /usr/local[root@localhost mysql]#mv mysql-5.7.31-linux-glibc2.12-x86_64/ mysql-5....

原创 OpenResty 打开高性能开发的大门

转载 API网关之Kong网关简介

1. Kong简介那么，Kong是一个什么东东呢？它是一个开源的API网关，或者你可以认为它是一个针对API的一个管理工具。你可以在那些上游service之上，额外去实现一些功能。Kong是开源的，所以你可以在Github找到它，你现在就可以下载使用。Kong是一款基于OpenResty（Nginx + Lua模块）编写的高可用、易扩展的，由Mashape公司开源的API Gateway项目。Kong是基于NGINX和Apache Cassandra或PostgreSQL构建的，能提供易于...

原创 API网关

最近负责开发密码服务平台，需要选型API网关，

原创 常见物联网无线组网方式

物联网中无线组网常见到的有Zigbee,LoRa,NB-IOT等，其中Lora/NB-IOT属于LPWAN技术，LPWAN技术具有覆盖广、连接多、速率低、成本低、功耗少等特点。 NB-IoT相较其他两种有个明显的优势，就是数据采集后可直接上传到云端，不需要部署网关，简化了落地难度。通常部署网关需要考虑位置，周围信号影响等众多因素。对于上面提到的三种常见组网方式做个简单的比较，详细如下图所示： NB-IOT LoRa ...

转载 超详细： 使用 OpenSSL 命令行管理证书

OpenSSL 概述OpenSSL 的结构OpenSSL 的结构OpenSSL 目录功能对照表目录名 功能描述 Crypto 存放 OpenSSL 所有加密算法源码文件和相关标注如 X.509 源码文件，是 OpenSSL 中最重要的目录，包含了 OpenSSL 密码算法库的所有内容 SSL 存放 OpenSSL 中 SSL 协议各个版本和 TLS 1.0 协议源码文件，包含了 OpenSSL 协议库的所有内容 Apps 存放 OpenSSL 中所有应

转载 国际 数字签名算法介绍和区别

数字签名是一个带有密钥的消息摘要算法，这个密钥包括了公钥和私钥，用于验证数据完整性、认证数据来源和抗否认，遵循OSI参考模型、私钥签名和公钥验证。也是非对称加密算法和消息摘要算法的结合体，常见的数字签名算法主要有RSA、DSA、ECDSA三种，本文对数字签名算法进行详细介绍。Hash又译散列、摘要等名，本文统一称Hash。1. RSA数字签名算法RSA是目前计算机密码学中最经典算法，也...

转载 大数技术库-- 密码学基础

几个大数计算库GMP: GNU Multiple Precision Arithmetic Libraryhttp://gmplib.org/IMath: Arbitrary Precision Integer and Rational Arithmetichttp://spinning-yarns.org/michael/sw/imath/CLN: Class Library for...

转载 ECC Cipher Suites 加密套件在TLS中的应用 RFC 4492

简介本文档介绍了ECC算法在TLS协议中的使用方法，是对RFC 4492文档进行的翻译。由于翻译本文档时，对协议的认识有限，请大家指出错误和建议。摘要 本文档介绍了基于ECC的密钥交换算法在TLS协议中的应用，在协议的握手过程中使用ECDH作为密钥协商，并且使用ECDSA进行身份认证。名词解释 TLS: Transport Layer Se...

转载 C/C++ Volatile关键词深度剖析

今天无意中看到一篇文章《面试官想到，一个Volatile，我都能吹半小时》，特地去了解了下C/C++的Volatile。查阅了资料。特记录之。。。。。。。。。。。1、什么是volatile这是在MSDN中对关键字“volatile”的说明：The volatile keyword is a type qualifier used to declare that an object ...

转载 TLS1.3 抓包分析

一、TLS1.3抓包分析——ClientHello抓包使用的是WireShark2.6.7，抓包内容为https://tls13.crypto.mozilla.org/（Mozilla的TLS1.3测试页面），浏览器为chrome（需开启TLS1.3），这里我先给出抓包结果：wireshark抓包本次从握手的第一步开始分析，即ClientHello，下面是ClientHel...

原创 互联网架构（高性能 高可用 高可扩展） 之“存储层”技术

很多人对于BAT的技术有一种莫名的崇拜感，觉得只有天才才能做出这样的系统。其实是业务的不断发展推动了技术的发展，这样一步一个脚印，持续几年甚十几年的发展，才能达到当前技术复杂度和先进性。 其实BAT的技术架构基本是一样的。再将视⻆放大，你会发现整个互联网行业的技术发展，最后都是殊途同归。互联网的标准技术架构如下图所示，这张图基本上涵盖了互联网技术公司的大部分技术...

转载 TLS 1.3详解

he Transport Layer Security (TLS) Protocol Version 1.3（draft-ietf-tls-tls13-20）与TLS1.2的主要区别：以下是TLS 1.2和TLS 1.3之间主要功能的差异列表。 它不是详尽的，有很多微小的区别。支持的对称算法列表已被修改为所有被考虑保留的算法。 这些保留了所有使用AEAD算法。 加密套件概念已经被改变...

转载 TLS1.2 RFC5246详解

注：本文省略了部分开发协议才涉及到的内容，如字段类型的定义以及字段长度的运算，主要聚焦理解tls协议的运作方式，用于问题定位tls协议包含2层协议：TLS Record 协议和TLS Handshake协议，底层采用可靠传输协议(如TCP)，TLS Record协议通过如下方式实现数据的安全传输：链路是私有的，使用对称加密方式对应用数据进行加密。对每条链路来说，对称加密使用的key是各自独...

原创 高并发架构设计的一些思考

高并发架构设计先从 What，Why，How 简单三方面来梳理：What ?能力 单位时间内（秒）系统能够并发处理的读写请求主要指标响应时间：系统对请求做出响应的时间。可以简单理解为一个http请求返回客户端所用的时间吞吐量：单位时间内处理的请求数量。QPS：每秒可以处理的请求数并发用户数：同时承载正常使用系统功能的用户数量。多人同时使用该系统，并...

原创 ECC算法推荐参数汇总

推荐使用素数域256位椭圆曲线。GM/T 0003-2012标准推荐参数椭圆曲线方程：y ^ 2 = x ^ 3 + ax + b。曲线参数：p= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFFa= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFF...

原创 属性加密技术及基于属性的访问控制技术

目录一、属性加密技术... 11.1基于身份的加密体制简介... 11.2基于属性的加密体制的研究背景和意义... 11.3基于属性加密的研究现状... 2二、基于属性的访问控制技术... 52.1基于属性的访问控制介绍... 52.2属性加密方案的形式化定义和安全模型... 62.2.1属性加密方案的形式化定义... 62.2.2属性加密方案的安...

原创 kerberos详解

kerberos介绍1、重要术语1. KDC全称：key distributed center作用：整个安全认证过程的票据生成管理服务，其中包含两个服务，AS和TGS2. AS全称：authentication service作用：为client生成TGT的服务3.TGS全称：ticket granting service作用：为client生成某个服务的...

转载 TLS1.3握手流程以及参数详解

TLS1.3握手流程以及参数详解TLS1.3总共有两层，分别是握手协议(handshake protocol)和记录协议(record protocol)，握手协议在记录协议的上层，记录协议是一个分层协议。其中握手协议中还包括了警告协议(alert protocol)。本文将详细阐述握手协议，并且抓包分析。我在一年前写了一篇介绍TLS1.3的文章，最近工作遇到了TLS1.3协议。重新复...

转载 密码工程的创新—区块链

区块链是一种利用密码学方法组织和记录数据的分布式账本技术。在无中心化节点参与的情 况下，区块链能够为无信任节点提供一种全新的建立信任的方法，促成各方达成共识，为各种业务的 后续发展奠定基础。其主要技术优势是去中心化，使得整个交易系统在复杂网络环境下的运行更稳定、 更健壮。除了在金融领域已有成功应用案例之外，区块链在公益、能源、征信、物联网以及供应链等 各行业中都有很大的施展空间。作为区块链技术的核...

转载 基于密码的移动办公安全能力体系构建

本文阐述了移动办公环境基于密码的安全能力构建。通过分析移动办公系统安全需求，介绍了安全边界延伸、纵深防御及数据防护细粒度化等内容，构建了典型的移动办公安全模型，然后对移动办公系统中的密码应用包括安全传输通道构建、安全计算环境建设及基于密钥管理的数据管控等方面进行了深入分析，最后指出了密码技术在移动办公安全中的基础支撑作用。概述随着移动信息化的发展，借助智能手机、平板等移动终端设备开展移动办...

转载 发挥密码基础支撑作用，整体保障云计算安全

云计算作为信息化发展方向，为大数据应用、智能制造、人工智能、智慧城市等提供计算、网络、存储资源，已经广泛深入到政务、交通、能源等各个领域，出现了政务云、交通云、能源云等。 云计算安全直接关系到关键信息基础设施的安全，因此，必须充分发挥密码在云计算安全中的核 心支撑作用，从整体保障角度，构建以密码为核心的云安全保障体系，指导密码应用和云计算应用场景的深度融合，从技术体系角度，打造密码...

转载 国密算法概述 SM1、SM2、SM3、SM4、SM7、SM9、ZUC

众所周知，为了保障商用密码的安全性，国家商用密码管理办公室制定了一系列密码标准，包括SM1（SCB2）、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法（ZUC)那等等。其中SM1、SM4、SM7、祖冲之密码（ZUC）是对称算法；SM2、SM9是非对称算法；SM3是哈希算法。目前，这些算法已广泛应用于各个领域中，期待有一天会有采用国密算法的区块链应用出现。其中SM1、SM7算...

转载 Linux系统针对网卡中断的优化处理

Linux系统针对网卡中断的优化处理中断：当网卡接收到数据包后，会触发硬中断，通知CPU来收包。硬中断是一个CPU和网卡交互的过程。这其实会消耗CPU资源。特别是在使用速度极快的万兆网卡之后，大量的网络交互使得CPU很大一部分资源消耗在网卡中断处理上。此时，瓶颈并不在网卡，而是在CPU上。因此，现在的网卡都采用多队列的技术，用于充分利用多核心CPU。中断的详细解释：《Linux的中断和...

原创 如何使数据库插入多条数据用时最短

如何使插入条数据用时最短？可以根据项目实际情况采用如下几种方式：1、多线程插入(单表)为何对同一个表的插入多线程会比单线程快？同一时间对一个表的写操作不应该是独占的吗？在数据里做插入操作的时候，整体时间的分配是这样的： 链接耗时 （30%） 发送query到服务器 （20%） 解析query （20%） 插入操作 （10% * 词条数目）...

转载 国密SM2算法密钥派生函数KDF的实现

前段时间需要实现国密算法SM2的签名、验签、加密、解密等功能，加解密过程使用到的密钥派生函数（KDF），从网上搜到的代码不符合《GMT 0003.4-2012 SM2椭圆曲线公钥密码算法 》的规定，不能直接使用，没法满足项目需要，后来决定自行实现，整理如下，欢迎大家讨论：密钥派生函数算法逻辑《GMT 0003.4-2012 SM2椭圆曲线公钥密码算法 》中 关于 密钥派生函数的规定如下：...

转载 9个顶级开发IoT项目的开源物联网平台

物联网（IoT）是帮助人工智能（AI）以更好的方式控制和理解事物的未来技术。 我们收集了一些最有名的物联网平台，帮助您以受控方式开发物联网项目。物联网平台是帮助设置和管理互联网连接设备的组件套件。 一个人可以从一个系统远程收集数据，监控和管理所有连接互联网的设备。 物联网平台上有很多可用的在线平台，但为公司构建物联网解决方案都依赖于物联网平台主机和支持质量。在这里，我们编译了一些最好的和着...

转载 分布式架构演进

分布式架构演进★ 初始阶段架构特征：应用程序，数据库，文件等所有资源都放在一台服务器上。★应用服务和数据服务以及文件服务分离说明：好景不长，发现随着系统访问量的再度增加，webserver 机器的压力在高峰期会上升到比较高，这个时候开始考虑增加一台 webserver。特征：应用程序、数据库、文件分别部署在独立的资源上。★使用缓存...

原创 一篇读懂22种密码应用模式

提炼密码应用模式推进密码应用创新密码（Cryptography，不是口令Password）是实现数据安全及网络安全的核心技术。密码指使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术，因其解决网络安全问题的经济性、有效性、便捷性，能够在基础信息网络、重要信息系统、重要工业控制系统等重要领域发挥核心作用。密码产业包含算法、产品、应用等环节，密码应用占据最大价值链分配、但目前相...

转载 终于有人把云计算、大数据和人工智能讲明白了！

原文链接：https://www.cnblogs.com/popsuper1982/p/8505203.html今天跟大家讲讲云计算、大数据和人工智能。为什么讲这三个东西呢？因为这三个东西现在非常火，并且它们之间好像互相有关系，可是很多人却不知道什么是云计算或者云计算应用在哪：一般谈云计算的时候会提到大数据、谈人工智能的时候会提大数据、谈人工智能的时候会提云计算……感觉三者之间相辅相成又...

原创 Wegman-Carter MAC 算法实现

上一篇中，主要介绍了Message Integrity消息完整性，以及一些校验消息完整性的算法，比如MAC、HMAC、NMAC、CMAC、Wegman-Carter MAC。现在Wegman-Carter MAC 在量子通信领域有较多的应用。相比于传统通信，量子通信最大的优势在于量子密钥分发替换了传统密钥协商或预共享的密钥确立机制。Wegman-Carter认证甚至是NIST推荐的信息块...

原创 Message Integrity消息完整性，MAC、HMAC、NMAC、CMAC、Wegman-Carter MAC

Message Integrity消息完整性消息完整性通常对信息进行摘要，形成较短的内容，再结合加密算法生成标识内容。主要包含（顺序的比如：）CRC，HASH、MAC，NMAC，ECBC、CMAC，（并行的比如）Wegman-Carter MAC等内容。一 、CRC循环冗余校验（Cyclic Redundancy Check）CRC是根据所需要检验完整性的数据产生简短固定位数校验码...