大型网站技术架构

大型网站技术架构

前言

信息加密技术是保护数据安全和隐私的重要手段，而密匙安全管理则是确保加密系统的有效性和安全性。

通常，为了保护网站的敏感数据，应用需要对这些信息进行加密处理，信息加密技术可以分为三类：

• 单向散列加密
• 对称加密
• 非对称加密

单向散列加密

简介

单向散列加密是指通过不同长度的信息进行散列计算，得到固定长度的输出，这个过程是单向的，即不能对输出的固定长度信息进行，反向运算得到输入的原始信息，如图所示。

利用单向散列加密的这个特性，可以对密码进行单向散列加密，将密码存入数据库，用户登录时，进行密码验证，同样计算得到输入密码的密文，并和数据库中的密文比较，如果一致，则密码验证成功。这样保存在数据库中的时用户输入的密码的密文，而且不可逆计算得到密码的明文，因此技术数据库被“拖库”，也不会泄露用户密码信息。

虽然不能通过算法将单向散列密文反算得到明文密码，但是由于人们设置的密码具有一定的模式，因此可以通过彩虹桥（人们常用的密码和对应密文关系表）等手段进行比对猜测得出。为了加强单向散列计算的安全性，还会给散列算法加盐值（salt）,salt相当于加密的密匙，增加破解难度。

常用的单向散列算法有MD5,SHA等。单向散列算法还有一个特点就是输入的任何微小变化都会导致输出的完全不同。这个特性有时也会别用来生成信息摘要、计算具有高离散程度的随机数等用途。

应用场景

单向散列加密（One-way Hashing）是一种不可逆的加密技术，将输入数据转换为固定长度的哈希值。以下是一些常见的单向散列加密的应用场景：

1. 密码存储：在用户身份验证系统中，可以使用单向散列加密算法来存储用户密码。当用户创建账户或更改密码时，将其密码进行散列处理，然后将散列值存储在数据库中。在用户登录时，再对输入的密码进行散列处理，并与存储的散列值进行比较。

2. 数据完整性检验：单向散列加密可用于校验数据完整性。例如，在文件传输过程中，发送方可以计算文件的散列值并将其与接收方在接收到文件后计算的散列值进行比较，以确保文件未被篡改。

3. 数字签名：单向散列加密在数字签名中起着重要作用。通过对消息进行散列处理，并使用私钥对散列值进行加密，生成数字签名。接收方使用相应的公钥验证签名的有效性，以确认消息的完整性和来源。

4. 防止彩虹表攻击：彩虹表是一种用于破解散列值的预先计算的密匙对列表。为了防止彩虹表攻击，可以使用加盐（Salting）技术，将随机的额外数据加到原始数据中，再进行散列加密。这样即使原始数据相同，由于加入了不同的盐值，生成的散列值也会不同。

5. 存储敏感信息：单向散列加密可用于存储敏感信息，如个人身份证号码、银行账户等。通过将这些敏感信息进行散列处理并在系统中存储散列值，可以保护用户隐私，在系统遭受数据泄露时降低敏感信息的风险。

需要注意的是，单向散列加密是不可逆的，无法从散列值还原出原始数据。因此，单向散列加密主要用于校验和验证数据，并提供数据安全性的一种方法。

对称加密

简介

所谓对称加密是指加密和解密使用的密匙时同一个密匙（或者可以相互推算），如图所示。

对称加密的有点时算法简单，加密效率高，系统开销小，适合对大量数据加密。缺点时加密使用的是同一把密匙，远程通信的情况下如何安全的交换密匙是一个难题，如果密匙丢失，那么所有的加密信息也就没有秘密可言了。

常用的对称加密算法有DES算法、RC算法等。对称加密是一个传统加密手段，也是最常用的加密手段，适用于绝大多数需要加密的场合。

应用场景

对称加密算法在许多应用场景中被广泛使用，以下是一些常见的对称加密算法的应用场景：

1. 数据传输保密性：对称加密算法可用于保护数据在传输过程中的机密性。例如，在网络通信中，可以使用对称加密算法加密数据流，以防止未经授权的访问和窃听。

2. 存储设备加密：对称加密算法可用于对存储设备（如硬盘、USB驱动器）中的数据进行加密，以保护数据在物理存储介质上的安全性，即使设备遗失或被盗，也能保护数据免受未经授权的访问。

3. 文件加密：对称加密算法可用于对敏感文件进行加密，以保护文件内容不被未经授权的用户访问。只有知道正确密匙的人才能解密和查看文件。

4. 数据库加密：对称加密算法可用于对数据库中的敏感数据进行加密。通过对特定字段或整个数据库进行加密，可以确保数据在数据库存储和备份期间的安全性。

5. 身份验证令牌：对称加密算法可用于生成和验证身份验证令牌。例如，在Web应用程序中，对称加密算法可以用来加密和验证用户会话令牌，确保令牌的机密性和完整性。

6. 加密通信协议：对称加密算法可用于加密通信协议，如SSL/TLS。它们在HTTPS中广泛使用，用于加密浏览器与服务器之间的通信，以确保数据传输的安全性。

需要注意的是，对称加密算法的主要限制是密匙分发的问题。在实际应用中，安全地分发和管理密匙是确保对称加密系统安全性的关键挑战之一。因此，在使用对称加密算法时，需要采取适当的密匙管理和保护措施，以防止密匙被泄露或滥用。

非对称加密

简介

不同于兑成加密，非对称加密和解密使用的密匙不是同一把密匙，其中一个对外界公开，被成为公匙，另一个只有所有者知道，被成为私匙。用公匙加密的信息必须使用私匙才能解开，反之，用私匙加密的信息必须用公匙才能打开，如图所示。

非对称加密技术常用在信息安全传输，数字签名等场合。

非对称加密的常用算法有RSA 算法等，HTTPS传输中浏览器使用的数字证书实质上是经过权威机构认证的非对称加密的公匙。 

应用场景

非对称加密算法是一种使用公钥和私钥配对进行加密和解密的加密技术。它在许多应用场景中被广泛使用，以下是一些常见的非对称加密的应用场景：

1. 安全通信：非对称加密可用于安全地传输数据和建立安全的通信渠道。发送方使用接收方的公钥对数据进行加密，只有接收方拥有相应的私钥可以解密。这样可以确保数据在传输过程中的机密性和完整性。

2. 数字签名：非对称加密在数字签名中起着重要作用。发送方使用私钥对消息进行加密生成数字签名，并将其与原始消息一起发送给接收方。接收方使用发送方的公钥验证签名的有效性，以确认消息的完整性和来源。

3. 身份验证：非对称加密可用于身份验证过程。例如，为了登录到系统或网络服务，用户可以使用自己的私钥对特定的挑战（challenge）进行加密，并通过发送加密后的响应来证明自己的身份。

4. 密钥交换：非对称加密可用于安全地交换密钥。双方可以使用对方的公钥加密会话密钥，然后将其发送给对方，对方使用自己的私钥解密得到会话密钥。这样可以确保在不安全的通信渠道上安全地交换对称密钥。

5. 数字证书：非对称加密可用于生成和验证数字证书。数字证书包含一个实体（如个人、组织或网站）的公钥，并由认证机构（CA）进行签名。接收方可以使用CA的公钥来验证数字证书的有效性，以确保通信的安全性和真实性。

需要注意的是，非对称加密算法的计算成本较高，因此在实际应用中往往与对称加密算法结合使用。通常，非对称加密算法用于加密短小的数据或用于密钥交换等关键过程，而对称加密算法则用于加密长大的数据。这样可以提高效率并保证安全性。

密匙的安全管理

  信息的安全是靠密匙保证的，但是实际中，很多开发者直接把密匙写在源码中，稍好点的写在配置文件中，线上和开发配置不同的密匙。总之密匙本身是明文保存，公司内很多人可以接触到。增加了泄露的风险。所以密匙最好有专人维护。