腳本概述
   由于某些sdk或軟件依賴眾多的第三方庫，而從官網下載到windows主機或從linux傳到windows時，所依賴的so庫往往丟失符號鏈接，給編譯運行帶來不便，因此編寫了ctlsolink腳本，用于自動為單個so或某目錄下的眾多so或創建/刪除一級/二級符號鏈接。該腳本的用法如下:
   ● 第1參數為mk或rm子命令，mk表示創建，rm表示刪除
   ● 第2參數為文件或目錄
   ● 第3參數是可選的-r，且只能是-r，如果指定了，則表示不斷遞歸子目錄

腳本實現
   考慮到so庫帶版本一般多為libx.so.1，libx.so.1.2，libx.so.1.2.3這三種形式(x為庫名)，對于前一種創建/刪除一級符號鏈接即可，后兩種則創建/刪除二級符號鏈接。為了精確地抽出一級和二級鏈接名稱，這里使用awk來匹配，用shell變量的最短匹配模式從尾部逐步刪除點號及數字，核心代碼如下       要注意的是，這兒不能使用%%刪除最長匹配的尾部來得到link_name，因為它的模式是.[0-9]*，這可能會錯誤地匹配了so前的部分，比如libx.1.so.2得到libx，而期望的是libx.1.so
   完整腳本下載：ctlsolink

運行效果
   初始狀態
   
   運行ctlsolink創建軟鏈接后
   
   運行ctlsolink刪除軟鏈接后
              為了減少程序中的硬編碼，靈活按需管理字符串空間，使用了ATL中的CString類，代碼如下
    需要注意的是，GetBuffer方法雖提供方便了直接修改CString對象的內部緩沖區，但違背了面向對象設計的原則（由公開方法修改內部數據），因此不保證對象的完整性，在操作完成后一定要調用ReleaseBuffer
前言
   近期有機會，深入了SSL/TLS協議原理與細節，并分析了相關密碼學內容，心得頗多，歷經半月，終于寫成了這份文檔。
   本人水平尚有限，錯誤難免，歡迎指正，不勝感激。

目錄
         

部分章節預覽
   第3章


   第5章第4節


   第11章第3節

全文
   下載地址：深入理解SSL/TLS技術內幕 算法描述
【公開密鑰】    
   p是512到1024位的素數
   q是160位長，并與p-1互素的因子
   g = h^((p-1)/q) mod p，其中h<p-1且g>1
   y = g^x mod p
【私有密鑰】
   x < q，長160位
【簽名】
   k為小于q的隨機數，k^-1為k模q的逆元，m為消息，H為單向散列函數
   r = (g^k mod p) mod q
   s = (k^-1(H(m)+xr)) mod q
【驗證】
   w = s^-1 mod q
   u1 = (H(m)w) mod q
   u2 = (rw) mod q
   v = ((g^u1 * y^u2) mod p) mod q
   若v = r，則簽名被驗證

驗簽推導
   1. 先證明兩個中間結論
      因(h,p)=1（p為素數且h<p，(a1,a1)是數論中的符號，記為a1與a2的最大公約數），故依費馬小定理有h^(p-1)=1 mod p，則對任意整數n，有
      g^(nq) mod p = (h^((p-1)/q))^(nq) mod p
                          = h^(n(p-1)) mod p
                          = (h^(p-1) mod p)^n  mod p
                          = (1^n) mod p = 1     (1)
      對任意整數t、n，可表示為t=nq+z，其中z>0，則有
      g^t mod p = g^(nq+z) mod p
                      = (g^(nq) mod p * (g^z mod p)) mod p
                      = g^z mod p
                      = g^(t mod q) mod p    (2)

  2. 再假設簽名{r,s}和消息m均沒被修改，令H(m)=h，開始推導v
      v = ((g^u1 * y^u2) mod p) mod q
         = (g^(hw mod q) * ((g^x mod p)^(rw mod q) mod p)) mod q
         = ((g^(hw mod q) mod p * ((g^x mod p)^(rw mod q) mod p)) mod p) mod q
         = ((g^(hw mod q) mod p * (g^(x * (rw mod q)) mod p)) mod p) mod q
         = ((g^(hw) mod p * ((g^(rw mod q) mod p)^x mod p)) mod p) mod q
         = ((g^(hw) mod p * ((g^(rw) mod p)^x mod p)) mod p) mod q
         = ((g^(hw) mod p * (g^(rwx) mod p)) mod p) mod q
         = (g^(hw+rwx) mod p) mod q
         = (g^((h+rx)w) mod p) mod q    (3)

      又因w = s^-1 mod q
         故(sw) mod q = 1
           =>(((k^-1(h+xr)) mod q)w) mod q = 1
           =>((k^-1(h+xr))w) mod q = 1
           =>(h+xr)w = k mod q    (4)

      將(4)式代入(3)式中得
      v = (g^(k mod q) mod p) mod q
         = (g^k mod p) mod q
         = r

  3. 最后由(4)式知，若h、r和s任一個有變化（s變化導致w變化），則v ≠ r 算法描述    
   隨機選擇兩個大的素數 p、q ，且p ≠ q，計算n = pq、r = (p-1)(q-1)，依歐拉定理，r即為與n互質的素數個數；選擇一個小于r的整數e（即加密指數），求得e關于模r的逆元d（即解密指數），則{n，e}為公鑰、{n，d}為私鑰；根據模的逆元性質有ed ≡ 1 (mod r)；設m為明文，則加密運算為m^e ≡ c (mod n)， c即為密文；則解密過程 c^d ≡ m (mod n)。
   證明會用到費馬小定理，即 若y為素數且x不為y的倍數， 則 x^(y-1) ≡ 1 (mod y)（費馬小定理的證明需先證明歐拉定理，此處略）。符號≡表示同余，^表示冪，|表示整除，*表示相乘。

算法證明
 第一種證明途徑   
   因 ed ≡ 1 (mod (p-1)(q-1))，令 ed = k(p-1)(q-1) + 1，其中 k 是整數
   則 c^d = (m^e)^d = m^(ed) = m^(k(p-1)(q-1)+1)
   1.若m不是p的倍數，也不是q的倍數
      則 m^(p-1) ≡ 1 (mod p) (費馬小定理)
         => m^(k(p-1)(q-1)) ≡ 1 (mod p)
      m^(q-1) ≡ 1 (mod q) (費馬小定理)
         => m^(k(p-1)(q-1)) ≡ 1 (mod q)
      故 p、q 均能整除 m^(k(p-1)(q-1)) - 1
         => pq | m^(k(p-1)(q-1)) - 1
      即 m^(k(p-1)(q-1)) ≡ 1 (mod pq)   
         => m^(k(p-1)(q-1)+1) ≡ m (mod n)   

   2.若m是p的倍數，但不是q的倍數
      則 m^(q-1) ≡ 1 (mod q) (費馬小定理)
         => m^(k(p-1)(q-1)) ≡ 1 (mod q)
         => m^(k(p-1)(q-1)+1) ≡ m (mod q)
      因 p | m
         => m^(k(p-1)(q-1)+1) ≡ 0 (mod p)
         => m^(k(p-1)(q-1)+1) ≡ m (mod p)
      故 m^(k(p-1)(q-1)+1) ≡ m (mod pq) 
      即 m^(k(p-1)(q-1)+1) ≡ m (mod n)

   3.若m是q的倍數，但不是p的倍數，證明同上

   4.若m同為p和q的倍數時
      則 pq | m
         => m^(k(p-1)(q-1)+1) ≡ 0 (mod pq)
         => m^(k(p-1)(q-1)+1) ≡ m (mod pq)
      即 m^(k(p-1)(q-1)+1) ≡ m (mod n)

 第二種證明途徑
   先證明m^ed ≡ m (mod p)恒成立
   1.若p為m的因子，則p | m^ed - m顯然成立，即m^ed ≡ m (mod p)
   2.若p不為m的因子，令ed = k(p-1)(q-1) + 1，則 m^(ed-1) - 1 = m^(k(p-1)(q-1)) - 1
       m^(p-1) ≡ 1 (mod p) (費馬小定理)
        => m^(k(p-1)) ≡ 1 (mod p)
        => m^(k(p-1)(q-1)) ≡ 1 (mod p)
        => m^(ed-1) ≡ 1 (mod p)
        => m^ed ≡ m (mod p)
   同理可證m^ed ≡ m (mod q)
   故m^ed ≡ m (mod pq)，即m^ed ≡ m (mod n)
   又因 c^d = m^e^d = m^(ed)
   故 c^d ≡ m (mod n)，證畢
   
總結
 第二種比第一種簡單直觀，以上證明途徑對RSA私鑰簽名與驗簽同樣適合。 腳本源碼
   由于很多應用項目依賴諸多第三方開源庫，這些開源庫各有不同的核心目錄、庫目標和輸出位置，這里的核心目錄是指僅產生so庫的工程目錄，庫目標是指僅產生so庫的make目標，輸出位置是相對于核心目錄的，但不必是子目錄，可用..來回溯到父目錄的某位置，更高層目錄的位置，依次類推。為了統一支持它們，使用了一些技巧，詳見示例腳本如下
實現技巧
   1）使用?作為分隔符，所分隔的3個域依次為核心目錄、庫目標、輸出位置；使用awk來獲取各域，分別為dir、aim和out；在運行過程中，值dir一定非空，而aim為空則表示默認目標，out為空表示輸出位置即為dir目錄。
   2）copy為命令變量，功能為每當一個庫編譯完成后，將輸出的so庫拷貝到output下，并保持軟鏈接；對于有的開源庫，需在編譯前，使用對應的選項來調用configure，使其生成so庫。
   3）為了重用代碼，定義了MAKE_SUBDIR命令包，參數變量為is_cp，當is_cp為1時，表示當前編譯的是依賴庫，否則是主程序。 
   4）thirdlib和coremod為依賴文件，使用了雙冒號規則，這樣一來，只要在thirdlib中加入新的依賴庫，指定核心目錄、庫目標和輸出位置即可，其它地方不用改。 描述
   云查殺平臺以nginx作為反向代理服務器，作為安全終端與云查詢服務的橋梁。當安全終端需要查詢黑文件時，HTTP請求及其響應都會經過nginx，為了獲取并統計一天24小時查詢的黑文件數量，就得先截獲經過nginx的HTTP響應，再做數據分析。截獲HTTP數據流有多種方法，為了簡單高效，這里使用了掛接HTTP過濾模塊的方法，另外為了不影響nginx本身的IO處理，將HTTP響應實體發送到另一個進程即統計服務，由統計服務來接收并分析HTTP響應，架構如下圖    統計服務由1個接收線程和1個存儲線程構成，其中接收線程負責接收從nginx過濾模塊發來的HTTP響應實體，解析它并提取黑文件MD5，加入共享環形隊列；而存儲線程從共享環形隊列移出黑文件MD5，插入到臨時內存映射文件，于每天定時同步到磁盤文件。

特點
   這種架構減少了nginx IO延遲，保證了nginx的穩定高效運行，從而不影響用戶的業務運行；本地連接為非阻塞的，支持了統計服務的獨立運行與升級。

實現
   nginx過濾模塊
      該流程運行在nginx工作進程。
      由于nginx采用了異步IO機制，因此僅當截獲到HTTP響應實體也就是有數據經過時，才有后面的操作；若沒有數據，則什么也不用做。這里每次發送前先判斷是否連接了統計服務，是為了支持統計服務的獨立運行與升級，換句話說，不管統計服務是否運行或崩潰，都不影響nginx的運行。

統計服務
   接收線程
      這里的接收線程也就是主線程。
  

---

   存儲線程
      存儲線程為另一個工作線程。
      同步文件定時器的時間間隔要比新建文件定時器的短，由于定時器到期的事件處理是一種異步執行流，所以將它們當做并行，與“從q頭移出黑文件MD5”操作畫在了同一水平方向。