【网络安全基础】第六章---Web安全需求

薄荷椰果抹茶2025-07-07 9:59

本章主要内容是计算机网络中的安全协议

文章目录

一、各层安全协议

安全协议和网络协议都是协议,但不要弄混了

1)HTTP、TCP、UDP这些是网络协议,其核心目标是实现网络设备之间的通信交互 ,解决数据传输的格式、顺序、差错控制等基础问题

2)SSL、TLS这些是安全协议,其核心目标是通过加密、认证、授权 等机制,防止数据被窃取、篡改或恶意攻击

二、传输层安全(TLS)

传输层安全TLS是一种通用服务,是依赖TCP实现 的一组协议

TLS是由安全套接字层SSL的商业协议发展而来

TLS的两种实现方式:

(1)TLS作为底层协议套件的一部分被提供,对应用程序是透明的

(2)TLS嵌入到特定的包中:浏览器------配备了TLS;Web服务器------实现了TLS协议

三、TLS体系结构(重点)

TLS不是单个协议,由两层协议组成:

(1)较高层协议

握手协议------相互认证,密钥交换(≥4字节)

修改密码规范协议------挂起状态(1字节)

警报协议------级别+警告(2字节)

(2)较底层协议

TLS记录协议------机密性(加密)、完整性(MAC)

TLS协议中的两个重要概念:TLS会话TLS连接

3.1 TLS记录协议

TLS记录协议为TLS连接提供两种服务:

(1)机密性

握手协议定义一个可以用于加密TLS载荷的传统加密共享密钥

(2)消息完整性

握手协议还定义一个用于产生消息认证码(MAC)的共享密钥

3.2 修改密码规格协议

本协议只包含一条信息,由一个值为 1 的字节组成。这条信息的唯一功能是使得挂起状态改变为当前状态

3.3 警报协议

警报协议用于将与TLS相关警报传达给对等实体

这一协议过程中的每一条消息都由两个字节组成 ;第一个字节取值为警告或者致命以表示消息的严重程度 ;第二个字节指明具体的警告

3.4 握手协议

握手协议由客户端和服务器之间的一系列信息交换 组成

这一协议允许客户端和服务器相互认证,并协商加密和MAC算法,以及用于保护数据使用的密钥通过TLS记录传送

每一条信息都包含三个域:

四个核心阶段:

第一阶段------客户端发起建立连接请求

客户端发送客户端请求信息(client_hello) ,包含版本、会话ID、密码套件、压缩方式等

服务器接收后,会发送服务器响应信息(server_hello)

第二阶段------服务器认证和密钥交换

如果需要认证,服务器会发送证书信息 ,包括一个X.509证书或一个X.509证书链

如果还有需要,服务器可以发送一个服务器密钥交换消息(server_key_exchange) ,或者向客户端请求证书

最后一条消息服务器结束消息(server_done)

第三阶段------客户端认证和密钥交换

如果服务器请求证书,客户端会发送证书消息(certificate)

客户端发送客户端密钥交换消息(client_key_exchange)

最后阶段发送证书验证消息(certificate_vertify)

第四阶段------完成

这一阶段完成安全连接的建立

四、心跳协议(重点)

心跳:网络中由硬件或软件产生的周期性信号

重点掌握:

1)心跳协议的作用:用于监视协议实体的可用性

2)心跳协议运行在TLS记录协议之上,由两种消息类型组成:心跳请求、心跳响应

3)心跳协议的使用是在握手协议的第一个阶段中建立的

五、SSL/TLS攻击

攻击握手协议、攻击记录和应用数据协议、攻击PKI、其他攻击

六、HTTPS

重点掌握:

1)HTTPS是指HTTP和TLS的结合

2)HTTPS的作用:实现网络浏览器服务器 之间的安全通信

七、SSH

SSH的作用:致力于提供一个安全的远程登录装置

SSH协议由三个协议组成,运行于TCP之上

1)SSH用户身份认证协议------用户证明自己的身份

2)SSH连接协议------虚拟出多条逻辑信道

3)SSH传输层协议------密钥交换

八、习题训练

简述TLS协议的组成及其每个成份的功能

体系结构分为较高层协议和较低层协议

较高层协议:TLS握手协议、TLS修改密码规范协议、警报协议

较低层协议:TLS记录协议

功能:
TLS握手协议 :允许服务器和客户端相互认证,协商加密和MAC算法,协商用于对称加密中使用的共享密钥
TLS修改密码规范协议 :使得挂起状态改变为当前状态,用于更新连接使用的密码套件
警报协议 :将与TLS相关的警报传给对等实体
TLS记录协议

利用共享密钥加密TLS载荷的对称加密以保证机密性

利用共享密钥计算压缩消息的消息认证码MAC(保证消息完整性)

相关推荐
Better Bench3 小时前
【大模型RAG安全基准】安装和使用SafaRAG框架
网络·人工智能·安全·大模型·组件·rag
Han.miracle4 小时前
Java的多线程——多线程(3)线程安全
java·开发语言·jvm·学习·安全·线程·多线程
物联网软硬件开发-轨物科技5 小时前
【轨物方案】轨物科技低压综保智慧运维方案:以AIoT重塑电气安全与能效新范式
运维·科技·安全
jenchoi41310 小时前
【2025-11-04】软件供应链安全日报:最新漏洞预警与投毒预警情报汇总
安全·web安全·网络安全
电鱼智能的电小鱼12 小时前
基于电鱼 AI 工控机的智慧工地视频智能分析方案——边缘端AI检测,实现无人值守下的实时安全预警
网络·人工智能·嵌入式硬件·算法·安全·音视频
hcja66615 小时前
WordPress wpForo Forum插件漏洞CVE-2025-11740复现
web安全·网络安全
kali-Myon16 小时前
NewStarCTF2025-Week4-Web
sql·安全·web安全·php·ctf·ssti·ssrf
Z3r4y16 小时前
【代码审计】RuoYi-3.0 三处安全问题分析
java·web安全·代码审计·ruoyi-3.0
安全不再安全17 小时前
免杀技巧 - 早鸟注入详细学习笔记
linux·windows·笔记·学习·测试工具·web安全·网络安全
一袋米扛几楼9818 小时前
【软件安全】什么是XSS(Cross-Site Scripting,跨站脚本)?
前端·安全·xss
热门推荐
01GitHub 镜像站点02综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件03UV安装并设置国内源04Linux下V2Ray安装配置指南05npm使用国内淘宝镜像的方法06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07BongoCat - 跨平台键盘猫动画工具08NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南09《大数据技术原理与应用》实验报告三 熟悉HBase常用操作10GitLab 零基础入门指南:从安装到项目管理全流程