web安全专有名词知识点记载

文章内容来源与--百度百科

1、HA:

      是High Available缩写，是双机集群系统简称，指高可用性集群，是保证业务连续性的有效解决方案，一般有两个或两个以上的节点，且分为活动节点及备用节点。

HA应用：

    LATCH HA 是X0;linux Latch 系列的高可靠性的服务器集群系统解决方案。
今天各行业的顺利运转都依赖于计算机系统。商品的订货、配送、客户服务、财务结算、保险及预约都需要高度可靠的信息服务系统。这自然要求计算机的宕机时间越短越好。
    LATCH HA能够自动检测系统的故障，具有系统崩溃的智能检测与处理系统。它利用各种手段来检测硬件、存储设备、网络及系统软件的故障。一旦发现计算机出现故障， LATCH HA将把该计算机上的所有进程转移到备份计算机上，从而为客户提供不间断的服务。LATCH HA就是利用这些方法来提供最佳的服务可靠性，将计算机的主机时间减少到最低下程度。
一旦计算机宕机，LATCH HA能够将宕机时间缩短到几分钟甚至几秒钟。而且能够将系统恢复到宕机以前的状态，从而保证计算机的稳定运行。在LATCH HA的保护下，计算机系统再也不用因为硬件故障或日常性的维护而中断运行。要知道，一分钟的宕机时间也许会给银行，铁路，航空等行业的运营带来不可估量的损失。
    高可用性的实现的另一大关键就是的冗余策略，简言之就是对主机，网络设备，备份设备的多台备份（当然不只是简单的备份机）。LATCH HA拥有多种冗余模式，其中包括双机在线待机模式、双机就绪模式及三机模式。所有的模式都提供了对各种备份资源－如文件系统、数据库、网络IP地址、系统进程、SCSI设备及NFS－的支持。
    此外，高可用性的实现还要有丰富的应用程序支持：LATCH HA能够应用在各种集中式、客户机－服务器模式或OLTP系统中。同时其与市场上各种主流的数据库系统与OLTP软件－如Oracle、 SYBASE、 Informix与Tuxedo－也都保持兼容。LATCH HA同时提供了各种应用程序接口。因此，客户能够在其私有软件中集成各种功能来保证系统的高可靠性，这样也保护了客户的投资。

 

2、SSL:

    它是在传输通信协议上实现的一种安全协议，采用公开密钥技术，ssl广泛支持各种类型的网络，同时提供3种技术服务，它们都使用公开密钥技术，  ssl协议的优势是，他是与应用成协议独立无关的，高层的应用成协议，能透明的建立与ssl协议之上，ssl协议在应用层协议通信之前就已经完成了加密算法，通信密钥的协商以及服务器认证工作。，在此之后应用成协议所通过的数据都会被加密，从而保证通信的私密性。
     是Secure Sockets Layer安全套接层的缩写，及其继任者传输层安全（Transport Layer Security ,TLS)是为网络同学提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络进行加密。

     Secure Socket Layer，为Netscape所研发，用以保障在Internet上数据传输的安心，利用数据加密（Encryption）技术，可确保数据在网络上的传输过程中不会被截取以窃听。
   SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol):它建立在可靠的传输的传输协议（如TCP)之上，为高层协议提供数据封装，压缩，加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol):它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

提供的服务：

1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）加密数据以防止数据中途被窃取；

3）维护数据的完整性，确保数据在传输工程总不被改变。

工作流程：

服务器认证阶段：

1）客户端向服务器发送一个开始信息“Hello"一便开始一个新的会话连接；

2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的”Hello"信息时将包含生成主密钥所需的信息；

3）客户根据收到的服务响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

4）服务器回复该主密钥，并返回给客服一个用主密钥认证的信息，以此让客户认证服务器。
   

用户认证阶段：

       在此之前，服务器已经通过了客户认证，这以阶段主要完成对客户的认证，经认证的服务器发送一个提问给客户，客户则返回（数字）签名的提问和其公开密钥，从而想服务器提供认证。
   

SSL协议提供的安全同道有以下三个特性：
   机密性：SSL协议使用密钥加同学数据。
   可靠性：服务器和客户都会被认证，客户的认证是可选的。
   完整性：SSL协议会对传送的数据进行完整检查。
 

    从SSL协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商机对消费者信息保密的承诺，这就有利于商机而不利与消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分爆料出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客服与服务器的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方面的安全传输和信任关系。在这种情况下。在者种情况下，Visa和MasterCard两大信用卡工组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

SSL的体系结构：

SSL的体系结构中包含两个协议子层，其中底层是SSL记录协议层（SSL Record Protocol Layer）；高层是SSL握手协议层（SSL HandShake Protocol Layer）。SSL的协议栈如图所示，其中阴影部分即SSL协议。

 

SSL记录协议层的作用是为高层协议提供基本的安全服务。SSL纪录协议针对HTTP协议进行了特别的设计，使得超文本的传输协议HTTP能够在SSL运行。纪录封装各种高层协议，具体实施压缩解压缩、加密解密、计算和校验MAC等与安全有关的操作。

SSL握手协议层包括SSL握手协议（SSL HandShake Protocol）、SSL密码参数修改协议（SSL Change Cipher Spec Protocol）、应用数据协议（Application Data Protocol）和SSL告警协议（SSL Alert Protocol）。握手层的这些协议用于SSL管理信息的交换，允许应用协议传送数据之间相互验证，协商加密算法和生成密钥等。SSL握手协议的作用是协调客户和服务器的状态，使双方能够达到状态的同步。

SSL记录协议：

SSL记录协议（Record Protocol）为SSL连提供两种服务。 [2] 

（1）保密性：利用握手协议所定义的共享密钥对SSL净荷（Payload）加密。

（2）完整性：利用握手协议所定义的共享的MAC密钥来生成报文的鉴别码（MAC）。

SSL的工作过程如下。

（1）发送方的工作过程为：

从上层接受要发送的数据（包括各种消息和数据）；

对信息进行分段，分成若干纪录；

使用指定的压缩算法进行数据压缩（可选）；

使用指定的MAC算法生成MAC；

使用指定的加密算法进行数据加密；

添加SSL记录协议的头，发送数据。

（2）接收方的工作过程为：

接收数据，从SSL记录协议的头中获取相关信息；

使用指定的解密算法解密数据；

使用指定的MAC算法校验MAC；

使用压缩算法对数据解压缩（在需要进行）；

将记录进行数据重组；

将数据发送给高层。

SSL记录协议处理的最后一个步骤是附加一个SSL记录协议的头，以便构成一个SSL记录。SSL记录协议头中包含了SSL记录协议的若干控制信息。

SSL的会话状态：

会话（Session）和连接（Connection）是SSL中两个重要的概念，在规范中定义如下。 [3] 

（1）SSL连接：用于提供某种类型的服务数据的传输，是一种点对点的关系。一般来说，连接的维持时间比较短暂，并且每个连接一定与某一个会话相关联。

（2）SSL会话：是指客户和服务器之间的一个关联关系。会话通过握手协议来创建。它定义了一组安全参数。

一次会话过程通常会发起多个SSL连接来完成任务，例如一次网站的访问可能需要多个HTTP/SSL/TCP连接来下载其中的多个页面，这些连接共享会话定义的安全参数。这种共享方式可以避免为每个SSL连接单独进行安全参数的协商，而只需在会话建立时进行一次协商，提高了效率。

每一个会话（或连接）都存在一组与之相对应的状态，会话（或连接）的状态表现为一组与其相关的参数集合，最主要的内容是与会话（或连接）相关的安全参数的集合，用会话（或连接）中的加密解密、认证等安全功能的实现。在SSL通信过程中，通信算法的状态通过SSL握手协议实现同步。

根据SSL协议的约定，会话状态由以下参数来定义：

（1）会话标识符：是由服务器选择的任意字节序列，用于标识活动的会话或可恢复的会话状态。

（2）对方的证书：会话对方的X.509v3证书。该参数可为空。

（3）压缩算法：在加密之前用来压缩数据的算法。

（4）加密规约（Cipher Spec）：用于说明对大块数据进行加密采用的算法，以及计算MAC所采用的散列算法。

（5）主密值：一个48字节长的秘密值，由客户和服务器共享。

（6）可重新开始的标识：用于指示会话是否可以用于初始化新的连接。

连接状态由以下参数来定义：

（1）服务器和客户器的随机数：是服务器和客户为每个连接选择的用于标识连接的字节序列。

（2）服务器写MAC密值：服务器发送数据时，生成MAC使用的密钥，长度为128 bit。

（3）客户写MAC密值，服务器发送数据时，用于数据加密的密钥，长度为128 bit 。

（4）客户写密钥：客户发送数据时，用于数据加密的密钥，长度为128 bit。

（5）初始化向量：当使用CBC模式的分组密文算法是=时，需要为每个密钥维护初始化向量。

（6）序列号：通信的每一端都为每个连接中的发送和接收报文维持着一个序列号。

HTTPS:

HTTPS（Hypertext Transfer Protocol Secure）安全超文本传输协议

它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

限制

它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.

一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。

商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。

 

应用：

extended validation ssl certificates翻译为中文即扩展验证（EV）SSL证书，该证书经过最彻底的身份验证，确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的GlobalSign名称，从而最大限度上确保网站的安全性，树立网站可信形象，不给欺诈钓鱼网站以可乘之机。

对线上购物者来说，绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下，使用扩展验证（EV）SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称，这些均向客户传递同一信息，该网站身份可信，信息传递安全可靠，而非钓鱼网站
 

【什么是SSL（Secure Sockets Layer）】
SSL（Secure Sockets Layer）直译过来是安全套接层。
我们使用网银时，使用的HTTPS协议就是基于SSL层来实现的啊。

【SSL是处于网络通信的哪一个部分】
想要完全理解SSL，首先要谈网络通信的四层模型（网络接口层、网络层、传输层、应用层）
要知道SSL处于哪一层

如图，最底层是“网络接口层”
它替我们封装了具体是用宽带网线，还是光纤，还是WIFI、3G网络等各种的物理链路的访问

往上走就是“网络层“
网络层协议中最著名的莫过于IP协议，有了IP相当于就能找到具体哪一台计算机

再往上走就是“传输层”
找到了计算机还需要通过具体哪个端口（Port）进行通信，该层的协议中有TCP/UDP协议

传输层再往上，就是“应用层”
我们的应用程序就可以通过类似HTTP的应用层协议，相互通信了

好了，从网络通信的四层模式上，我们知道HTTP协议建立在传输层协议之上
而HTTPS就是在两者（应用层和传输层）之间加入一个SSL层，称为加密传输协议。

【SSL具体的功能】
1）SSL在实际的数据传输开始前，通讯双方会进行身份认证，确保数据发送到正确的客户机和服务器。
2）SSL对传输的数据进行了加密，防止数据中途被窃取
3）SSL对传输的数据进行了封装，用以维护数据的完整性，确保数据在传输过程中不被改变。
4）SSL对传输的数据进行了压缩

SSL证书是数字证书的一种， 因为配置在服务器上，也称为SSL服务器证书。 SSL服务器证书的主要角色就是为网站的机密数据进行加密和隐藏， 确保数据在传送过程中不被篡改和劫持，保证数据的完整性和安全性。由于SSL技术已基本覆盖所有主流浏览器和WEB服务器程序中， 因此，仅需要安装服务器证书就可以激活该功能，实现数据信息在客户端和服务器之间的加密传输，防止数据信息的泄露， 保证了双方传递信息的安全性。

SSL证书没有所谓的“品质”和“等级”之分，只有三种不同的类型。
SSL证书需要向国际公认的证书证书认证机构（简称CA，Certificate Authority）申请。
CA机构颁发的证书有3种类型：
域名型SSL证书（DV SSL）：信任等级普通，只需验证网站的真实性便可颁发证书保护网站；
企业型SSL证书（OV SSL）：信任等级强，须要验证企业的身份，审核严格，安全性更高；
增强型SSL证书（EV SSL）：信任等级最高，一般用于银行证券等金融机构，审核严格，安全性最高，同时可以激活绿色网址栏。

证书申请地址：http://link.zhihu.com/?target=https%3A//console.qcloud.com/ssl
测试链接地址：https://zhuanlan.zhihu.com/p/19869459