文章目录
- TLS/SSL协议
- 用户名和密码
- 数据加密
- 数据完整性
- 设备Application Key
- 访问控制列表
TLS/SSL协议
基于传输层的加密法,它不仅在传输时加密,同时它也实现了身份验证,因为里面有证书,所以不仅保证了用户的安全,也保证了数据的安全。
cafile(CA文件):用于验证服务器证书的合法性,确保与之通信的服务器是可信的,客户端使用cafile来验证服务器证书,以确保与服务器建立的连接是安全的。
certfile(证书文件):用于身份验证的客户端证书文件,向服务器证明其身份,服务器可以验证certfile中的证书以确保连接的客户端是经过授权的。
keyfile(私钥文件):客户端证书(certfile)对应的私钥文件,私钥用于生成数字签名,对通信进行加密和解密操作,并与certfile证书配对,只有拥有与证书配对的私钥的客户端才能使用证书进行身份验证。
总结:
- cafile用于验证服务器证书的合法性,确保服务器的真实性和完整性。
- certfile用于客户端身份验证的证书文件,用于证明客户端身份。
- keyfile是与客户端配对的私钥,用于生成数字签名和保护通讯安全。
用户名和密码
客户端连接消息协议代理时,提供用户名密码进行身份验证,确保客户端具有访问消息协议代理的权限。为确保用户名密码在创数过程中的安全性,可使用TLS/SSL协议对消息协议代理连接进行加密,确保凭据在传输过程中进行加密。
需要注意的是,用户名和密码是一种基本的身份验证方法,但并不是最安全或最强大的身份验证方式。在更高级别的安全需求下,可以考虑使用基于证书的身份验证、OAuth令牌等更复杂的身份验证和授权机制来增强消息协议代理的安全性。
数据加密
对称加密:使用相同的密钥对数据进行加解密,发送方和接收方使用相同的密钥。常见的对称加密算法有AES、DES。
非对称加密:使用公钥和私钥配对进行加解密,设备和应用程序使用接收方的公钥对数据进行加密,然后接收方使用相对应的私钥进行解密。公钥可以公开发放,而私钥必须保密。常见的非对称加密算法有RSA、ECC。
混合加密:发送方使用接收方的非对称密钥的公钥对对称密钥进行加密,同时使用对称密钥对数据进行加密,然后将加密后的对称密钥和数据一起发送给接收方,接收方使用非对称密钥的私钥解密出对称密钥,最后使用解密后的对称密钥对数据解密。
传输加密数据:将加密后的数据通过安全通道(如TLS/SSL)或其他安全传输协议传输给接收方。确保数据传输过程中的机密性和完整性,防止数据被窃听或篡改。
数据完整性
哈希校验:发送端使用哈希函数对数据进行摘要计算生成固定长度的哈希值,将数据和哈希值一起发送给接收端,接收端使用相同的哈希函数对接收到的数据进行摘要计算,将接收端计算的哈希值与发送端传递的哈希值进行比较。以此来验证数据是否被篡改或损坏。
数字签名:通过使用私钥对数据进行签名,发送方可以生成一个数字签名。接收方使用发送方的公钥对数字签名进行验证,验证数据有没被篡改。验证的具体过程如下:
- 使用发送方的公钥对数字签名进行解密,得到解密后的数据,通常称为"解密结果"。
- 将原始数据使用相同的哈希算法或摘要算法进行处理,生成一个摘要值或哈希值。
- 将"解密结果"与生成的摘要值进行比较,如果两者一致,则说明数字签名验证通过,数据完整性得到保证。否则,数字签名验证失败,表明数据可能已被篡改或不是发送方的数据。
哈希校验:哈希校验可以检测数据是否被篡改,但无法提供数据的身份认证。如果攻击者能够篡改数据并重新计算哈希值,就可以通过哈希校验。
数字签名:数字签名不仅可以验证数据的完整性,还可以提供数据的身份认证。由于数字签名使用非对称加密算法,私钥只由发送方持有,因此其他人无法伪造有效的数字签名。
设备Application Key
物联网设备的应用程序密钥用于确保设备与应用程序之间安全通信的机密密钥,保护数据的机密性和完整性。它可以用于加密设备生成的数据,并在发送到应用程序之前进行保护。应用程序密钥还可以用于解密来自应用程序的命令或配置,以供设备进行相应的操作。由制造商生产时生成并分配唯一密钥,存储在设备中,防止未经授权的访问。确保只有经过身份验证和授权的设备和应用程序可以进行通信。
访问控制列表
Broker可以配置访问控制列表(ACL),定义(客户端)允许或拒绝访问特定主题的规则。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
6023
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
