[网络安全]第三次作业

1. 什么是IDS？

IDS是英文"Intrusion Detection Systems"的缩写，中文意思是"入侵检测系统"。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

2. IDS和防火墙有什么不同？

1、防火墙是针对黑客攻击的一种被动的防御，旨在保护；
IDS则是主动出击寻找潜在的攻击者，发现入侵行为。

2、防火墙是设置在**保护网络（本地网络）和外部网络（主要是Internet）之间的一道防御系统。

3、防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，
IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补；

4、防火墙可以允许内部的一些主机被外部访问，
IDS则没有这些功能，只是监视和分析用户和系统活动

3. IDS工作原理？

入侵检测系统在捕捉到某一攻击事件后，按策略进行检查，如果策略中对该攻击事件设置了防火墙阻断，那么入侵检测系统就会发给防火墙一个相应的动态阻断策略，防火墙根据该动态策略中的设置进行相应的阻断，阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息，完全依照入侵检测系统发出的动态策略来执行。

4. IDS的主要检测方法有哪些详细说明？

异常检测：当某个事件与一个 已知的攻击特征（信号）相匹配时。一个基于异常的 IDS 会记录一个正常
主机的活动大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常， IDS 就会告警。
特征检测： IDS 核心是特征库（签名）。
签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为。
异常检测模型（Anomaly Detection）
首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是
入侵。
误用检测模型（Misuse Detection）： 收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系
统就认为这种行为是入侵，误用检测模型也称为特征检测（ Signature-based detection ）。

5. IDS的部署方式有哪些？

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

IDS签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为

**签名过滤器 **是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将 IPS 特征库中适用 于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。通常情况下，对于 筛选出来的这些签名，在签名过滤器中会沿用签名本身的缺省动作。特殊情况下，我们也可以在签名过 滤器中为这些签名统一设置新的动作，操作非常便捷。
例外签名 由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。
签名过滤器的动作分为：
阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。
采用签名的缺省动作，实际动作以签名的缺省动作为准。

1. 什么是恶意软件？

恶意软件感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、 占用高CPU 资源、自动弹出 / 关闭窗口、自动终止某些进程等各种不正常现象。
信息收集特性
QQ 密码和聊天记录；
网络游戏帐号密码；
网上银行帐号密码；
用户网页浏览记录和上网习惯；
自身隐藏特性
多数病毒会将自身文件的属性设置为 “ 隐藏 ” 、 “ 系统 ” 和 “ 只读 ” ，更有一些病毒会通过修改注册表，从而修 改用户对系统的文件夹访问权限、显示权限等，以使病毒更加隐蔽不易被发现。
文件感染特性
病毒会将恶意代码插入到系统中正常的可执行文件中，使得系统正常文件被破坏而无法运行，或使
系统正常文件感染病毒而成为病毒体；有的文件型病毒会感染系统中其他类型的文件。
Wannacry 就是一种典型的文件型病毒，它分为两部分，一部分是蠕虫部分，利用 windows 的 “ 永恒之蓝 ” 漏洞进行网络传播。一部分是勒索病毒部分，当计算机感染 wannacry 之后，勒索病毒部分就会自动安装并且加密计算机中包括音频、图像、文档等各种类型的文件。与此同时弹出勒索框进行
勒索。
网络攻击特性
木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络；
木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络，甚至通过散布虚假网关地
址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪。
爱虫病毒是一种利用 Windows outlook 邮件系统传播的蠕虫病毒，将自己伪装成一封情书，邮件主
题设置为 “I LOVE YOU” ，诱使受害者打开，由此得名。当爱虫病毒运行后迅速找到邮箱通信簿里的 50个联系人再进行发送传播。传播速度非常之快，致使大量电子邮件充斥了整个网络，不仅会导致 邮件服务器崩溃，也会让网络受影响变慢。从而达到攻击网络的目的。

3. 恶意软件的可分为那几类？

按照传播方式分类
病毒
病毒是一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的 宿主程序是病毒的栖身地，它是病毒传播的目的地，又是下一次感染的出发点。
计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权；寻找感染的突破口；将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在 宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。 病毒感染目标包括：硬盘系统分配表扇区( 主引导区 ) 、硬盘引导扇区、软盘引导扇区、可执行文件（ .exe ）、命令文件（ .com ）、覆盖文件（ .ovl ）、 COMMAND 文件、 IBMBIO 文件、 IBMDOS 文件。
蠕虫
蠕虫是主要通过网络使恶意代码在不同设备中进行复制、传播和运行的恶意代码。一个能传染自身拷贝到另一台计算机上的程序。
木马
木马是攻击者通过欺骗方法在用户不知情的情况下安装的。木马系统软件一般由木马配置程序、控制程序和木马程序（服务器程序）三部分组成。
按照功能分类
后门
具有感染设备全部操作权限的恶意代码。
典型功能∶
文件管理、屏幕监控、键盘监控、视频监控、命令执行等。
典型家族∶
灰鸽子、 pCshare
勒索
通过加密文件，敲诈用户缴纳赎金。
加密特点∶
主要采用非对称加密方式
对文档、邮件、数据库、源代码、图片、压缩文件等多种文件类型进行加密
其他特点∶
通过比特币或其它虚拟货币交易
利用钓鱼邮件和爆破 rdp 口令进行传播
典型家族∶
Wannacry 、 GandCrab 、 Globelmposter
挖矿
攻击者通过向被感染设备植入挖矿工具，消耗被感染设备的计算资源进行挖矿，以获取数字货币收益的恶意代码。

特点∶
不会对感染设备的数据和系统造成破坏。由于大量消耗设备资源，可能会对设备硬件造成损害。

2. 恶意软件有哪些特征？

下载特征
很多木马、后门程序间谍软件会自动连接到 Internet 某 Web 站点，下载其他的病毒文件或该病毒自身的 更新版本/ 其他变种
后门特征
后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启 并侦听某个端口，允许远程恶意用 户来对该系统进行远程操控； 某些情况下，病毒还会自动连接到某IRC 站点某频道中，使得该频道中特定的恶意用户远程访问受
感染的计算机。

4. 恶意软件的免杀技术有哪些？

恶意代码希望能顺利绕过杀毒软件与防火墙，在受害者的计算机中长期隐藏下去，并能在必要的时候向 攻击者提供有用的信息。
免杀技术又称为免杀毒（ Anti Anti- Virus ）技术，是防止恶意代码免于被杀毒设备查杀的技术。主流免
杀技术如下∶
修改文件特征码
修改内存特征码
行为免查杀技术

5. 反病毒技术有哪些？

单机反病毒
检测工具
单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。
病毒检测工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。
常见的病毒检测工具包括：
TCP View
Regmon
Filemon
Process Explorer
IceSword
Process Monitor
Wsyscheck
SREng
Wtool
Malware Defender

杀毒软件

• 杀毒软件主要通过一些引擎技术来实现病毒的查杀，比如以下主流技术： - 特征码技术 - 杀毒软件存在病毒特征库，包含了各种病毒的特征码，特征码是一段特殊的程序，从病- 毒样本中抽取而来，与正常的程序不太一样。把被扫描的信息与特征库进行对比，如果 匹配到了特征库，则认为该被扫描信息为病毒。- 行为查杀技术 - 病毒在运行的时候会有各种行为特征，比如会在系统里增加有特殊后缀的文件，监控用户行为等，当检测到某被检测信息有这些特征行为时，则认为该被检测信息为病毒。

常见的杀毒软件举例 ：瑞星金山毒霸 360 安全软件卡巴斯基赛门铁克 Macfee

6. 反病毒网关的工作原理是什么？

在以下场合中，通常利用反病毒特性来保证网络安全：
内网用户可以访问外网，且经常需要从外网下载文件。
内网部署的服务器经常接收外网用户上传的文件。
FW 作为网关设备隔离内、外网，内网包括用户 PC 和服务器。内网用户可以从外网下载文件，外网用户
可以上传文件到内网服务器。为了保证内网用户和服务器接收文件的安全，需要在 FW 上配置反病毒功
能。
在 FW 上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被检测出来，并被采
取阻断或告警等手段进行干预。

7. 反病毒网关的工作过程是什么？

1. 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类
   型和文件传输的方向。
2. 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
   NGFW 支持对使用以下协议传输的文件进行病毒检测。
   FTP （ File Transfer Protocol ）：文件传输协议
   HTTP （ Hypertext Transfer Protocol ）：超文本传输协议
   POP3 （ Post Office Protocol - Version 3 ）：邮局协议的第 3 个版本
   SMTP （ Simple Mail Transfer Protocol ）：简单邮件传输协议
   IMAP （ Internet Message Access Protocol ）：因特网信息访问协议
   NFS （ Network File System ）：网络文件系统
   SMB （ Server Message Block ）：文件共享服务器
   NGFW 支持对不同传输方向上的文件进行病毒检测。
   上传：指客户端向服务器发送文件。
   下载：指服务器向客户端发送文件。
3. 判断是否命中白名单。命中白名单后， FW 将不对文件做病毒检测。
   白名单由白名单规则组成，管理员可以为信任的域名、 URL 、 IP 地址或 IP 地址段配置白名单规
   则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在的反病毒配置文件，每个
   反病毒配置文件都拥有自己的白名单。
4. 针对域名和 URL ，白名单规则有以下 4 种匹配方式：
   前缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的前缀是
   “example” 就命中白名单规则。 后缀匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 的后缀是
   “example” 就命中白名单规则。
   关键字匹配： host-text 或 url-text 配置为 “example” 的形式，即只要域名或 URL 中包含
   “example” 就命中白名单规则。
   精确匹配：域名或 URL 必须与 host-text 或 url-text 完全一致，才能命中白名单规则。
5. 病毒检测：
   智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库中的特征进行
   匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的响应动作进行处理。如果不
   匹配，则允许该文件通过。当开启联动检测功能时，对于未命中病毒特征库的文件还可以上送
   沙箱进行深度检测。如果沙箱检测到恶意文件，则将恶意文件的文件特征发送给 FW ， FW 将此
   恶意文件的特征保存到联动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应
   动作进行处理。
   病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种常见的病毒特
   征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒 ID 。当设备加载病毒特征库
   后，即可识别出特征库里已经定义过的病毒。同时，为了能够及时识别出最新的病毒，设备上
   的病毒特征库需要不断地从安全中心平台（ sec.huawei.com ）进行升级。
6. 当 NGFW 检测出传输文件为病毒文件时，需要进行如下处理：
   判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。
   病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情况的发生，当
   用户认为已检测到的某个病毒为误报时，可以将该对应的病毒 ID 添加到病毒例外，使该病毒
   规则失效。如果检测结果命中了病毒例外，则对该文件的响应动作即为放行。
   如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则按照应用例外
   的响应动作（放行、告警和阻断）进行处理。
   应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协议上可以承载
   多种应用。
   由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：
   如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动作。
   如果协议和应用都配置了响应动作，则以应用的响应动作为准。
   如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的协议和传输方
   向对应的响应动作进行处理。
7. 反病毒网关的配置流程是什么？

案例
某公司在网络边界处部署了 FW 作为安全网关。内网用户需要通过 Web 服务器和 POP3 服务器下载文件和 邮件，内网FTP 服务器需要接收外网用户上传的文件。公司利用 FW 提供的反病毒功能阻止病毒文件在这 些过程中进入受保护网络，保障内网用户和服务器的安全。
其中，由于公司使用 Ctdisk 网盘作为工作邮箱，为了保证工作邮件的正常收发，需要放行 Ctdisk 网盘的 所有邮件。另外，内网用户在通过Web 服务器下载某重要软件时失败，排查发现该软件因被 FW 判定为病 毒而被阻断（病毒ID 为 16424404 ），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放 行该类病毒文件，以使用户可以成功下载该软件。

1. 什么是APT？

APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT 攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过 Web 或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。

2. APT 的攻击过程？

第一阶段：扫描探测
在 APT 攻击中，攻击者会花几个月甚至更长的时间对 " 目标 " 网络进行踩点，针对性地进行信息收集，目标 网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段：工具投送
在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶 意URL ，希望利用常见软件 ( 如 Java 或微软的办公软件 ) 的 0day 漏洞，投送其恶意代码。一旦到位，恶意软 件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭 防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB 设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。
第三阶段：漏洞利用
利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自 身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们 很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主 机也可以被感染，特别是当这个系统脱离企业网络后。
第四阶段：木马植入
随着漏洞利用的成功，更多的恶意软件的可执行文件 —— 击键记录器、木马后门、密码破解和文件采集 程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。
第五阶段：远程控制
一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制 工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即 这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方 法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。
第六阶段：横向渗透
一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重 要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc 和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
第七阶段：目标行动
也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后， APT 攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受 深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。 大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是 寻找"已知的 " 恶意地址和受到严格监管的数据。
3. 详细说明APT的防御技术
目前，防御 APT 攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将 网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量， 则可以通知FW实施阻断。
针对 APT 攻击的防御过程如下∶
黑客（攻击者）向企业内网发起 APT 攻击， FW 从网络流量中识别并提取需要进行 APT 检测的
文件类型。
FW 将攻击流量还原成文件送入沙箱进行威胁分析。
沙箱通过对文件进行威胁检测，然后将检测结果返回给 FW 。
FW 获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW 侧则 可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。
APT 防御与反病毒的差异。
反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。
这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。
APT 防御机制则有别于反病毒系统。 APT 防御系统中的沙箱可以看做是一个模拟真实网络建造
的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行
以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序
是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提
炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。
总体来看，反病毒系统是以被检测对象的特征来识别攻击对象， APT 防御系统是以被检测对象的行为来识别攻击对象。

4. 什么是对称加密？

加解密用的是同一个密钥，数学角度是一个双向函数
对称加密首先要保证算法足够复杂以及密钥传输足够安全。
加密信息传递有俩个通道
密文传递通道
密钥传递通道
一般对称加密使用非对称加密传输秘钥

1. 什么是非对称加密？

diff 和 hellmen DH 算法 开创了非对称加密算法
加解密使用的密钥是不相同的，公钥和私钥，也叫公钥加密技术
单向函数 模运算 mod
m^e mod p = n

1. 私密性的密码学应用？

身份认证技术的应用
身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。
身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法。

对称加密算法：对称加密算法使用相同的密钥对数据进行加密和解密，可以确保加密数据只能被知道密钥的用户解密。常见的对称加密算法包括AES、DES、3DES等。

非对称加密算法：非对称加密算法使用不同的密钥对数据进行加密和解密，其中一个密钥是公开的（公钥），而另一个密钥是私有的（私钥）。这种算法可以确保加密数据只能被知道私钥的用户解密。常见的非对称加密算法包括RSA、ECC等。

散列函数：散列函数可以将任意长度的数据转换为固定长度的散列值，这个散列值通常用于验证数据的完整性和真实性。只有知道原始数据的用户才能生成相同的散列值。常见的散列函数包括MD5、SHA-1、SHA-2等。

数字签名：数字签名是通过使用私钥对数据进行签名来验证其完整性和真实性的一种机制。数字签名可以确保数据没有被篡改或者被其他人伪造，只有知道私钥的用户才能进行签名。常见的数字签名算法包括RSA、DSA等。

7. 非对称加密如何解决身份认证问题？

非对称加密是一种使用不同的密钥进行加密和解密的加密方式。在非对称加密中，有一个密钥是公开的（公钥），而另一个密钥是私有的（私钥）。

非对称加密可以解决身份验证的问题，因为只有持有私钥的用户才能生成数字签名或者解密使用公钥加密的消息。这种机制可以确保消息的完整性和真实性，因为只有持有私钥的用户才能生成数字签名。

以下是使用非对称加密解决身份验证的一些实际应用：

数字签名：数字签名是使用私钥对数据进行签名来验证其完整性和真实性的一种机制。只有知道私钥的用户才能进行签名，这可以确保签名是可信的，同时确保数据没有被篡改或者被其他人伪造。数字签名常用于身份验证、电子文档、金融交易等领域。

SSL/TLS：SSL/TLS协议使用非对称加密和对称加密的组合来确保通信的机密性和完整性。在SSL/TLS握手过程中，服务器会将其公钥发送给客户端，然后客户端使用该公钥对会话密钥进行加密，从而确保只有服务器可以使用其私钥来解密密钥。这种机制可以确保通信是安全的，并且服务器的身份是可信的。

SSH：SSH协议使用非对称加密和对称加密的组合来确保远程登录的机密性和完整性。在SSH握手过程中，服务器会将其公钥发送给客户端，然后客户端使用该公钥对会话密钥进行加密，从而确保只有服务器可以使用其私钥来解密密钥。这种机制可以确保通信是安全的，并且服务器的身份是可信的。

8. 如何解决公钥身份认证问题？

如何确认信息的发送者一定是他本人？
发送者是 alice ，使用非对称算法，生成私钥 A ，公钥 B 。

1. alice 把公钥给 bob
2. alice 发送信息 hello ， world ！
3. alice 把发送的信息用对称加密算法加密到加密信息 C 。
4. alice 把发送的 hello ， world ！先用 hash 算法计算得到 hash 值 D 。
5. alice 把 hash 值 D 用非对称加密计算得到 E 。 E 值就是用于身份验证的。
6. alice 把 C ， E 一起发给 bob 。
7. bob 收到 C,E 值，先用非对称的公钥对 E 进行解密，如果能正常解开则证明 C 值是 alice 的。
   上述 1 中如果黑客偷换了 alice 的公钥，那么就会出现身份认证漏洞。
   解决：
   alice 把公钥给 bob 的环节能确保是安全的，一定是 alice 给的。
   想办法证明 alice 的公钥一定是 alice 的。

9. 简述SSL工作过程

SSL 连接（ connection) 一个连接是一个提供一种合适类型服务的传输（ OSI 分层的定义）。 SSL 的连接是 点对点的关系。连接是暂时的，每一个连接和一个会话关联。
SSL 会话（ session ）一个 SSL 会话是在客户与服务器之间的一个关联。会话由 Handshake Protocol 创 建。会话定义了一组可供多个连接共享的密码安全参数。会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价

** SSL协议的细节**