安全防御笔记

一、IDS

1. 什么是IDS？

    IDS 是“入侵检测系统”(Intrusion Detection System) 的缩写，是一种用于检测和阻止计算机系统入侵的系统。IDS 通常运行在计算机系统或网络之上，通过监测和分析系统或网络的行为来检测和识别可能的入侵。

    IDS 通常会使用多种技术来检测入侵，例如日志分析、网络流量分析、特征提取和机器学习等。IDS 会实时监测系统或网络的行为，并对可能的入侵做出警报或反应。IDS 的使用可以帮助保护计算机系统和网络安全，避免未经授权的访问和攻击

2. IDS和防火墙有什么不同？

    IDS 和防火墙是两种不同的网络安全设备，虽然它们在某些方面有相似之处，但它们也有许多不同之处。

    防火墙是一种用于保护网络免受未经授权的访问和攻击的设备。它通常运行在网络层，可以过滤网络流量，防止未授权的网络访问。防火墙通常是固定配置的，并且其设计目的是识别和阻止已知的攻击。

    IDS 则是用于检测和识别入侵的设备。它可以运行在网络层以上，监测和分析网络流量，识别潜在的入侵并发出警报。IDS 通常在运行时是实时的，可以检测到最新的攻击，并且可以通过修改配置来响应和处理入侵。

    因此，IDS 和防火墙的主要区别在于它们的功能和运行方式。防火墙是一种固定的安全设备，旨在识别和阻止已知的攻击。而 IDS 则是一个实时的安全设备，可以检测到最新的入侵并发出警报，通常可以在网络安全策略中作为一个重要的补充

3. IDS工作原理？

IDS 的工作原理可以概括为以下几个步骤:

1. 数据采集:IDS 会收集系统中的数据，包括网络流量、系统日志、用户活动等。这些数据是 IDS 进行数据分析的基础。
2. 数据预处理:IDS 会对采集到的数据进行预处理，包括数据清洗、去重、过滤等操作，以确保数据的准确性和可靠性。
3. 数据分析:IDS 会对采集到的数据进行分析，以识别潜在的入侵和攻击。IDS 通常使用多种技术进行数据分析，包括特征提取、模式识别、机器学习等。
4. 警报和响应：如果 IDS 识别到潜在的入侵或攻击，它会发出警报，并采取相应的措施来响应和处理入侵。IDS 的响应方式包括阻止攻击、报告给管理员、自动备份等。

IDS 的工作原理可以简单地概括为：实时监测系统或网络的行为，识别潜在的入侵和攻击，并发出警报或反应，以便管理员能够及时采取行动来保护系统的安全。

4. IDS的主要检测方法有哪些详细说明？

IDS 的主要检测方法包括以下几种:

1. 特征提取：特征提取是 IDS 中最常用的检测方法之一。该方法基于数据的特征来识别潜在的入侵和攻击。IDS 会收集系统中的数据，并提取出数据的特征，例如流量模式、数据包结构、端口号、用户名等。这些特征被用于识别潜在的入侵和攻击。
2. 模式识别：模式识别是 IDS 中另一种常用的检测方法。该方法基于数据的模式来识别潜在的入侵和攻击。IDS 会收集系统中的数据，并识别数据的模式，例如攻击者使用的脚本、恶意代码的特征等。这些模式被用于识别潜在的入侵和攻击。
3. 机器学习：机器学习是 IDS 中一种新兴的检测方法。该方法基于数据的学习来识别潜在的入侵和攻击。IDS 会收集系统中的数据，并使用机器学习算法来训练模型。这些模型被用于识别潜在的入侵和攻击。
4. 异常检测：异常检测是 IDS 中的一种检测方法。该方法基于数据的异常来识别潜在的入侵和攻击。IDS 会收集系统中的数据，并识别数据的正常模式。如果数据的模式超出了正常范围，则被视为异常。
5. 行为分析：行为分析是 IDS 中另一种常用的检测方法。该方法基于数据的行为来识别潜在的入侵和攻击。IDS 会收集系统中的数据，并分析数据的行为，例如攻击者的网络活动、系统的运行状态等。这些行为被用于识别潜在的入侵和攻击。

以上是 IDS 中常用的几种检测方法，不同的检测方法适用于不同的场景和入侵类型。IDS 的设计和配置需要根据具体的安全需求和威胁类型进行选择和优化。

5. IDS的部署方式有哪些？

IDS(入侵检测系统) 的部署方式可以分为以下几种:

1. 旁路部署：旁路部署是 IDS 最常见的部署方式之一。IDS 安装在网络线路旁边，通过隧道协议 (如 VPN) 连接到网络。这种方式可以在不影响网络正常运行的情况下，实时监测网络中的流量和行为。
2. 内置部署：内置部署是将 IDS 集成到主机系统中，直接安装在操作系统内部。这种方式的优点是 IDS 可以与操作系统一起运行，并且可以实时监测系统的活动。但是，这种方式的缺点是系统稳定性可能会受到影响，并且操作系统的更新和升级可能会影响到 IDS 的运行。
3. 旁路嵌入部署：旁路嵌入部署是将 IDS 嵌入到网络中，将其作为网络设备的一部分进行部署。这种方式的优点是 IDS 可以实时监测网络流量和行为，并且不会影响网络的正常运行。但是，这种方式的缺点是 IDS 的性能和可靠性可能会受到影响，同时需要对网络拓扑进行一定的设计和规划。
4. 云平台部署：云平台部署是将 IDS 部署到云平台中，通过云平台提供的数据接口对 IDS 进行配置和管理。这种方式的优点是可以实现灵活的部署和管理，并且可以充分利用云平台提供的弹性和可靠性。但是，这种方式的缺点是需要一定的技术和资源投入，并且需要对云平台的安全和可靠性进行保障。

以上是 IDS 常见的部署方式，不同的部署方式适用于不同的场景和安全需求。选择适合的部署方式可以提高 IDS 的性能和可靠性，并且可以有效地保障系统的安全。

6. IDS的签名是什么意思？签名过滤器有什么作用？例外签名配置作用是什么？

    IDS(入侵检测系统) 的签名是指 IDS 系统中用于检测入侵和攻击的一组规则和特征，这些规则和特征被称为签名。IDS 通过签名来识别和检测入侵和攻击，这些签名可以是自定义的，也可以是从其他安全系统中借用的。

    签名过滤器是 IDS 系统中的一个重要组件，它用于过滤不符合签名规则的流量。签名过滤器的作用是过滤掉那些不符合签名规则的流量，以减少 IDS 系统的负载和误报。例外签名配置是 IDS 系统中的另一个重要组件，它用于配置 IDS 系统如何处理那些不符合签名规则的流量。在例外签名配置中，管理员可以设置一些例外规则，以允许某些流量通过 IDS 系统，以便实现某些特定的目的。

    总之，签名过滤器和例外签名配置是 IDS 系统中必不可少的组件，它们可以有效地减少 IDS 系统的负载和误报，并保护 IDS 系统免受不必要的攻击。同时，管理员需要认真配置和管理这些组件，以确保 IDS 系统能够提供准确和可靠的安全保护。

二、反病毒网关

1. 什么是恶意软件？

恶意软件 (Malicious Software) 是指一类旨在对他人计算机或网络安全造成危害的程序或代码。恶意软件可以表现为各种形式，例如病毒、木马、恶意广告软件、恶意下载器等，它们可以通过互联网和其他通信渠道进行传播，通常会被用于攻击、盗窃、破坏、诈骗等恶意目的。

恶意软件通常具有以下特征:

1. 恶意软件的目的是对他人计算机或网络安全造成危害，例如窃取机密信息、破坏系统、传播病毒等。

2. 恶意软件通常可以通过互联网和其他通信渠道进行传播，例如通过电子邮件、聊天软件、下载恶意文件等方式。

3. 恶意软件可以通过各种形式表现，例如病毒、木马、恶意广告软件、恶意下载器等。

4. 恶意软件的编写和使用通常需要一定的技术和知识，特别是对于初学者来说较为困难。

    随着互联网和通信技术的不断发展，恶意软件已经成为网络安全的一个重要问题，需要引起足够的重视。为了保障网络安全，需要采取一系列的预防措施，例如安装防病毒软件、定期更新操作系统和软件、不下载和打开来路不明的文件等。
   

2. 恶意软件有哪些特征？

恶意软件通常具有以下特征:

1. 隐蔽性：恶意软件通常会尽可能地隐蔽自己的行为，以避免被检测到。例如，它们可以伪装成合法的文件、下载站、游戏等，或者通过欺骗性的标题和图像来吸引用户。
2. 攻击性：恶意软件的主要目的是攻击和破坏计算机系统，它们可以窃取用户数据、删除文件、格式化硬盘、阻止用户访问系统等。
3. 可移植性：恶意软件可以在不同的计算机和操作系统上运行，它们可以在不同的操作系统和计算机上下载和安装，从而扩大自己的影响范围。
4. 复杂性：恶意软件的编写和使用通常需要一定的技术和知识，特别是对于初学者来说较为困难。恶意软件的编写者通常会使用复杂的技术来逃避杀毒软件和防火墙的检测。
5. 反侦察性：恶意软件通常会尽可能地反侦察，以避免被检测到。例如，它们可以检测杀毒软件和防火墙的存在，并采取相应的措施来逃避检测。

3. 恶意软件的可分为那几类？

恶意软件可以按照多种方式进行分类，以下是一些常见的分类方式:

1. 按照目的分类：恶意软件可以分为以下几种:

• 破坏性恶意软件：这类恶意软件的主要目的是损坏计算机或网络系统，例如病毒、蠕虫、勒索软件等。
• 间谍类恶意软件：这类恶意软件的主要目的是收集用户的敏感信息，例如用户名、密码、电子邮件地址、聊天记录等，以便于攻击者窃取用户的个人信息。
• 网络钓鱼类恶意软件：这类恶意软件的主要目的是欺骗用户输入个人信息，例如伪造的电子邮件、网站等，以便于攻击者窃取用户的个人信息。
• 恶意广告类恶意软件：这类恶意软件的主要目的是弹出恶意广告，误导用户访问不良网站等。

1. 按照运行方式分类：恶意软件可以分为以下几种:

• 客户端/服务器恶意软件:这类恶意软件需要用户客户端设备和服务器之间的通信,以便于攻击者远程控制用户设备。
• 嵌入式恶意软件：这类恶意软件可以嵌入到其他软件中，例如恶意驱动程序、恶意服务程序等，以便于悄无声息地入侵用户设备。
• 网络钓鱼类恶意软件：这类恶意软件主要是以网络钓鱼的方式欺骗用户，让用户输入个人信息，以便于攻击者窃取用户的个人信息。

1. 按照传播方式分类：恶意软件可以分为以下几种:

• 捆绑式恶意软件：这类恶意软件通常会和其他软件捆绑在一起，例如免费软件、游戏等，在用户安装这些软件时自动安装恶意软件。
• 下载器恶意软件：这类恶意软件通常会在用户下载其他文件时下载并执行恶意代码，从而实现入侵用户设备的目的。
• 恶意广告类恶意软件：这类恶意软件通常会通过恶意广告的方式传播，例如弹出恶意广告、伪造的电子邮件等。

4. 恶意软件的免杀技术有哪些？

恶意软件的免杀技术是指通过一系列技术手段，使得恶意软件在杀毒软件的检测中能够被识别并为之所放过。以下是一些常见的恶意软件免杀技术:

1. 壳层加密：这种技术是将恶意软件的代码加密，以防止杀毒软件对其进行扫描和检测。攻击者可以使用各种加密算法来加密代码，使其难以分析和识别。
2. 动态链接库注入：这种技术是将恶意代码注入到操作系统或应用程序的进程中，以便于隐蔽地执行恶意操作。攻击者可以使用各种技术，例如壳层加密、动态链接库注入、代码重用等，来实现其恶意目的。
3. 反调试技术：这种技术是用于防止杀毒软件的调试器的跟踪和检测。攻击者可以使用各种反调试技术，例如内存屏障、反调试脚本、反调试器加密等，来防止杀毒软件对其进行检测。
4. 壳层伪装：这种技术是将恶意软件的代码进行伪装，使其难以被识别和检测。攻击者可以使用各种伪装技术，例如伪装成图片、音乐、压缩文件等，来欺骗杀毒软件对其进行检测。
5. 多段式攻击：这种技术是将恶意软件的代码分成多个部分，每个部分都可以独立运行，以便于躲避杀毒软件的检测。攻击者可以使用各种技术，例如动态链接库注入、代码重用等，来将恶意代码分成多个部分，从而实现其恶意目的。

5. 反病毒技术有哪些？

反病毒技术是指用于识别和清除计算机病毒的技术。以下是一些常见的反病毒技术:

1. 病毒扫描：这种技术是通过杀毒软件来扫描计算机中的文件和文件夹，检测是否存在病毒。杀毒软件通常会使用不同的算法和技术，来识别和清除病毒。
2. 进程检测：这种技术是通过杀毒软件来检测计算机中的运行进程，检测是否存在病毒进程。杀毒软件通常会使用不同的算法和技术，来识别和清除病毒进程。
3. 内存检测：这种技术是通过杀毒软件来检测计算机中的内存，检测是否存在病毒内存。杀毒软件通常会使用不同的算法和技术，来识别和清除病毒内存。
4. 病毒清除：这种技术是通过杀毒软件来清除计算机中的病毒。杀毒软件通常会使用不同的算法和技术，来识别和清除病毒，并将其删除或隔离。
5. 自我保护：这种技术是用于防止病毒攻击杀毒软件。杀毒软件通常会在运行时自动保护其自身不被病毒攻击，以防止病毒将其删除或隔离。
6. 病毒防范：这种技术是通过杀毒软件来预防计算机病毒的攻击。杀毒软件通常会使用不同的算法和技术，来识别和防止潜在的病毒攻击，以保护计算机的安全。

6. 反病毒网关的工作原理是什么？

反病毒网关是一种用于保护网络中的计算机和设备免受病毒和恶意软件攻击的设备。它的工作原理如下:

1. 数据采集：反病毒网关会收集网络中的数据，包括来自计算机和设备的网络流量，并将其存储在系统中。
2. 数据分析：反病毒网关会分析收集到的数据，包括病毒和恶意软件的特征码、算法和传播方式等，以便识别和防范潜在的威胁。
3. 病毒扫描：反病毒网关会扫描网络中传输的数据，检测其中是否存在病毒和恶意软件。如果检测到病毒或恶意软件，反病毒网关会将其隔离或删除，以保护网络中的计算机和设备不受攻击。
4. 阻止攻击：反病毒网关还可以阻止来自网络中的恶意攻击，例如 DDoS 攻击、钓鱼攻击等。它可以对这些攻击进行识别和防范，以防止其对用户设备造成危害。
5. 日志管理：反病毒网关会记录网络中发生的事件和攻击，包括病毒和恶意软件的扫描、感染和传播情况等。这些信息可以帮助管理员了解网络中的安全状况，并及时采取相应的措施来加强安全防护。

7. 反病毒网关的工作过程是什么？

首包检测技术
通过提取PE（Portable Execute;Windows系统下可移植的执行体，包括exe、dll、“sys等文件类型）文件头部特征判断文件是否是病毒文件。提取PE文件头部数据，这些数据通常带有某些特殊操作，并且采用hash算法生成文件头部签名，与反病毒首包规则签名进行比较，若能匹配，则判定为病毒。

启发式检测技术
启发式检测是指对传输文件进行反病毒检测时，发现该文件的程序存在潜在风险，极有可能是病毒文件。比如说文件加壳（比如加密来改变自身特征码数据来躲避查杀），当这些与正常文件不一致的行为达到一定的阀值，则认为该文件是病毒。
启发式依靠的是"自我学习的能力"，像程序员一样运用经验判断拥有某种反常行为的文件为病毒文件。
启发式检测的响应动作与对应协议的病毒检测的响应动作相同。启发式检测可以提升网络环境的安全性，消除安全隐患，但该功能会降低病毒检测的性能，且存在误报风险，因此系统默认情况下关闭该功能。
启动病毒启发式检测功能∶heuristic-detect enable 。

文件信誉检测技术
文件信誉检测是计算全文MD5，通过MD5值与文件信誉特征库匹配来进行检测。文件信誉征库里包含了大量的知名的病毒文件的MD5值。华为在文件信誉检测技术方面主要依赖于文件信誉库静态升级更新以及与沙箱联动自学习到的动态缓存。文件信誉检测依赖沙箱联动或文件信誉库。

8. 反病毒网关的配置流程是什么？

反病毒网关的配置流程通常包括以下几个步骤:

1. 登录反病毒网关的管理界面：管理员通过 Web 浏览器或其他客户端登录反病毒网关的管理界面，以查看和管理网络中的安全状况。
2. 配置病毒库和算法：管理员可以根据网络中的实际情况和用户需求，配置反病毒网关的病毒库和算法。例如，可以配置最新的病毒特征码和恶意软件攻击特征码，以提高反病毒网关的识别和防范能力。
3. 配置网络流量控制策略：管理员可以根据网络中的具体情况，配置反病毒网关的网络流量控制策略，例如设置病毒扫描的阈值、设置禁止访问的 IP 地址列表等。
4. 配置日志管理和报告功能：管理员可以配置反病毒网关的日志管理和报告功能，例如设置日志文件的存储位置、设置日志报告的发送邮箱等。
5. 测试和验证：管理员可以通过测试和验证反病毒网关的功能，以确保其能够正常运行，并有效保护网络中的计算机和设备不受病毒和恶意软件攻击。

三、APT

1. 什么是APT？

APT 是指 Advanced Persistent Threat(高级持续威胁),是一种恶意软件或攻击者使用的技术，旨在绕过传统的安全防护措施，并在计算机或网络中潜伏一段时间，然后实施大规模的攻击活动。

APT 攻击通常具有以下特点:

1. 高度隐蔽性:APT 攻击者通常会使用各种欺骗技术和潜伏手段，以确保攻击不会被及时发现。
2. 复杂度:APT 攻击通常涉及多个工具和技术，需要攻击者具备较高的技术水平和专业技能。
3. 针对性:APT 攻击通常针对特定的目标，攻击者会对目标进行深入的调查和了解，以便更好地实施攻击。
4. 长期潜伏:APT 攻击者通常会在目标计算机或网络中潜伏数天、数月甚至更长时间，以便更好地实施攻击。

2. APT 的攻击过程？

APT 攻击通常包括以下几个步骤:

1. 潜伏阶段：攻击者会在目标计算机或网络中潜伏，通常使用各种欺骗技术和潜伏手段，例如伪装成合法的文件或服务、利用漏洞或弱口令等，以便更好地隐藏自己。
2. 渗透阶段：在潜伏阶段结束后，攻击者会开始渗透目标计算机或网络。渗透过程通常包括利用漏洞、社工技巧、网络钓鱼等方式，以便获取目标计算机或网络的访问权限。
3. 窃取阶段：一旦攻击者获得了目标计算机或网络的访问权限，他们通常会窃取目标系统中的重要信息，例如财务数据、商业机密、政治敏感信息等。
4. 分发阶段：一旦窃取到目标信息后，攻击者通常会将这些信息进行分发，以便将这些信息用于其他目的，例如网络钓鱼、恶意软件传播等。
5. 收尾阶段：在攻击活动结束后，攻击者通常会清理痕迹，例如删除日志、伪装成合法的文件等，以便掩盖自己的行踪。

3. 详细说明APT的防御技术

1. 什么是对称加密？

对称加密是一种加密算法，它使用相同的密钥对数据进行加密和解密，使得只有拥有相同密钥的人才能理解和读取数据。在对称加密中，加密和解密使用的是相同的密钥，这个密钥通常被称为“对称密钥”。

对称加密算法主要包括两种类型:

1. 单钥加密 (Single Key Encryption):单钥加密使用一个密钥对数据进行加密和解密，这个密钥只有一个，称为“主密钥”(Master Key)。在单钥加密中，用户需要使用主密钥对数据进行加密和解密，而加密和解密使用的是相同的密钥，即“对称密钥”。
2. 双钥加密 (Double Key Encryption):双钥加密使用两个不同的密钥对数据进行加密和解密，其中一个密钥称为“公开密钥”(Public Key),另一个密钥称为“私人密钥”(Private Key)。在双钥加密中，用户需要使用公开密钥对数据进行加密，而使用私人密钥对数据进行解密。

5. 什么是非对称加密？

非对称加密是一种加密算法，它使用一对密钥，即公钥和私钥，来进行加密和解密操作。其中，公钥用于加密数据，而私钥用于解密数据。

这种加密算法的工作原理是：发送方使用接收方的公钥对数据进行加密，然后将加密后的数据发送给接收方。接收方则使用自己的私钥对数据进行解密，以获取原始数据。

由于这种加密算法需要使用公钥和私钥来进行操作，因此需要保证公钥和私钥的安全性。通常，公钥和私钥都是由数字证书来认证其真实性和完整性的。

非对称加密算法在数字签名、证书认证、网络安全等方面有着广泛的应用，是目前安全性较高的加密算法之一

6. 私密性的密码学应用？

密码学是一种用于保障数据和通信安全性的计算机科学技术。私密性的密码学应用包括以下几个方面:

1. 文件加密：使用对称加密算法或者非对称加密算法对文件进行加密，使得文件只能在授权的情况下解密。
2. 数字签名：数字签名可以确保数据的真实性和完整性，以及发送者的身份验证。数字签名可以用于电子邮件、网络通信等领域。
3. 密钥管理：密钥管理是确保密钥的安全性和私密性的过程。它包括密钥的创建、存储、传输和备份等环节。
4. 身份认证：身份认证是确认用户身份的过程。使用数字证书可以实现身份认证，确保用户身份的真实性和合法性。
5. 网络安全：密码学可以用于网络安全，如加密网络通信、防止黑客攻击、破解密码等。

7. 非对称加密如何解决身份认证问题？

    非对称加密算法用于解决身份认证问题的主要方法是基于数字证书。数字证书是由可信的第三方机构 (如数字认证中心) 颁发的，用于认证密钥所有者的身份，同时也用于认证密钥的合法性。

    具体来说，数字证书包含两部分信息：私钥和公钥。私钥用于加密数据，公钥用于解密数据。数字证书的颁发者 (数字认证中心) 会在颁发数字证书之前，对密钥所有者进行身份认证，并颁发数字证书。数字证书中包含证书的有效期、证书序列号、私钥的哈希值等信息。

    当需要身份认证时，发送方会向接收方发送数字证书，接收方会用自己的私钥对数字证书进行哈希计算，并将其与证书中包含的哈希值进行比较。如果两个哈希值相等，则接收方可以确定数字证书是由可信的第三方机构颁发的，并且密钥所有者的身份是合法的。

    基于数字证书的身份认证机制可以有效地解决非对称加密中的身份认证问题，使得密钥所有者能够安全地使用密钥进行数据加密和解密操作。

8. 如何解决公钥身份认证问题？

在公钥加密中，公钥的身份认证问题是一种常见的挑战。由于公钥是用于加密和解密数据的，因此确保公钥的真实性和合法性非常重要。以下是几种解决公钥身份认证问题的方法:

1. 公钥证书：公钥证书是数字证书的一种类型，用于认证公钥的身份。公钥证书由可信的第三方机构颁发，证书中包含公钥的哈希值、证书序列号、颁发者的名字等信息。接收者可以使用证书中包含的公钥对数据进行加密，只有拥有该公钥的人才能理解加密的数据。
2. 私钥签名：私钥签名是一种基于私钥的身份认证方法。签名的目的是验证私钥的真实性和合法性。发送者可以使用发送者的私钥对数据进行签名，接收者可以使用接收者的公钥对签名进行验证。如果签名验证通过，则可以确定数据是由发送者签名的。
3. 数字签名：数字签名是一种基于数字证书的身份认证方法。数字签名可以确保数据的真实性和完整性，并且可以验证数据的来源和完整性。数字签名可以用于电子邮件、文件传输、网络通信等领域。
4. 公钥加密：公钥加密是一种基于公钥的身份认证方法。发送者可以使用发送者的公钥对数据进行加密，接收者可以使用接收者的私钥对加密的数据进行解密。这种方法可以确保数据在传输过程中的安全性和隐私性。

9. 简述SSL工作过程

SSL(Secure Sockets Layer) 是一种用于保障网络通信安全性的加密协议。下面是 SSL 工作过程的简要概述:

1. 客户端向服务器发起请求。客户端发起一个 HTTP 请求，请求数据通过 HTTPS 协议传输。
2. 服务器验证客户端证书。服务器验证客户端发送的证书，确保客户端是由服务器信任的。如果证书有效，服务器会返回一个状态码，告诉客户端可以开始传输数据。
3. 客户端生成随机密钥。客户端生成一个随机密钥，并用服务器的公钥进行加密，然后将加密后的密钥发送给服务器。
4. 服务器验证客户端密钥。服务器验证客户端发送的密钥，确保密钥是有效的。如果密钥有效，服务器会返回一个状态码，告诉客户端可以开始传输数据。
5. 客户端和服务器使用对称密钥进行加密。客户端和服务器都拥有了相同的随机密钥，现在可以使用对称密钥进行加密和解密数据。
6. 数据传输。客户端和服务器之间传输的数据都是经过加密的，确保数据在传输过程中的安全性和隐私性。
7. 客户端和服务器断开连接。当客户端和服务器之间的连接结束时，双方会释放所占用的密钥。