资源简介

中小学教育资源及组卷应用平台
第3课《信息传输保安全—Web 安全协议》教学设计
课题 信息传输保安全—Web 安全协议 单元 第一元 学科 信息科技 年级 七年级下
核心素养目标 信息意识：意识到互联网数据的安全性问题，了解防止数据泄露、身份盗用等网络安全事件，明确HTTPS有怎样的发展趋势。计算思维：通过学习本课内容，理解网络通信中的各类安全问题，了解HTTP 的缺陷，以便进行合理的安全设计和检测。数字化学习与创新：利用数字化工具深入了解如TLS、HTTPS、数字签名等协议的实现原理，通过创新不断完善现有安全措施，应对新型的安全威胁。信息社会责任：通过学习HTTP安全保障能意识到要保护自己的数据，知道如何保障通信安全，还要对他人的数据隐私和安全负责。
教学重点 1、能够辩证的看待HTTP，学习HTTP协议相关知识点。
教学难点 1、能够对HTTP的缺陷进行安全防范以及明确HTTPS 的未来发展趋势。
教学过程
教学环节 教师活动 学生活动 设计意图
导入新课 板书课题。本课中你将学习HTTP 存在怎样的缺陷HTTPS 如何保障通信安全HTTPS 会有怎样的发展趋势在信息安全领域，我们可能会更加关注数据的存储环境，而相对容易忽略数据的传输过程。加强信息存储的安全性，是为了防范“小偷人室盗窃”及其他意外的灾难性事件。而加强信息传输安全，则主要是为了防止“强盗半路抢劫”。观看教学视频 学习新知引入，观看教学视频。 用提问的方式引入课题，增强课堂互动性。将学生的注意吸引到课堂。
讲授新课 新知讲解一、 HTTP 的缺陷HTTP(hypertext transfer protocol，超文本传输协议)是万维网的基石主要用来支持 HTML、图片与文本等数据的传输。但它只是一份简单的传输协议，没有考虑到传输安全方面的问题，并存在使用明文通信、没有检验身份及无法验证报文完整性等缺陷。1.使用明文通信的尴尬因为 HTTP 本身不具备加密的功能，所以无法对通信内容进行加密，只能使用明文方式进行传输。所谓明文，就是没有经过加密的文字或字符串。在网络中进行明文通信，就像是没有信封的信纸，谁都可以阅读上面的内容。因此，传输过程中极易被他人截取，从而造成隐私泄露。阅读在浏览网站时，如果出现类似如图1.3.1所示的安全提示，说明该网站是基于 HTTP 协议进行明文传输的，浏览器因此提醒用户存在风险。2.没有检验身份的危害HTTP 并没有规定，客户端与服务器在通信前，都要先检验对方的身份。因此，服务器的大门向所有人敞开，任何人都可以向其发起请求服务，而服务器则在收到请求之后，必须返回响应，如图 1.3.2所示。如果有恶意的客户端不停地发出大量虚假的请求服务，那么服务器就有可能因此而瘫痪。这就像是店家被一群貌似顾客却不购物的人骚扰，而无法正常营业那样。客户端的请求信息也有可能被网址相似、界面相同的伪装服务器截取，就像是顾客误人了一家卖假货的商店，而被骗了钱财那样。阅读如果出现如图 1.3.3 所示的安全提示，说明浏览器正在提醒用户该连接的身份认证并没有通过。3.无法验证报文完整性的危险由于 TCP/P(传输控制协议/网际协议)采用分组交换模式，各个数据包要经历多个网络节点的存储和转发，才能重新组装成报文。但 HTTP无法验证组装后报文的完整性。无论是服务器还是客户端，都不能确定自已收到的内容是不是真的来自对方，因为数据包可能被网络中的不良节点所篡改，也就是受到所谓的“中间人攻击”。如图 1.3.4 所示，攻击者作为“中间人”，可以秘密地介人网络信息的交换过程，自由地窃听甚至篡改信息流，而发送者与接收者却毫不知情都认为自己是在直接与对方通信。阅读公共 Wi-Fi 是最容易发生“中间人攻击”的场所。因为黑客可以通过该节点来窃取通信内容，所以要尽可能避免使用。如果必须使用，请开启浏览器的网络安全性选项与防火墙。探索尝试使用不同的浏览器访问一个基于 HTTP 的网站，观察浏览器会给出哪些风险提示信息。“连接不安全”警告：大部分现代浏览器（如Chrome）会在地址栏显示一个警告，标明该网站的连接不安全。比如，它会显示“非安全”或“无加密连接”的提示，特别是在用户输入敏感数据时（如登录凭证、支付信息等）。“您的连接不是私密连接”：如果HTTP网站试图加载第三方资源（如图片、广告等）或表单数据提交，这个警告会更加突出，提醒用户注意。二、 HTTPS 的改进HTTPS(hypertext transfer protocol secure，超文本传输安全协议)是在HTTP 的基础上，再按照 SSL/TLS(安全套接层协议/传输层安全协议)对信息传输进行加密的一系列规定，如图1.3.5 所示。由于 SSL/TLS 提供了加密传输、身份认证与证书验证、数字名等机制，因此 HTTPS 被广泛地应用于金融交易、在线支付等安全性要求较高的领域。阅读SSL是一种为网络通信安全与数据完整性提供保障的安全协议，它对 TCP/IP 的网络连接进行加密。TLS则是SSL3.0的后继版本，主要目的是让 SSI更加安全，使协议规范更加精确与完善。1.身份认证与证书验证HTTPS 规定，客户端与服务器都要各自向第三方机构申请类似身份证和营业执照的CA 证书，以确保双方真实的身份。在通信确认前，还要进行证书验证，以确保合法性，否则浏览器就会弹出 HTTPS 证书不可信的警告，如图 1.3.6所示。这好比顾客进人烟酒销售店，需要先检查店家的营业执照与销售许可证，以确保不会买到假货:而店家也有可能要求检查顾客的身份证，以确认其是否到了法定购买的年龄。阅读CA 证书是指由数字证书管理机构签发的各种证书。数字证书管理机构(certificate authority，CA)是一家可信任的第三方机构，主要负责验证网站的真实性和合法性。 SSL证书是众多 CA 证书的一种，主要作用是实现数据加密传输和服务认证，能有效防止隐私信息被窃取和篡改，防止钓鱼网站仿冒和流量劫持。安装SSL证书网站的网址前级会变成HTTPS。探索如图 1.3.7 所示，访问使用 HTTPS 的网站，并查看其SSI证书，以确认证书的颁发者、使用者与有效期等信息。2.加密传输的通信过程在通信前发送方需按照加密协议对信息进行加密，让其以密文形式在网络各节点间进行传输。接收方在收到之后，只有凭借正确的密钥才能对其解密。由于使用复杂的数学模型与密钥对信息进行加密，并且采用巧妙的密钥管理机制，所以即使黑客拦截到密文也无法破译。这种加密通信的机制与 HTTP 的明文传输，形成了鲜明的对比。3.防止篡改的数字签名数字签名是一种通过加密算法来实现对报文进行数字化签名的技术，它能够确保报文的真实性和完整性。这好比贴在信封口的签名封条，可以帮助接收方根据签名来确认是否由发送方发出，以及是否存在途中被他人拆封过等情况。三、 HTTPS 的未来虽然 HTTPS 已在构建互联网信息安全传输方面发挥至关重要的作用，但是大多数的中小网站仍然采用 HTTP。究其原因，主要有两点:一是HTTPS 多了加密与解密环节，增加了信息处理与传输时间，进而影响到网络通信的效率;二是 HTTPS 引人了 CA 证书，因其大多要收费，从而增加了网站的运营成本。因此，HTTPS面临着普及推广、技术升级与加强监管等方面的挑战，未来需要做如图 1.3.8所示的发展，才能进一步保障网络通信的安全。挑战访问自己的电子邮箱服务器。在输入用户名与密码时，使用类似如图 1.3.9 所示的抓包工具，观察网络数据传输情况，并与同学进行分享。四、课堂练习完成PPT30—32课堂作业。五、拓展延伸1、 Web安全漏洞与防护技术跨站脚本（XSS）：攻击者将恶意脚本注入到网页中，当其他用户访问该页面时，恶意脚本会被执行，通常用于窃取用户的cookies、会话信息等。防护措施包括：使用`Content-Security-Policy`（CSP）HTTP头限制允许加载的脚本来源。对用户输入进行过滤和转义，避免执行恶意脚本。跨站请求伪造（CSRF）：攻击者伪造用户请求，诱使用户执行不想执行的操作。防护措施包括：使用CSRF Token，确保每次请求都有独立的验证标识。在重要操作时（如资金转账、密码修改等），要求用户输入验证码。SQL注入（SQLi）：攻击者通过输入恶意SQL代码，篡改后台数据库或窃取数据。防护措施包括：使用参数化查询（Prepared Statements），避免直接拼接SQL语句。对用户输入进行严格的验证和过滤，防止恶意SQL代码注入。2、 HTTP/2 和 HTTP/3HTTP/2是HTTP协议的改进版，主要优势包括：多路复用：允许在同一个TCP连接上并行发送多个请求和响应，减少了HTTP/1.x中请求和响应的延迟。头部压缩：通过HPACK算法对请求和响应头进行压缩，减少了带宽消耗。服务器推送：服务器可以主动将资源推送给客户端，避免了重复请求。HTTP/3基于QUIC协议（Quick UDP Internet Connections），与HTTP/2相比，HTTP/3引入了更高效的连接方式，具有以下优点：基于UDP：相比TCP，UDP具有更低的延迟，尤其在网络不稳定时，能够有效减少数据传输的延迟。更快速的连接建立：通过QUIC协议，HTTP/3可以更快速地建立连接，减少了传统TCP连接中的三次握手过程。更强的抗丢包能力：由于QUIC协议内置了多路复用和流控制机制，它比HTTP/2更加能够应对网络中丢包或丢失数据包的情况，提高了传输的稳定性。3、数字证书和公钥基础设施（PKI）PKI（Public Key Infrastructure，公钥基础设施）是一种使用公钥和私钥加密技术来保障通信安全的框架。它通常包括以下几个重要组成部分：公钥和私钥：公钥用于加密数据，私钥用于解密数据。只有持有私钥的用户才能解密通过其公钥加密的数据。数字证书：这是由受信任的证书颁发机构（CA）签发的电子文档，证明持有者的公钥与其身份关联。证书颁发机构（CA）：负责颁发数字证书并验证用户身份的组织。数字证书用于身份验证（如通过HTTPS进行安全通信时，验证网站的身份）和加密数据传输（如SSL/TLS协议）。要实现安全的身份验证和数据加密，需要：1. 网站的服务器申请并安装数字证书。2. 客户端（如浏览器）通过证书验证服务器的身份。3. 使用对称密钥加密进行数据交换，同时通过公钥加密和私钥解密的方式进行密钥交换。 学习HTTP的缺陷。学习阅读内容。完成阅读学习。学习更多HTTP的危险情况。完成探索。学习HTTP协议的改进。完成阅读讲解。认识http协议的证书警告。完成探索内容。学习HTTP未来的发展趋势。进行课堂挑战。完成课堂练习。进行课外知识拓展。 引导学生了解http的缺陷，明确本课的主要研究内容。在老师的引导下逐步学习HTTP的缺陷内容以及常见的危险情况，以应对如何安全防范。拓宽知识面。在老师的引导下尽量详细的认识HTTP容易出现的各种危险情况，加深所学知识内容。完成课堂互动，在思考中强化所学。引导学生学习HTTP协议的改进，帮助学生更好的理解相关知识点，培养学生思考能力和学习能力。了解ssl。引导学生完成知识点内容。引导学生在探索中强化知识点，让知识点更生动形象易于理解。提高学生的学习能力，提高学生解决问题的能力。引导学生学习HTTP协议的未来发展方向，更加全面立体的认识HTTP相关知识点。考察学生的思考能力和学以致用的能力，调动课题参与性。在课堂练习中强化所学知识内容。拓宽学生知识面。
课堂小结 信息传输保安全—Web 安全协议1、进行新知引入2、认识HTTP 的缺陷3、学习HTTPS 的改进4、学习HTTPS 的未来5、进行知识拓展 总结回顾 对本节课内容进行总结概括。
课后作业 1、查阅并总结最新的Web安全协议（如HTTP/2, HTTP/3）的发展及其在网络安全中的作用。2、通过对比HTTP和HTTPS协议，写一篇500字的报告，分析它们在数据安全方面的差异，及如何利用HTTPS提升网站安全性。 布置作业 拓展学生的学习能力
课堂板书 观看板书 强调教学重点内容。
21世纪教育网 www.21cnjy.com 精品试卷·第 2 页 （共 2 页）
HYPERLINK "http://www.21cnjy.com/" 21世纪教育网(www.21cnjy.com)

展开更多......

收起↑