资源简介

(共44张PPT)
第1单元 第3课
信息传输保安全
——Web 安全协议
（清华大学版）七年级
下
1
核心素养目标
3
新知讲解
5
拓展延伸
7
板书设计
2
新知导入
4
课堂练习
6
课堂总结
课后作业
8
01
核心素养目标
信息意识
计算思维
数字化学习与创新
信息社会责任
通过学习HTTP安全保障能意识到要保护自己的数据，知道如何保障通信安全，还要对他人的数据隐私和安全负责。
利用数字化工具深入了解如TLS、HTTPS、数字签名等协议的实现原理，通过创新不断完善现有安全措施，应对新型的安全威胁。
通过学习本课内容，理解网络通信中的各类安全问题，了解HTTP 的缺陷，以便进行合理的安全设计和检测。
意识到互联网数据的安全性问题，了解防止数据泄露、身份盗用等网络安全事件，明确HTTPS有怎样的发展趋势。
02
新知导入
本课中你将学习：
HTTP 存在怎样的缺陷
HTTPS 如何保障通信安全
HTTPS 会有怎样的发展趋势
02
新知导入
在信息安全领域，我们可能会更加关注数据的存储环境，而相对容易忽略数据的传输过程。加强信息存储的安全性，是为了防范“小偷人室盗窃”及其他意外的灾难性事件。而加强信息传输安全，则主要是为了防止“强盗半路抢劫”。
02
新知导入
03
新知讲解
一、HTTP 的缺陷
HTTP(hypertext transfer protocol，超文本传输协议)是万维网的基石主要用来支持 HTML、图片与文本等数据的传输。但它只是一份简单的传输协议，没有考虑到传输安全方面的问题，并存在使用明文通信、没有检验身份及无法验证报文完整性等缺陷。
03
新知讲解
1.使用明文通信的尴尬
因为 HTTP 本身不具备加密的功能，所以无法对通信内容进行加密，只能使用明文方式进行传输。所谓明文，就是没有经过加密的文字或字符串。在网络中进行明文通信，就像是没有信封的信纸，谁都可以阅读上面的内容。因此，传输过程中极易被他人截取，从而造成隐私泄露。
03
新知讲解
阅读
在浏览网站时，如果出现类似如图1.3.1所示的安全提示，说明该网站是基于 HTTP 协议进行明文传输的，浏览器因此提醒用户存在风险。
图 1.3.1 浏览器对采用 HTTP 协议网站地址的风险提示
03
新知讲解
2.没有检验身份的危害
HTTP 并没有规定，客户端与服务器在通信前，都要先检验对方的身份。因此，服务器的大门向所有人敞开，任何人都可以向其发起请求服务，而服务器则在收到请求之后，必须返回响应，如图 1.3.2所示。
图 1.3.2来者不拒的服务器
03
新知讲解
如果有恶意的客户端不停地发出大量虚假的请求服务，那么服务器就有可能因此而瘫痪。这就像是店家被一群貌似顾客却不购物的人骚扰，而无法正常营业那样。客户端的请求信息也有可能被网址相似、界面相同的伪装服务器截取，就像是顾客误人了一家卖假货的商店，而被骗了钱财那样。
03
新知讲解
阅读
如果出现如图 1.3.3 所示的安全提示，说明浏览器正在提醒用户该连接的身份认证并没有通过。
图1.3.3 浏览器对未进行身份认证网站的风险提示
03
新知讲解
3.无法验证报文完整性的危险
由于 TCP/P(传输控制协议/网际协议)采用分组交换模式，各个数据包要经历多个网络节点的存储和转发，才能重新组装成报文。但 HTTP无法验证组装后报文的完整性。无论是服务器还是客户端，都不能确定自已收到的内容是不是真的来自对方，因为数据包可能被网络中的不良节点所篡改，也就是受到所谓的“中间人攻击”。
03
新知讲解
如图 1.3.4 所示，攻击者作为“中间人”，可以秘密地介人网络信息的交换过程，自由地窃听甚至篡改信息流，而发送者与接收者却毫不知情都认为自己是在直接与对方通信。
图 1.3.4 “中间人攻击”
03
新知讲解
阅读
公共 Wi-Fi 是最容易发生“中间人攻击”的场所。因为黑客可以通过该节点来窃取通信内容，所以要尽可能避免使用。如果必须使用，请开启浏览器的网络安全性选项与防火墙。
03
新知讲解
探 索
尝试使用不同的浏览器访问一个基于 HTTP 的网站，观察浏览器会给出哪些风险提示信息。
“连接不安全”警告：大部分现代浏览器（如Chrome）会在地址栏显示一个警告，标明该网站的连接不安全。比如，它会显示“非安全”或“无加密连接”的提示，特别是在用户输入敏感数据时（如登录凭证、支付信息等）。
“您的连接不是私密连接”：如果HTTP网站试图加载第三方资源（如图片、广告等）或表单数据提交，这个警告会更加突出，提醒用户注意。
03
新知讲解
二、HTTPS 的改进
HTTPS(hypertext transfer protocol secure，超文本传输安全协议)是在HTTP 的基础上，再按照 SSL/TLS(安全套接层协议/传输层安全协议)对信息传输进行加密的一系列规定，如图1.3.5 所示。
图1.3.5 HTTPS
03
新知讲解
由于 SSL/TLS 提供了加密传输、身份认证与证书验证、数字名等机制，因此 HTTPS 被广泛地应用于金融交易、在线支付等安全性要求较高的领域。
03
新知讲解
阅读
SSL是一种为网络通信安全与数据完整性提供保障的安全协议，它对 TCP/IP 的网络连接进行加密。TLS则是SSL3.0的后继版本，主要目的是让 SSI更加安全，使协议规范更加精确与完善。
03
新知讲解
1.身份认证与证书验证
HTTPS 规定，客户端与服务器都要各自向第三方机构申请类似身份证和营业执照的CA 证书，以确保双方真实的身份。在通信确认前，还要进行证书验证，以确保合法性，否则浏览器就会弹出 HTTPS 证书不可信的警告，如图 1.3.6所示。
图 1.3.6 浏览器出现 HTTPS 证书不可信的警告
03
新知讲解
这好比顾客进人烟酒销售店，需要先检查店家的营业执照与销售许可证，以确保不会买到假货:而店家也有可能要求检查顾客的身份证，以确认其是否到了法定购买的年龄。
03
新知讲解
阅读
CA 证书是指由数字证书管理机构签发的各种证书。数字证书管理机构(certificate authority，CA)是一家可信任的第三方机构，主要负责验证网站的真实性和合法性。
03
新知讲解
阅读
SSL证书是众多 CA 证书的一种，主要作用是实现数据加密传输和服务认证，能有效防止隐私信息被窃取和篡改，防止钓鱼网站仿冒和流量劫持。安装SSL证书网站的网址前级会变成https。
03
新知讲解
探 索
如图 1.3.7 所示，访问使用 HTTPS 的网站，并查看其SSI证书，以确认证书的颁发者、使用者与有效期等信息。
图1.3.7 网站上的 SSL证书信息
03
新知讲解
2.加密传输的通信过程
在通信前发送方需按照加密协议对信息进行加密，让其以密文形式在网络各节点间进行传输。接收方在收到之后，只有凭借正确的密钥才能对其解密。由于使用复杂的数学模型与密钥对信息进行加密，并且采用巧妙的密钥管理机制，所以即使黑客拦截到密文也无法破译。这种加密通信的机制与 HTTP 的明文传输，形成了鲜明的对比。
03
新知讲解
3.防止篡改的数字签名
数字签名是一种通过加密算法来实现对报文进行数字化签名的技术，它能够确保报文的真实性和完整性。这好比贴在信封口的签名封条，可以帮助接收方根据签名来确认是否由发送方发出，以及是否存在途中被他人拆封过等情况。
03
新知讲解
三、HTTPS 的未来
虽然 HTTPS 已在构建互联网信息安全传输方面发挥至关重要的作用，但是大多数的中小网站仍然采用 HTTP。究其原因，主要有两点:一是HTTPS 多了加密与解密环节，增加了信息处理与传输时间，进而影响到网络通信的效率;二是 HTTPS 引人了 CA 证书，因其大多要收费，从而增加了网站的运营成本。
03
新知讲解
因此，HTTPS面临着普及推广、技术升级与加强监管等方面的挑战，未来需要做如图 1.3.8所示的发展，才能进一步保障网络通信的安全。
图1.3.8 HTTPS 的未来发展
03
新知讲解
挑战
访问自己的电子邮箱服务器。在输入用户名与密码时，使用类似如图 1.3.9 所示的抓包工具，观察网络数据传输情况，并与同学进行分享。
图1.39 使用抓包工具观察网络数据传输
04
课堂练习
一、选择题
1、HTTPS协议使用的加密算法主要是：
A.对称加密 B.非对称加密 C.混合加密 D.哈希算法
2、以下哪种攻击方法是针对HTTP协议的安全漏洞进行的？
A.DDoS攻击
B.SQL注入
C.中间人攻击
D.物理破坏
3、HTTP协议的主要缺陷是：
A.数据加密 B.安全性差 C.数据传输效率低 D.兼容性差
C
C
B
04
课堂练习
HTTP和HTTPS的主要区别在于：
A.HTTPS使用SSL/TLS加密传输
B.HTTP更快
C.HTTPS不需要证书
D.HTTP支持移动设备
二、判断题
HTTPS协议使用SSL/TLS协议来加密数据，提高传输的安全性。（ ）
中间人攻击（MITM）可以通过使用HTTPS协议来防止。（ ）
HTTP请求中的Cookie无法被窃取。（ ）
A
√
X
√
04
课堂练习
三、操作题
编写一个简单的Web应用，模拟中间人攻击，展示HTTP通信中如何暴露敏感信息，并通过切换到HTTPS协议防止此类攻击。
05
拓展延伸
Web安全漏洞与防护技术
跨站脚本（XSS）：攻击者将恶意脚本注入到网页中，当其他用户访问该页面时，恶意脚本会被执行，通常用于窃取用户的cookies、会话信息等。防护措施包括：
使用`Content-Security-Policy`（CSP）HTTP头限制允许加载的脚本来源。
对用户输入进行过滤和转义，避免执行恶意脚本。
05
拓展延伸
Web安全漏洞与防护技术
跨站请求伪造（CSRF）：攻击者伪造用户请求，诱使用户执行不想执行的操作。防护措施包括：
使用CSRF Token，确保每次请求都有独立的验证标识。
在重要操作时（如资金转账、密码修改等），要求用户输入验证码。
05
拓展延伸
Web安全漏洞与防护技术
SQL注入（SQLi）：攻击者通过输入恶意SQL代码，篡改后台数据库或窃取数据。防护措施包括：
使用参数化查询（Prepared Statements），避免直接拼接SQL语句。
对用户输入进行严格的验证和过滤，防止恶意SQL代码注入。
05
拓展延伸
HTTP/2 和 HTTP/3
HTTP/2是HTTP协议的改进版，主要优势包括：
多路复用：允许在同一个TCP连接上并行发送多个请求和响应，减少了HTTP/1.x中请求和响应的延迟。
头部压缩：通过HPACK算法对请求和响应头进行压缩，减少了带宽消耗。
服务器推送：服务器可以主动将资源推送给客户端，避免了重复请求。
05
拓展延伸
HTTP/2 和 HTTP/3
HTTP/3基于QUIC协议（Quick UDP Internet Connections），与HTTP/2相比，HTTP/3引入了更高效的连接方式，具有以下优点：
基于UDP：相比TCP，UDP具有更低的延迟，尤其在网络不稳定时，能够有效减少数据传输的延迟。
更快速的连接建立：通过QUIC协议，HTTP/3可以更快速地建立连接，减少了传统TCP连接中的三次握手过程。
更强的抗丢包能力：由于QUIC协议内置了多路复用和流控制机制，它比HTTP/2更加能够应对网络中丢包或丢失数据包的情况，提高了传输的稳定性。
05
拓展延伸
数字证书和公钥基础设施（PKI）
PKI（Public Key Infrastructure，公钥基础设施）是一种使用公钥和私钥加密技术来保障通信安全的框架。它通常包括以下几个重要组成部分：
公钥和私钥：公钥用于加密数据，私钥用于解密数据。只有持有私钥的用户才能解密通过其公钥加密的数据。
数字证书：这是由受信任的证书颁发机构（CA）签发的电子文档，证明持有者的公钥与其身份关联。
证书颁发机构（CA）：负责颁发数字证书并验证用户身份的组织。
05
拓展延伸
数字证书和公钥基础设施（PKI）
数字证书用于身份验证（如通过HTTPS进行安全通信时，验证网站的身份）和加密数据传输（如SSL/TLS协议）。要实现安全的身份验证和数据加密，需要：
1. 网站的服务器申请并安装数字证书。
2. 客户端（如浏览器）通过证书验证服务器的身份。
3. 使用对称密钥加密进行数据交换，同时通过公钥加密和私钥解密的方式进行密钥交换。
06
课堂总结
1
引入新知内容
信息传输保安全——Web 安全协议
2
认识HTTP 的缺陷
3
学习HTTPS 的改进
4
学习HTTPS 的未来
5
进行知识拓展
1
2
3
4
5
07
板书设计
信息传输保安全——Web 安全协议
1、进行新知引入
2、认识HTTP 的缺陷
3、学习HTTPS 的改进
4、学习HTTPS 的未来
5、进行知识拓展
课后作业
1、总结最新的Web安全协议的作用。
2、撰写对比报告。
08
课后作业
1、查阅并总结最新的Web安全协议（如HTTP/2, HTTP/3）的发展及其在网络安全中的作用。
2、通过对比HTTP和HTTPS协议，写一篇500字的报告，分析它们在数据安全方面的差异，及如何利用HTTPS提升网站安全性。
https://www.21cnjy.com/recruitment/home/fine

展开更多......

收起↑