第六章：传输层安全

1.Web安全需求，安全威胁(以地域分)(P134,表6.1)

安全威胁(以地域分)：

• Web服务器
• 浏览器
• 浏览器和服务器之间的网络通信

2.SSL体系结构，工作层次，四个协议的各自功能作用(P137-149)【黑体】

SSL使用TCP提供一种可靠的端对端安全服务，它不是单个协议，由两层协议组成。可以看做其工作于应用层之下，传输层之上。

• SSL握手协议：允许客户端和服务器相互认证，并协商加密和MAC算法，以及用于保护数据使用的密钥通过SSL记录传输。
• SSL修改密码规格协议：只包含一条信息，使得挂起状态改变为当前状态，用于更新此连接使用的密码套件。
• SSL报警协议：将SSL相关的警报传达给对等实体。
• SSL记录协议：为SSL连接提供机密性和消息完整性服务。

3.HTTPS所加密的元素，密钥谁生成？谁发证书？如何交换密钥？主通信是对称或非对称加密体系？那些元素被加密？(P150)

• 被加密的元素：
  （1）要求文件的URL
  （2）文件的内容
  （3）浏览器表单的内容（由浏览器的使用者填写）
  （4）从浏览器发送到服务器和从服务器发送到浏览器的Cookie
  （5）HTTP报头的内容

4.SSH的服务、功能，工作层次，三个通信协议组成(P151)【黑体】