[Android进阶]之深刻了解通讯协议:http、TCP/IP协议与socket之间的区别

时间 2020-06-29 标签 android 进阶深刻了解通讯协议 http tcp socket 之间区别

http、TCP/IP协议与socket之间的区别

网络由下往上分为:

物理层--

数据链路层--

网络层-- IP协议

传输层-- TCP协议

会话层--

表示层和应用层-- HTTP协议

一、TCP/IP链接

手机可以使用联网功能是由于手机底层实现了TCP/IP协议，可使手机终端经过无线网络创建TCP链接。TCP协议能够对上层网络提供接口，使上层网络数据的传输创建在“无差异”的网络之上。

创建起一个TCP链接须要通过“三次握手”：

第一次握手：客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时本身也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

握手过程当中传送的包里不包含数据，三次握手完毕后，客户端与服务器才正式开始传送数据。理想状态下，TCP链接一旦创建，在通讯双方中的任何一方主动关闭链接以前，TCP 链接都将被一直保持下去。断开链接时服务器和客户端都可以主动发起断开TCP链接的请求，断开过程须要通过“四次握手”（过程就不细写了，就是服务器和客户端交互，最终肯定断开）.

二、HTTP链接

HTTP协议即超文本传送协议(Hypertext Transfer Protocol )，是Web联网的基础，也是手机联网经常使用的协议之一，HTTP协议是创建在TCP协议之上的一种应用。

HTTP链接最显著的特色是客户端发送的每次请求都须要服务器回送响应，在请求结束后，会主动释放链接。从创建链接到关闭链接的过程称为“一次链接”。

1）在HTTP 1.0中，客户端的每次请求都要求创建一次单独的链接，在处理完本次请求后，就自动释放链接。

2）在HTTP 1.1中则能够在一次链接中处理多个请求，而且多个请求能够重叠进行，不须要等待一个请求结束后再发送下一个请求。

因为HTTP在每次请求结束后都会主动释放链接，所以HTTP链接是一种“短链接”，要保持客户端程序的在线状态，须要不断地向服务器发起链接请求。一般的作法是即时不须要得到任何数据，客户端也保持每隔一段固定的时间向服务器发送一次“保持链接”的请求，服务器在收到该请求后对客户端进行回复，代表知道客户端“在线”。若服务器长时间没法收到客户端的请求，则认为客户端“下线”，若客户端长时间没法收到服务器的回复，则认为网络已经断开。

三、SOCKET原理

3.1套接字（socket）概念

套接字（socket）是通讯的基石，是支持TCP/IP协议的网络通讯的基本操做单元。它是网络通讯过程当中端点的抽象表示，包含进行网络通讯必须的五种信息：链接使用的协议，本地主机的IP地址，本地进程的协议端口，远地主机的IP地址，远地进程的协议端口。

应用层经过传输层进行数据通讯时，TCP会遇到同时为多个应用程序进程提供并发服务的问题。多个TCP链接或多个应用程序进程可能须要经过同一个 TCP协议端口传输数据。为了区别不一样的应用程序进程和链接，许多计算机操做系统为应用程序与TCP／IP协议交互提供了套接字(Socket)接口。应用层能够和传输层经过Socket接口，区分来自不一样应用程序进程或网络链接的通讯，实现数据传输的并发服务。

3.2 创建socket链接

创建Socket链接至少须要一对套接字，其中一个运行于客户端，称为ClientSocket ，另外一个运行于服务器端，称为ServerSocket 。

套接字之间的链接过程分为三个步骤：服务器监听，客户端请求，链接确认。

服务器监听：服务器端套接字并不定位具体的客户端套接字，而是处于等待链接的状态，实时监控网络状态，等待客户端的链接请求。

客户端请求：指客户端的套接字提出链接请求，要链接的目标是服务器端的套接字。为此，客户端的套接字必须首先描述它要链接的服务器的套接字，指出服务器端套接字的地址和端口号，而后就向服务器端套接字提出链接请求。

链接确认：当服务器端套接字监听到或者说接收到客户端套接字的链接请求时，就响应客户端套接字的请求，创建一个新的线程，把服务器端套接字的描述发给客户端，一旦客户端确认了此描述，双方就正式创建链接。而服务器端套接字继续处于监听状态，继续接收其余客户端套接字的链接请求。

四、SOCKET链接与TCP/IP链接

建立Socket链接时，能够指定使用的传输层协议，Socket能够支持不一样的传输层协议（TCP或UDP），当使用TCP协议进行链接时，该Socket链接就是一个TCP链接。

socket则是对TCP/IP协议的封装和应用（程序员层面上）。也能够说，TPC/IP协议是传输层协议，主要解决数据如何在网络中传输，而HTTP是应用层协议，主要解决如何包装数据。关于TCP/IP和HTTP协议的关系，网络有一段比较容易理解的介绍：

“咱们在传输数据时，能够只使用（传输层）TCP/IP协议，可是那样的话，如果没有应用层，便没法识别数据内容，若是想要使传输的数据有意义，则必须使用到应用层协议，应用层协议有不少，好比HTTP、FTP、TELNET等，也能够本身定义应用层协议。WEB使用HTTP协议做应用层协议，以封装HTTP文本信息，而后使用TCP/IP作传输层协议将它发到网络上。”

咱们平时说的最多的socket是什么呢，实际上socket是对TCP/IP协议的封装，Socket自己并非协议，而是一个调用接口（API），经过Socket，咱们才能使用TCP/IP协议。实际上，Socket跟TCP/IP协议没有必然的联系。Socket编程接口在设计的时候，就但愿也能适应其余的网络协议。因此说，Socket的出现只是使得程序员更方便地使用TCP/IP协议栈而已，是对TCP/IP协议的抽象，从而造成了咱们知道的一些最基本的函数接口，好比create、 listen、connect、accept、send、read和write等等。网络有一段关于socket和TCP/IP协议关系的说法比较容易理解：

“TCP/IP只是一个协议栈，就像操做系统的运行机制同样，必需要具体实现，同时还要提供对外的操做接口。这个就像操做系统会提供标准的编程接口，好比win32编程接口同样，TCP/IP也要提供可供程序员作网络开发所用的接口，这就是Socket编程接口。”

实际上，传输层的TCP是基于网络层的IP协议的，而应用层的HTTP协议又是基于传输层的TCP协议的，而Socket自己不算是协议，就像上面所说，它只是提供了一个针对TCP或者UDP编程的接口。socket是对端口通讯开发的工具,它要更底层一些.

五、Socket链接与HTTP链接

因为一般状况下Socket链接就是TCP链接，所以Socket链接一旦创建，通讯双方便可开始相互发送数据内容，直到双方链接断开。但在实际网络应用中，客户端到服务器之间的通讯每每须要穿越多个中间节点，例如路由器、网关、防火墙等，大部分防火墙默认会关闭长时间处于非活跃状态的链接而致使 Socket 链接断连，所以须要经过轮询告诉网络，该链接处于活跃状态。

而HTTP链接使用的是“请求—响应”的方式，不只在请求时须要先创建链接，并且须要客户端向服务器发出请求后，服务器端才能回复数据。

不少状况下，须要服务器端主动向客户端推送数据，保持客户端与服务器数据的实时与同步。此时若双方创建的是Socket链接，服务器就能够直接将数据传送给客户端；若双方创建的是HTTP链接，则服务器须要等到客户端发送一次请求后才能将数据传回给客户端，所以，客户端定时向服务器端发送链接请求，不只能够保持在线，同时也是在“询问”服务器是否有新的数据，若是有就将数据传给客户端。

http协议是应用层的协义

有个比较形象的描述：HTTP是轿车，提供了封装或者显示数据的具体形式；Socket是发动机，提供了网络通讯的能力。

两个计算机之间的交流无非是两个端口之间的数据通讯,具体的数据会以什么样的形式展示`是以不一样的应用层协议来定义的`如HTTP`FTP`...

来源： http://www.2cto.com/net/201211/166537.html

TCP/IP SOCKET HTTP及HTTPS之间的关系及各自特性之总结

GET跟POST的区别：

get只能传送128K的数据
而post是无限制的

post提交是不在会IE上带上参数
就算你加密了别人也会解密
通常比较重要的数据经过post 传，由于get是别人能够改参数值的
别人乱写参数，你的异常报个不停

网络七层由下往上分别为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。html

其中物理层、数据链路层和网络层一般被称做媒体层，是网络工程师所研究的对象；程序员

传输层、会话层、表示层和应用层则被称做主机层，是用户所面向和关心的内容。算法

http协议对应于应用层数据库

tcp协议对应于传输层编程

ip协议对应于网络层浏览器

三者本质上没有可比性。况且HTTP协议是基于TCP链接的。缓存

TCP/IP是传输层协议，主要解决数据如何在网络中传输；而HTTP是应用层协议，主要解决如何包装数据。安全

咱们在传输数据时，能够只使用传输层（TCP/IP），可是那样的话，因为没有应用层，便没法识别数据内容，若是想要使传输的数据有意义，则必须使用应用层协议，应用层协议不少，有HTTP、FTP、TELNET等等，也能够本身定义应用层协议。WEB使用HTTP做传输层协议，以封装HTTP文本信息，而后使用TCP/IP作传输层协议将它发送到网络上。服务器

Socket是对TCP/IP协议的封装，Socket自己并非协议，而是一个调用接口（API），经过Socket，咱们才能使用TCP/IP协议。网络

Http和Socket链接区别

相信很多初学手机联网开发的朋友都想知道Http与Socket链接究竟有什么区别，但愿经过本身的浅显理解能对初学者有所帮助。

一、TCP链接

要想明白Socket链接，先要明白TCP链接。手机可以使用联网功能是由于手机底层实现了TCP/IP协议，可使手机终端经过无线网络创建TCP链接。TCP协议能够对上层网络提供接口，使上层网络数据的传输创建在“无差异”的网络之上。

创建起一个TCP链接须要通过“三次握手”：

第一次握手：客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时本身也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

二、HTTP链接

HTTP协议即超文本传送协议(Hypertext Transfer Protocol )，是Web联网的基础，也是手机联网经常使用的协议之一，HTTP协议是创建在TCP协议之上的一种应用。

1）在HTTP 1.0中，客户端的每次请求都要求创建一次单独的链接，在处理完本次请求后，就自动释放链接。

2）在HTTP 1.1中则能够在一次链接中处理多个请求，而且多个请求能够重叠进行，不须要等待一个请求结束后再发送下一个请求。

因为HTTP在每次请求结束后都会主动释放链接，所以HTTP链接是一种“短链接”，要保持客户端程序的在线状态，须要不断地向服务器发起链接请求。一般的作法是即时不须要得到任何数据，客户端也保持每隔一段固定的时间向服务器发送一次“保持链接”的请求，服务器在收到该请求后对客户端进行回复，代表知道客户端“在线”。若服务器长时间没法收到客户端的请求，则认为客户端“下线”，若客户端长时间没法收到服务器的回复，则认为网络已经断开。

三、SOCKET原理

3.1套接字（socket）概念

3.2 创建socket链接
创建Socket链接至少须要一对套接字，其中一个运行于客户端，称为ClientSocket ，另外一个运行于服务器端，称为ServerSocket 。

套接字之间的链接过程分为三个步骤：服务器监听，客户端请求，链接确认。

服务器监听：服务器端套接字并不定位具体的客户端套接字，而是处于等待链接的状态，实时监控网络状态，等待客户端的链接请求。

四、SOCKET链接与TCP链接

五、Socket链接与HTTP链接

而HTTP链接使用的是“请求—响应”的方式，不只在请求时须要先创建链接，并且须要客户端向服务器发出请求后，服务器端才能回复数据。

HTTP链接

HTTP是一个属于应用层的面向对象的协议，因为其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，通过几年的使用与发展，获得不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工做正在进行之中，并且HTTP-NG(Next Generation of HTTP)的建议已经提出.(协议，算是全球定位！）

WWW的核心——HTTP协议

众所周知，Internet的基本协议是TCP/IP协议，目前普遍采用的FTP、Archie Gopher等是创建在TCP/IP协议之上的应用层协议，不一样的协议对应着不一样的应用。WWW服务器使用的主要协议是HTTP协议，即超文体传输协议。因为HTTP协议支持的服务不限于WWW，还能够是其它服务，于是HTTP协议容许用户在统一的界面下，采用不一样的协议访问不一样的服务，如FTP、Archie、SMTP、NNTP等。另外，HTTP协议还可用于名字服务器和分布式对象管理。

2.1 HTTP协议简介
HTTP是一个属于应用层的面向对象的协议，因为其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，通过几年的使用与发展，获得不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的规范化工做正在进行之中，并且HTTP-NG(Next Generation of HTTP)的建议已经提出。
HTTP协议的主要特色可归纳以下：
1.支持客户/服务器模式。
2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法经常使用的有GET、HEAD, POST。每种方法规定了客户与服务器联系的类型不一样。因为HTTP协议简单，使得HTTP服务器的程序规模小，于是通讯速度很快。
3.灵活：HTTP容许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
4.无链接：无链接的含义是限制每次链接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开链接。采用这种方式能够节省传输时间。
5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺乏状态意味着若是后续处理须要前面的信息，则它必须重传，这样可能致使每次链接传送的数据量增大。另外一方面，在服务器不须要先前信息时它的应答就较快。

2.2 HTTP协议的几个重要概念
1.链接(Connection)：一个传输层的实际环流，它是创建在两个相互通信的应用程序之间。
2.消息(Message)：HTTP通信的基本单位，包括一个结构化的八元组序列并经过链接传输。
3.请求(Request)：一个从客户端到服务器的请求信息包括应用于资源的方法、资源的标识符和协议的版本号
4.响应(Response)：一个从服务器返回的信息包括HTTP协议的版本号、请求的状态(例如“成功”或“没找到”)和文档的MIME类型。
5.资源(Resource)：由URI标识的网络数据对象或服务。
6.实体(Entity)：数据资源或来自服务资源的回映的一种特殊表示方法，它可能被包围在一个请求或响应信息中。一个实体包括实体头信息和实体的自己内容。
7.客户机(Client)：一个为发送请求目的而创建链接的应用程序。
8.用户代理(User agent)：初始化一个请求的客户机。它们是浏览器、编辑器或其它用户工具。
9.服务器(Server)：一个接受链接并对请求返回信息的应用程序。
10.源服务器(Origin server)：是一个给定资源能够在其上驻留或被建立的服务器。
11.代理(Proxy)：一个中间程序，它能够充当一个服务器，也能够充当一个客户机，为其它客户机创建请求。请求是经过可能的翻译在内部或通过传递到其它的服务器中。一个代理在发送请求信息以前，必须解释而且若是可能重写它。
代理常常做为经过防火墙的客户机端的门户，代理还能够做为一个帮助应用来经过协议处理没有被用户代理完成的请求。
12.网关(Gateway)：一个做为其它服务器中间媒介的服务器。与代理不一样的是，网关接受请求就好象对被请求的资源来讲它就是源服务器；发出请求的客户机并无意识到它在同网关打交道。
网关常常做为经过防火墙的服务器端的门户，网关还能够做为一个协议翻译器以便存取那些存储在非HTTP系统中的资源。
13.通道(Tunnel)：是做为两个链接中继的中介程序。一旦激活，通道便被认为不属于HTTP通信，尽管通道多是被一个HTTP请求初始化的。当被中继的链接两端关闭时，通道便消失。当一个门户(Portal)必须存在或中介(Intermediary)不能解释中继的通信时通道被常用。
14.缓存(Cache)：反应信息的局域存储。

2.3 HTTP协议的运做方式
HTTP协议是基于请求／响应范式的。一个客户机与服务器创建链接后，发送一个请求给服务器，请求方式的格式为，统一资源标识符、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。
许多HTTP通信是由一个用户代理初始化的而且包括一个申请在源服务器上资源的请求。最简单的状况多是在用户代理(UA)和源服务器(O)之间经过一个单独的链接来完成(见图2-1)。

当一个或多个中介出如今请求／响应链中时，状况就变得复杂一些。中介由三种：代理(Proxy)、网关(Gateway)和通道(Tunnel)。

一个代理根据URI的绝对格式来接受请求，重写所有或部分消息，经过URI的标识把已格式化过的请求发送到服务器。

网关是一个接收代理，做为一些其它服务器的上层，而且若是必须的话，能够把请求翻译给下层的服务器协议。

一个通道做为不改变消息的两个链接之间的中继点。当通信须要经过一个中介(例如：防火墙等)或者是中介不能识别消息的内容时，通道常常被使用。图2-2
上面的图2-2代表了在用户代理(UA)和源服务器(O)之间有三个中介(A,B和C)。一个经过整个链的请求或响应消息必须通过四个链接段。这个区别是重要的，由于一些HTTP通信选择可能应用于最近的链接、没有通道的邻居，应用于链的终点或应用于沿链的全部链接。尽管图2-2是线性的，每一个参与者均可能从事多重的、并发的通信。例如，B可能从许多客户机接收请求而不经过A，而且／或者不经过C把请求送到A，在同时它还可能处理A的请求。
任何针对不做为通道的汇聚可能为处理请求启用一个内部缓存。缓存的效果是请求／响应链被缩短，条件是沿链的参与者之一具备一个缓存的响应做用于那个请求。下图说明结果链，其条件是针对一个未被UA或A加缓存的请求，B有一个通过C来自O的一个前期响应的缓存拷贝。
图2-3
在Internet上，HTTP通信一般发生在TCP/IP链接之上。缺省端口是TCP 80，但其它的端口也是可用的。但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。HTTP只预示着一个可靠的传输。
以上简要介绍了HTTP协议的宏观运做方式，下面介绍一下HTTP协议的内部操做过程。
首先，简单介绍基于HTTP协议的客户/服务器模式的信息交换过程，如图2-4所示，它分四个过程，创建链接、发送请求信息、发送响应信息、关闭链接。
图2-4

在WWW中，“客户”与“服务器”是一个相对的概念，只存在于一个特定的链接期间，即在某个链接中的客户在另外一个链接中可能做为服务器。WWW服务器运行时，一直在TCP80端口(WWW的缺省端口)监听，等待链接的出现。

下面，讨论HTTP协议下客户/服务器模式中信息交换的实现。

1.创建链接链接的创建是经过申请套接字(Socket)实现的。客户打开一个套接字并把它约束在一个端口上，若是成功，就至关于创建了一个虚拟文件。之后就能够在该虚拟文件上写数据并经过网络向外传送。
2.发送请求
打开一个链接后，客户机把请求消息送到服务器的停留端口上，完成提出请求动做。
HTTP/1.0 请求消息的格式为：
请求消息=请求行(通用信息|请求头|实体头) CRLF[实体内容]
请求行=方法请求URL HTTP版本号 CRLF
方法=GET|HEAD|POST|扩展方法
U R L=协议名称+宿主名+目录与文件名
请求行中的方法描述指定资源中应该执行的动做，经常使用的方法有GET、HEAD和POST。

不一样的请求对象对应GET的结果是不一样的，对应关系以下：
对象 GET的结果
文件文件的内容
程序该程序的执行结果
数据库查询查询结果
HEAD——要求服务器查找某对象的元信息，而不是对象自己。
POST——从客户机向服务器传送数据，在要求服务器和CGI作进一步处理时会用到POST方法。POST主要用于发送HTML文本中FORM的内容，让CGI程序处理。

一个请求的例子为：
GET http://networking.zju.edu.cn/zju/index.htm HTTP/1.0
头信息又称为元信息，即信息的信息，利用元信息能够实现有条件的请求或应答。
请求头——告诉服务器怎样解释本次请求，主要包括用户能够接受的数据类型、压缩方法和语言等。
实体头——实体信息类型、长度、压缩方法、最后一次修改时间、数据有效期等。
实体——请求或应答对象自己。
3.发送响应
服务器在处理完客户的请求以后，要向客户机发送响应消息。
HTTP/1.0的响应消息格式以下：
响应消息=状态行(通用信息头|响应头|实体头) CRLF 〔实体内容〕
状态行=HTTP版本号状态码缘由叙述
状态码表示响应类型
1×× 保留
2×× 表示请求成功地接收
3×× 为完成请求客户需进一步细化请求
4×× 客户错误
5×× 服务器错误
响应头的信息包括：服务程序名，通知客户请求的URL须要认证，请求的资源什么时候能使用。
4.关闭链接
客户和服务器双方均可以经过关闭套接字来结束TCP/IP对话

https:

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，所以加密的详细内容就须要SSL。它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL代表它使用了HTTP，但HTTPS存在不一样于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通信方法，如今它被普遍用于万维网上安全敏感的通信，例如交易支付方面。

它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操做，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接字层（SSL）做为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通讯。）SSL使用40 位关键字做为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，若是须要的话用户能够确认发送者是谁。

　　也就是说它的主要做用能够分为两种：一种是创建一个信息安全通道，来保证数据传输的安全；另外一种就是确认网站的真实性。

编辑本段HTTPS和HTTP的区别

　　1、https协议须要到ca申请证书，通常免费证书不多，须要交费。

　　2、http是超文本传输协议，信息是明文传输，https 则是具备安全性的ssl加密传输协议。

　　3、http和https使用的是彻底不一样的链接方式，用的端口也不同，前者是80，后者是443。

　　4、http的链接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

编辑本段HTTPS解决的问题

1、信任主机的问题.

　　采用https的服务器必须从CA （Certificate Authority）申请一个用于证实服务器用途类型的证书。该证书只有用于对应的服务器的时候，客户端才信任此主机。因此目前全部的银行系统网站，关键部分应用都是https 的。客户经过信任该证书，从而信任了该主机。其实这样作效率很低，可是银行更侧重安全。这一点对咱们没有任何意义，咱们的服务器，采用的证书无论是本身发布的仍是从公众的地方发布的，其客户端都是本身人，因此咱们也就确定信任该服务器。

2、通信过程当中的数据的泄密和被篡改

　　1．通常意义上的https，就是服务器有一个证书。

　　a) 主要目的是保证服务器就是他声称的服务器，这个跟第一点同样。

　　b) 服务端和客户端之间的全部通信，都是加密的。

　　i. 具体讲，是客户端产生一个对称的密钥，经过服务器的证书来交换密钥，即通常意义上的握手过程。

　　ii. 接下来全部的信息往来就都是加密的。第三方即便截获，也没有任何意义，由于他没有密钥，固然篡改也就没有什么意义了。

　　2．少量对客户端有要求的状况下，会要求客户端也必须有一个证书。

　　a) 这里客户端证书，其实就相似表示我的信息的时候，除了用户名/密码，还有一个CA 认证过的身份。由于我的证书通常来讲是别人没法模拟的，全部这样可以更深的确认本身的身份。

　　b) 目前少数我的银行的专业版是这种作法，具体证书多是拿U盘（即U盾）做为一个备份的载体。 ^[1]

编辑本段限制

概述

　　它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.

　　一种常见的误解是“银行用户在线使用https:就能充分完全保障他们的银行卡号不被偷窃。”实际上，与服务器的加密链接中能保护银行卡号的部分，只有用户到服务器之间的链接及服务器自身。并不能绝对确保服务器本身是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者会尝试窃听传输中的数据。

　　商业网站被人们指望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们经常存储银行卡号在同一个数据库里。那些数据库和服务器少数状况有可能被未受权用户攻击和损害。

TLS 1.1以前

　　这段仅针对TLS 1.1以前的情况。由于SSL位于http的下一层，并不能理解更高层协议，一般SSL服务器仅能颁证给特定的IP/端口组合。这是指它常常不能在虚拟主机(基于域名)上与HTTP正常组合成HTTPS。

　　这一点已被即未来临的TLS 1.1更新为—种彻底支持基于域名的虚拟主机。

编辑本段SSL介绍

　　SSL (Secure Socket Layer)

　　为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程当中不会被截取及窃听。目前通常通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器便可支持SSL。

　　当前版本为3.0。它已被普遍地用于Web浏览器与服务器之间的身份认证和加密数据传输。

　　SSL协议位于TCP/IP协议与各类应用层协议之间，为数据通信提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol）：它创建在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它创建在SSL记录协议之上，用于在实际的数据传输开始前，通信双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有哪些？

　　1）认证用户和服务器，确保数据发送到正确的客户机和服务器

　　2）加密数据以防止数据中途被窃取

　　3）维护数据的完整性，确保数据在传输过程当中不被改变。

SSL协议的工做流程

　　服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话链接；2）服务器根据客户的信息肯定是否须要生成新的主密钥，如须要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段

　　在此以前，服务器已经经过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。

　　从SSL 协议所提供的服务及其工做流程能够看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，因为运做电子商务的企业大可能是信誉较高的大公司，所以这问题尚未充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程当中的单一认证问题就愈来愈突出。虽然在SSL3.0中经过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，可是SSL协议仍存在一些问题，好比，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种状况下，Visa和MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

编辑本段SSL协议的握手过程

　　为了便于更好的认识和理解SSL 协议，这里着重介绍SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术，对称加密技术虽然比公钥加密技术的速度快，但是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议很是有效的让客户和服务器之间完成相互之间的身份认证，其主要过程以下：

　　①客户端的浏览器向服务器传送客户端SSL 协议的版本号，加密算法的种类，产生的随机数，以及其余服务器和客户端之间通信所须要的各类信息。

　　②服务器向客户端传送SSL 协议的版本号，加密算法的种类，随机数以及其余相关信息，同时服务器还将向客户端传送本身的证书。

　　③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过时，发行服务器证书的CA 是否可靠，发行者证书的公钥可否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。若是合法性验证没有经过，通信将断开；若是合法性验证经过，将继续进行第四步。

　　④用户端随机产生一个用于后面通信的“对称密码”，而后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中得到）对其加密，而后将加密后的“预主密码”传给服务器。

　　⑤若是服务器要求客户的身份认证（在握手过程当中为可选），用户能够创建一个随机数而后对其进行数据签名，将这个含有签名的随机数和客户本身的证书以及加密过的“预主密码”一块儿传给服务器。

　　⑥若是服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行CA 的公钥可否正确解开客户证书的发行CA 的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验若是没有经过，通信马上中断；若是验证经过，服务器将用本身的私钥解开加密的“预主密码”，而后执行一系列步骤来产生主通信密码（客户端也将经过一样的方法产生相同的主通信密码）。

　　⑦服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于SSL 协议的安全数据通信的加解密通信。同时在SSL 通信过程当中还要完成数据通信的完整性，防止数据通信中的任何变化。

　　⑧客户端向服务器端发出信息，指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。

　　⑨服务器向客户端发出信息，指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。

　　⑩SSL 的握手部分结束，SSL 安全通道的数据通信开始，客户和服务器开始使用相同的对称密钥进行数据通信，同时进行通信完整性的检验。