https原理和tcp握手机制

一.HTTPS的工作原理

       HTTPS在传输数据前需要客服端(浏览器)与服务器(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息.TLS/SSL协议是一套加密传输协议,使用了非对称加密,对称加密,以及HASH算法.握手过程如下:

       1.客服端将自己支持的一套加密规则发送给网站.

       2.网站从中选择一组加密算法与哈希算法,并将自己的身份信息以证书(SSL证书)的形式发回给浏览器.证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息.

       3,客服端或的网站证书之后浏览器要做以下几件事情:

             a) 验证证书的合法性(颁发机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等,验证方法见附1),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则给出证书不受信任的提示.

              b)如果证书受信,或者用户选择接受不受信任的证书.浏览器生成一串随机数的密码,并用证书中提供的公钥加密.

              c)使用约定好的哈希算法计算握手消息,并使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站.

        4.网站接受浏览器发来的数据之后要做一下的操作:

              a)使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的的握手消息,并验证hash值是否与浏览器发来的一直.

              b)使用密码加密一段握手消息,发送给浏览器.

         5.浏览器解密并计算握手消息的hash,如果与服务端发来的hash一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密.

浏览器与网站互相发送加密的握手消息并验证,目的是为了保证双方都获得一致的密码,并且可以正常的加密解密数据,为后续真正的数据传输做一次测试.

     HTTPS一般使用的加密与hash算法 `附2:

     非对称加密算法:RSA,DSA/DSS

     对称加密算法:AES,RC4,3DES

     HSAH算法:MD5,SHA1,SHA256      

 二:https协议和http协议的区别:

     1. https协议需要到ca申请

     2. http传输的信息是明文的,https传输的信息是经过ssl加密

     3.http和https使用的是完全不同的连接方式,端口不一样,http端口号80,https端口为443.

     4.http连接简单,是无状态的.

     5.https协议是有ssl+http协议构建的可进行加密传输//身份认证的网络协议,比http协议安全.

三.tcp协议3次握手,4次挥手

    传输层建立连接和断开连接,一个完整的过程.中间可能出现许多例外,都需要有相应的处理方法.

    1. 建立连接协议,三次握手

    (1).报文1,客服端发送一个带SYN标志的TCP报文到服务器.SYN（synchronous）是TCP/IP建立连接时使用的握手信号。SYN攻击是个比较有意思的事情.

    (2).报文2,服务器端回应客服端,报文带ACK和SYN编制.

    (3).报文3,客服端在回应一个ack报文.  服务器端接受到此ack信号好才启动连接,此时连接才算成立.

    为什么需要三次握手:由于各个网路的情况不同,可能会产生报文传输延时,从而变成失效的连接请求.防止失效的连接请求报文段突然有传到了服务端,从而产生错误.解决网络中存在重复分组的问题.

   只是传输层为了防止失效的连接请求而设立的机制.

   2.连接终止协议,四次挥手 

    tcp连接是全双工,因此每个方向都必须单独进行关闭.每个方向,当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接.

    (1). TCP客服端发送一个FIN,用来关闭客服到服务器的数据传送.

    (2).服务器端接收到FIN,响应一个ACK,确认序号,为接收到的序号加1.

    (3).服务器关闭客服端的连接,发送一个FIN给客服端.

    (4).客服端发回ACK报文确认,并将确认序号设置为序号加1.

    4次挥手,为了断开连接.

附:

   1.浏览器中已经内置了大量证书颁发机构的公钥,浏览器使用内置的根证书中的公钥来对收到的证书进行认证，如果一致，就表示该安全证书是由可信任的颁证机构签发的，这个网站就是安全可靠的；如果该SSL证书不是根服务器签发的，浏览器就会自动检查上一级的发证机构，直到找到相应的根证书颁发机构，如果该根证书颁发机构是可信的，这个网站的SSL证书也是可信的。

   2,加密算法

     2.1非对称加密算法:RSA,DSA/DSS

      所谓非对称，就是指该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。

    RSA:RSA公钥加密算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。1987年首次公布，当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。RSA算法基于一个十分简单的数论事实：将两个大质数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。

      2.2 对称加密算法:AES,RC4,3DES

          AES:高级加密标准,高级加密标准已然成为对称密钥加密中最流行的算法之一.

         加密算法的判定:速度,抗破解能力,有时是多个加密算法混合使用,设计复杂度.在多个平台上速度快，编码紧凑。

     2.3 HSAH算法:MD5,SHA1,SHA256
             用作校验的方法.    
      MD5:

       Message Digest Algorithm MD5（中文名为 消息摘要算法第五版）为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。该算法的文件号为RFC 1321（R.Rivest,MIT Laboratory for Computer Science and RSA Data Security Inc. April 1992）。

    MD5即Message-Digest Algorithm 5（信息-摘要算法5），用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一（又译 摘要算法、 哈希算法），主流编程语言普遍已有MD5实现。将数据（如汉字）运算为另一固定长度值，是杂凑算法的基础原理，MD5的前身有MD2、 MD3和 MD4。

      SHA1:安全 哈希算法（Secure Hash Algorithm）主要适用于 数字签名标准 （Digital Signature Standard DSS）里面定义的数字签名算法（Digital Signature Algorithm DSA）。