tcp加密通訊流程

① HTTPS加密（握手）過程

第一步散弊純：客戶端會發起一個hello client請求，請求中會攜帶TLS版本信息、加密套件候選列表、壓縮演算法候選列表以及一個隨機數。
第二步：服務端收到請求以後也會給客戶端發一個server hello請求，請求中會告訴客戶端它選擇的協議版本、加密套件、壓縮演算法以及一個隨機數。
第三步：服務端會給客戶端發一個server certificate請求，裡麵包含服務端的數字證書，用於客戶端進行校驗。
第四步：服務端會給客戶端發一個server hello done告訴客戶端信息已發送完畢。
第五步：客戶端收到證書以後進行校驗獲取到服務端的公鑰。
第六步：客戶端會將自己的數字證書發給服務端用於校驗。
第七步：客戶端計算出一個隨機數pre-master,然後用公鑰進行加密發送給伺服器端。
第八步：服務端和客卜模戶端都根據自己的隨機數+對端的隨機數+pre-master算出對稱密沖咐鑰，然後再根據對稱密鑰進行通信。

② Android網路請求知識（三）授權，TCP/IP，HTTPS建立過程

由身份或持有的令牌確認享有的許可權，登錄過程實質上的目的也是為了確認許可權。

Cookie是客戶端給伺服器用的，setCookie是伺服器給客戶端用的。cookie由伺服器處理，客戶端負責存儲

客戶端發送cookie：賬戶和密碼
服務端收到後確認登錄setCookie：sessionID=1，記下sessionID
客戶端收到sessionID後記錄，以後請求服務端帶上對比記錄下sessionID，說明已經登錄

會話管理：登錄狀態，購物車
個性化：用戶偏好，主題
Tracking：分析用戶行為

XXS：跨腳本攻擊，及使用JavaScript拿到瀏覽器的cookie之後，發送到自己的網站，以這種方式來盜用用戶Cookie。Server在發送Cookie時，敏感的Cookie加上HttpOnly，這樣Cookie只能用於http請求，不能被JavaScript調用
XSRF:跨站請求偽造。Referer 從哪個網站跳轉過來

兩種方式：Basic和Bearer

首先第三方網站向授權網站申請第三方授權合作，拿到授權方頒發的client_id和client_secret（一般都是appid+appkey的方式）。

在這就過程中申請的client_secret是伺服器持有的，安全起見不能給客戶端，用服務端去和授權方獲取用戶信息，再傳給客戶端，包括④，⑤的請求過程也是需要加密的。這才是標準的授權過程。
有了access_token之後，就可以向授權方發送請求來獲取用戶信息

步驟分析就是上面的內容，這里把第4,6,8請求的參數分析一下
第④步參數：
response_type：指授權類型，必選，這里填固定值『code』
client_id：指客戶端id，必選，這里填在平台報備時獲取的appid
redirect_uri：指重定向URI，可選
scope：指申請的許可權范圍，可選
state：指客戶端當前狀態，可選，若填了，則認證伺服器會原樣返回該值

第⑥步參數：
grant_type：指使用哪種授權模式，必選，這里填固定值『authorization_code』
code：指從第⑤步獲取的code，必選
redirect_uri：指重定向URI，必選，這個值需要和第④步中的redirect_uri保持一致
client_id：指客戶端id，必選，這里填在平台報備時獲取的appid
client_secret：指客戶端密鑰，必選，這里填在平台報備時獲取的appkey

第⑧步參數：
access_token：指訪問令牌，必選，這里填第⑦步獲取的access_token
token_type：指令牌類型，必選，大小寫不敏感，bearer類型 / mac類型
expires_in：指過期時間，單位秒，當其他地方已設置過期時間，此處可省略該參數
refresh_token：指更新令牌，可選，用即將過期token換取新token
scope：指許可權范圍，可選，第④步中若已申請過某許可權，此處可省略該參數

我們在上面的第八步中會有refresh_token的參數，這個在實際操作中也比較常見

有時候我們在自己的項目中，將登陸和授權設計成類似OAuth2的過程，不過去掉Authorization code。登陸成功返回access_token，然後客戶端再請求時，帶上access_token。

我們常常會說到TCP/IP，那到底是什麼呢。這就需要講到網路分層模型。TCP在傳輸層，IP在網路層。那為什麼需要分層？因為網路不穩定，導致需要重傳的問題。為了提高傳輸效率我們就需要分塊，在傳輸層中就會進行分塊。TCP還有兩個重要的內容就是三次握手，四次分手。

HTTPS 協議是由 HTTP 加上TLS/SSL協議構建的可進行加密傳輸、身份認證的網路協議，主要通過數字證書、加密演算法、非對稱密鑰等技術完成互聯網數據傳輸加密，實現互聯網傳輸安全保護

1.客戶端通過發送Client Hello報文開始SSL通信。報文中包含客戶端支持的SSL的指定版本、加密組件列表（所使用的加密演算法及密鑰長度），客戶端隨機數，hash演算法。

2.伺服器可進行SSL通信時，會以Server Hello報文作為應答。和客戶端一樣，在報文中包含SSL版本以及加密組件，服務端隨機數。伺服器的加密組件內容是從接收到客戶端加密組件內篩選出來的。

3.之後伺服器發送Certificate報文。報文中包含公開密鑰證書。一般實際有三層證書嵌套，其實像下面圖二直接用根證書機構簽名也是可以的，但是一般根證書機構比較忙，需要類似中介的證書機構來幫助。

4.最後伺服器發送Server Hello Done報文通知客戶端，最初階段的SSL握手協商部分結束。

5.SSL第一次握手結束後，客戶端以Client Key Exchange報文作為回應。報文中包含通信加密中使用的一種被稱為Pre-master secret的隨機密碼串。該報文已用步驟3中的公開密鑰進行加密。

6.接著客戶端繼續發送Change Cipher Spec報文。該報文會提示伺服器，在此報文之後的通信會採用Pre-master secret密鑰加密。

7.客戶端發送Finished報文。該報文包含連接至今全部報文的整體校驗值。這次握手協商是否能夠成功，要以伺服器是否能夠正確解密報文作為判定標准。

8.伺服器同樣發送Change Cipher Spec報文。

9.伺服器同樣發送Finished報文。

10.伺服器和客戶端的Finished報文交換完畢之後，SSL連接就算建立完成。當然，通信會受到SSL的保護。從此處開始進行應用層協議的通信，即發送HTTP響應。

11.應用層協議通信，即發送HTTP響應。

12.最後由客戶端斷開連接。斷開連接時，發送close_notify報文。這步之後再發送TCP FIN報文來關閉與TCP的通信。

利用客戶端隨機數，服務端隨機數，per-master secret隨機數生成master secret，再生成客戶端加密密鑰，服務端加密密鑰，客戶端MAC secert，服務端MAC secert。MAC secert用於做報文摘要，這樣能夠查知報文是否遭到篡改，從而保護報文的完整性。

Android網路請求知識（一）HTTP基礎概念
Android網路請求知識（二）對稱和非對稱加密、數字簽名，Hash，Base64編碼
Android網路請求知識（三）授權，TCP/IP，HTTPS建立過程

③ 請簡述數字加密的過程

在對稱加密中，數據發送方將明文（原始數據）和加密密鑰一起經過特殊加密演算法處理後，使其變成復雜的加密密文發送出去。

接收方收到密文後，若想解讀原文，則需要使用加密密鑰及相同演算法的逆演算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密演算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密。

(3)tcp加密通訊流程擴展閱讀：

數字加密注意事項：

通過TCP三次握手進行連接，然後客戶端發送hello包到服務端，服務端回應一個hello包，如果客戶端需要再次發送數字證書， 則發送數字證書到客戶端。

客戶端得到伺服器的證書後通過CA服務驗證真偽、驗證證書的主體與訪問的主體是否一致，驗證證書是否在吊銷證書列表中。如果全部通過驗證則與伺服器端進行加密演算法的協商。

用證書中伺服器的公鑰加密對稱秘鑰發送給伺服器端，對稱秘鑰只能用伺服器的私鑰進行解密，當伺服器通過私鑰解密對稱秘鑰後。使用對稱秘鑰將客戶端請求的數據發送到客戶端，客戶端在用對稱秘鑰進行解密，從而得到想要的數據。

④ 如何使用rsa對tcp進行加密

RSA演算法是第一個能同時用於加密和數字簽名的演算法。RSA演算法能生成公私鑰對。
假設A、B要通信，那麼他們需要彼此知道對方的公鑰，如果a向b發送信息，a先用自己的私鑰對信息進行加密（即簽名），然後用b的公鑰進行加密。當 b收到消息時，先用自己的私鑰進行解密，然後用a的公用進行解密（即驗證簽名），即可看到a發送的明文信息。