tcp加密通讯流程

① HTTPS加密（握手）过程

第一步散弊纯：客户端会发起一个hello client请求，请求中会携带TLS版本信息、加密套件候选列表、压缩算法候选列表以及一个随机数。
第二步：服务端收到请求以后也会给客户端发一个server hello请求，请求中会告诉客户端它选择的协议版本、加密套件、压缩算法以及一个随机数。
第三步：服务端会给客户端发一个server certificate请求，里面包含服务端的数字证书，用于客户端进行校验。
第四步：服务端会给客户端发一个server hello done告诉客户端信息已发送完毕。
第五步：客户端收到证书以后进行校验获取到服务端的公钥。
第六步：客户端会将自己的数字证书发给服务端用于校验。
第七步：客户端计算出一个随机数pre-master,然后用公钥进行加密发送给服务器端。
第八步：服务端和客卜模户端都根据自己的随机数+对端的随机数+pre-master算出对称密冲咐钥，然后再根据对称密钥进行通信。

② Android网络请求知识（三）授权，TCP/IP，HTTPS建立过程

由身份或持有的令牌确认享有的权限，登录过程实质上的目的也是为了确认权限。

Cookie是客户端给服务器用的，setCookie是服务器给客户端用的。cookie由服务器处理，客户端负责存储

客户端发送cookie：账户和密码
服务端收到后确认登录setCookie：sessionID=1，记下sessionID
客户端收到sessionID后记录，以后请求服务端带上对比记录下sessionID，说明已经登录

会话管理：登录状态，购物车
个性化：用户偏好，主题
Tracking：分析用户行为

XXS：跨脚本攻击，及使用JavaScript拿到浏览器的cookie之后，发送到自己的网站，以这种方式来盗用用户Cookie。Server在发送Cookie时，敏感的Cookie加上HttpOnly，这样Cookie只能用于http请求，不能被JavaScript调用
XSRF:跨站请求伪造。Referer 从哪个网站跳转过来

两种方式：Basic和Bearer

首先第三方网站向授权网站申请第三方授权合作，拿到授权方颁发的client_id和client_secret（一般都是appid+appkey的方式）。

在这就过程中申请的client_secret是服务器持有的，安全起见不能给客户端，用服务端去和授权方获取用户信息，再传给客户端，包括④，⑤的请求过程也是需要加密的。这才是标准的授权过程。
有了access_token之后，就可以向授权方发送请求来获取用户信息

步骤分析就是上面的内容，这里把第4,6,8请求的参数分析一下
第④步参数：
response_type：指授权类型，必选，这里填固定值‘code’
client_id：指客户端id，必选，这里填在平台报备时获取的appid
redirect_uri：指重定向URI，可选
scope：指申请的权限范围，可选
state：指客户端当前状态，可选，若填了，则认证服务器会原样返回该值

第⑥步参数：
grant_type：指使用哪种授权模式，必选，这里填固定值‘authorization_code’
code：指从第⑤步获取的code，必选
redirect_uri：指重定向URI，必选，这个值需要和第④步中的redirect_uri保持一致
client_id：指客户端id，必选，这里填在平台报备时获取的appid
client_secret：指客户端密钥，必选，这里填在平台报备时获取的appkey

第⑧步参数：
access_token：指访问令牌，必选，这里填第⑦步获取的access_token
token_type：指令牌类型，必选，大小写不敏感，bearer类型 / mac类型
expires_in：指过期时间，单位秒，当其他地方已设置过期时间，此处可省略该参数
refresh_token：指更新令牌，可选，用即将过期token换取新token
scope：指权限范围，可选，第④步中若已申请过某权限，此处可省略该参数

我们在上面的第八步中会有refresh_token的参数，这个在实际操作中也比较常见

有时候我们在自己的项目中，将登陆和授权设计成类似OAuth2的过程，不过去掉Authorization code。登陆成功返回access_token，然后客户端再请求时，带上access_token。

我们常常会说到TCP/IP，那到底是什么呢。这就需要讲到网络分层模型。TCP在传输层，IP在网络层。那为什么需要分层？因为网络不稳定，导致需要重传的问题。为了提高传输效率我们就需要分块，在传输层中就会进行分块。TCP还有两个重要的内容就是三次握手，四次分手。

HTTPS 协议是由 HTTP 加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护

1.客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件列表（所使用的加密算法及密钥长度），客户端随机数，hash算法。

2.服务器可进行SSL通信时，会以Server Hello报文作为应答。和客户端一样，在报文中包含SSL版本以及加密组件，服务端随机数。服务器的加密组件内容是从接收到客户端加密组件内筛选出来的。

3.之后服务器发送Certificate报文。报文中包含公开密钥证书。一般实际有三层证书嵌套，其实像下面图二直接用根证书机构签名也是可以的，但是一般根证书机构比较忙，需要类似中介的证书机构来帮助。

4.最后服务器发送Server Hello Done报文通知客户端，最初阶段的SSL握手协商部分结束。

5.SSL第一次握手结束后，客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。

6.接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器，在此报文之后的通信会采用Pre-master secret密钥加密。

7.客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密报文作为判定标准。

8.服务器同样发送Change Cipher Spec报文。

9.服务器同样发送Finished报文。

10.服务器和客户端的Finished报文交换完毕之后，SSL连接就算建立完成。当然，通信会受到SSL的保护。从此处开始进行应用层协议的通信，即发送HTTP响应。

11.应用层协议通信，即发送HTTP响应。

12.最后由客户端断开连接。断开连接时，发送close_notify报文。这步之后再发送TCP FIN报文来关闭与TCP的通信。

利用客户端随机数，服务端随机数，per-master secret随机数生成master secret，再生成客户端加密密钥，服务端加密密钥，客户端MAC secert，服务端MAC secert。MAC secert用于做报文摘要，这样能够查知报文是否遭到篡改，从而保护报文的完整性。

Android网络请求知识（一）HTTP基础概念
Android网络请求知识（二）对称和非对称加密、数字签名，Hash，Base64编码
Android网络请求知识（三）授权，TCP/IP，HTTPS建立过程

③ 请简述数字加密的过程

在对称加密中，数据发送方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。

接收方收到密文后，若想解读原文，则需要使用加密密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密。

(3)tcp加密通讯流程扩展阅读：

数字加密注意事项：

通过TCP三次握手进行连接，然后客户端发送hello包到服务端，服务端回应一个hello包，如果客户端需要再次发送数字证书， 则发送数字证书到客户端。

客户端得到服务器的证书后通过CA服务验证真伪、验证证书的主体与访问的主体是否一致，验证证书是否在吊销证书列表中。如果全部通过验证则与服务器端进行加密算法的协商。

用证书中服务器的公钥加密对称秘钥发送给服务器端，对称秘钥只能用服务器的私钥进行解密，当服务器通过私钥解密对称秘钥后。使用对称秘钥将客户端请求的数据发送到客户端，客户端在用对称秘钥进行解密，从而得到想要的数据。

④ 如何使用rsa对tcp进行加密

RSA算法是第一个能同时用于加密和数字签名的算法。RSA算法能生成公私钥对。
假设A、B要通信，那么他们需要彼此知道对方的公钥，如果a向b发送信息，a先用自己的私钥对信息进行加密（即签名），然后用b的公钥进行加密。当 b收到消息时，先用自己的私钥进行解密，然后用a的公用进行解密（即验证签名），即可看到a发送的明文信息。