转载自: https://segmentfault.com/a/1190000045536632

HTTP和HTTPS的握手与挥手过程详解

在网络通信中,HTTPHTTPS 是常见的协议,它们分别用于无加密和加密的请求与响应过程。尽管它们的基本工作原理相似,但由于安全性要求,HTTPS需要比HTTP更复杂的步骤来确保数据传输的加密性和完整性。下面将详细解释HTTP与HTTPS的握手和挥手过程,并对两者进行对比。


一、HTTP的三次握手过程

三次握手是客户端与服务端之间建立TCP连接的过程,确保连接的可靠性。

  1. 客户端发送SYN包
    客户端向服务器发送一个 SYN(同步)包,告诉服务器它希望建立连接。此时客户端处于 SYN_SEND 状态,等待服务器的响应。
  2. 服务端回应SYN-ACK包
    服务端接收到SYN包后,表示同意建立连接,于是发送一个 SYN-ACK(同步-确认)包给客户端。服务端处于 SYN_RCVD 状态。
  3. 客户端回应ACK包
    客户端收到SYN-ACK包后,向服务端发送 ACK(确认)包。此时,客户端和服务端都处于 ESTABLISHED(已建立连接)状态,三次握手完成,数据传输可以开始。

HTTP的三次握手示意图:

1
2
3
4
客户端                   服务端
|--------------------SYN------------------>|
|<------------------SYN-ACK-----------------|
|-------------------ACK------------------->|

二、HTTPS的三次握手过程

HTTPS除了包含HTTP的三次握手外,还涉及到SSL/TLS协议的握手,这一过程更为复杂,主要用于确保通信的安全性。

  1. 客户端发送ClientHello
    客户端向服务端发送一个 ClientHello 消息,包含其支持的加密算法(如RSA、ECDSA等)、支持的协议版本、压缩方法以及生成的随机数等信息。
  2. 服务端发送ServerHello并发证书
    服务端收到ClientHello后,选择一种加密算法并返回 ServerHello 消息,发送其数字证书以便客户端验证其身份。
  3. 客户端验证证书并生成PreMasterSecret
    客户端验证服务端的证书是否有效,如果有效,则生成一个 PreMasterSecret,通过服务端的公钥加密后发送给服务端。
  4. 双方生成会话密钥并确认
    服务端使用私钥解密PreMasterSecret,并与客户端各自生成会话密钥。最后,双方通过 Finished 消息确认握手过程已完成,进入加密通信阶段。

HTTPS的握手示意图:

1
2
3
4
5
客户端                   服务端
|------------------ClientHello---------------->|
|<---------------ServerHello + Cert------------|
|----------------PreMasterSecret ------------->|
|<------------------Finished-------------------|

三、HTTP的四次挥手过程

TCP连接的关闭需要四次挥手,以确保双方都能正确地关闭连接,避免数据丢失。

  1. 客户端发送FIN包
    客户端没有数据发送时,发送一个 FIN(结束)包,告知服务端关闭连接。
  2. 服务端回应ACK包
    服务端接收到FIN包后,发送一个 ACK(确认)包,表示已收到关闭请求。
  3. 服务端发送FIN包
    服务端在完成数据发送后,发送一个 FIN 包给客户端,表示它也希望关闭连接。
  4. 客户端回应ACK包
    客户端收到服务端的FIN包后,发送一个 ACK 包确认。此时,连接正式关闭。

HTTP的四次挥手示意图:

1
2
3
4
5
客户端                   服务端
|-------------------FIN--------------------->|
|<------------------ACK-----------------------|
|<------------------FIN-----------------------|
|-------------------ACK--------------------->|

四、HTTPS的四次挥手过程

HTTPS在四次挥手的基础上还涉及到SSL/TLS协议层的关闭。过程与HTTP相似,但由于加密数据的处理,握手和挥手过程相对复杂。

  1. 客户端发送关闭连接请求
    客户端发送一个关闭连接的消息,要求关闭SSL/TLS会话。
  2. 服务端回应关闭连接消息
    服务端回应关闭连接的消息,表示同意断开SSL/TLS会话。
  3. 服务端发送关闭连接请求
    服务端发送关闭连接的消息,告知客户端服务端即将断开连接。
  4. 客户端回应关闭连接消息
    客户端回应关闭连接消息,最终完成SSL/TLS连接的断开。

五、HTTP与HTTPS的区别与联系

项目 HTTP HTTPS
加密 不加密,数据传输明文 使用SSL/TLS协议加密,确保数据安全性
安全性 无数据保护,容易受到中间人攻击(MITM) 使用证书进行身份验证,防止伪装与篡改数据
握手过程 三次握手,简单的TCP连接建立过程 三次握手与SSL/TLS握手结合,安全性更高
挥手过程 四次挥手,TCP连接正常关闭 四次挥手,确保加密连接断开
端口 80端口 443端口

六、总结

  • HTTPHTTPS都依赖于TCP连接的三次握手和四次挥手过程,但HTTPS在这基础上增加了SSL/TLS协议层的加密与身份验证,确保数据传输的机密性和完整性。
  • HTTPS的握手和挥手过程更为复杂,需要进行数字证书验证、密钥交换等步骤,因此它比HTTP更加安全。
  • 在设计网络通信系统时,选择使用HTTP还是HTTPS取决于是否需要保障数据的安全性。如果数据传输涉及敏感信息,强烈建议使用HTTPS。