1.目錄

• 網絡協議
• HTTP
• HTTPS

希望通過這篇文章能讓讀者了解什麼是網絡協議，以及目前我們最常接觸的 http 和 https。

2.網絡協議

網絡協議是為計算機網絡中進行數據交換而建立的規則、標準或約定。

眾所周知，網絡是一台台的計算機構成的一張「大網」，彼此通訊，交互數據。我們也都知道不同的計算機廠家生產的計算機肯定是存在差異的，那麼它們是如何克服這些差異進行通信呢?顯然就是「語言」，我們的語言能彼此交流是因為我們對這些定義產生了共識，比如蘋果指代的就是具體的一種水果等等。而計算機也是通過建立這種約定來完成通信的。不過要注意!這網絡協議不僅僅是給計算機互相間使用的，而是給網絡上所有設備(伺服器、個人PC、交換機、路由器、防火牆等)使用的。大多數網絡都採用分層的體系結構，每一層都建立在它的下層之上，向它的上一層提供一定的服務，而把如何實現這一服務的細節對上一層加以屏蔽(這就類似我們代碼中的接口)。一台設備上的第 n層與另一台設備上的第n層進行通信的規則就是第n層協議。在網絡的各層中存在著許多協議，接收方和發送方同層的協議必須一致，否則一方將無法識別另一方發出的信息。網絡協議使網絡上各種設備能夠相互交換信息。上面提到了大多數網絡都採用分層，這裡說下分層模型：

• OSI 模型(Open System Interconnection Reference Model)，一種概念模型，由國際標準化組織提出，是一個試圖使各種計算機在世界範圍內互連為網絡的標準框架。它具體分為七層：
• 應用層(第七層)
• 為應用軟體而設的接口，用於應用間的通信
• 表示層(第六層)
• 將數據轉為接收系統可以使用的格式
• 會話層(第五層)
• 會話層是建立在傳輸層之上，利用傳輸層提供的接口，使應用建立和維持會話，並能使會話獲得同步(簡單理解成數據傳輸的一個通道)
• 傳輸層(第四層)
• 將傳輸表頭(TH，傳輸表頭包含了所使用的協議等信息)加至數據(我們要傳輸的數據)形成數據包
• 網絡層(第三層)
• 網絡層決定了數據的傳輸路徑和轉寄，它會將網絡表頭(NH，包含了網絡數據：IP 等)加入數據包中
• 數據鏈路層(第二層)
• 數據鏈路層(Data Link Layer)負責網絡尋址、錯誤偵測和改錯物理層(第一層)
• 物理層確保原始數據可以在各種物理媒體上傳輸

TCP/IP 協議族分層方式與 OSI 分層的同異，如下圖：

下面會對一個簡單的場景進行網絡請求畫圖。

場景：我給公司寫了一個 hello world 的簡單的靜態頁面部署在公司的伺服器上，我用自己的電腦在家裡通過公網訪問這個靜態頁面，比如網址是「http://www.xxx.com」。

當我訪問這個網址時，瀏覽器都做了些什麼呢?我們看下圖：

TCP

TCP(Transmission Control Protocol，傳輸控制協議)是一種面向連接的，可靠的，基於字節流的，雙向傳輸的傳輸層通信協議。它在建立連接時會經過三次握手，三次握手完成後才會開始傳輸數據;在終止連接時，它需要四次揮手。具體如下：

(1)建立連接

三次握手：

• 客戶端發送 SYN 報文給服務端，進入 SYN_SEND 狀態
• 伺服器回復 SYN，進入 SYN_RECV 狀態
• 客戶端收到來自服務端的 SYN 報文後，回復 ACK

客戶端和服務端進入 Established 狀態，可以開始收發數據了。

(2)終止連接

• 四次揮手(注意：CLOSE 動作可以由任意一端先發起，這裡以 client 發起為例)：
• 客戶端先調用 close，執行 active close，並發送 FIN 表示數據發送完畢，進入 FIN_WAIT_1 狀態
• 服務端接收到 FIN 後，執行 passive close，並給客戶端發送 ACK，進入 close_WAIT 狀態
• 服務端給客戶端發送一個 FIN，進入 LAST_ACK 狀態

主動發起 close 的一方負責最終確認 FIN，這個例子就是客戶端需要接收 FIN 並回復 ACK 給服務端，進入 TIME_WAIT 狀態，服務端收到 ACK 後進入 CLOSED 狀態

為什麼終止的時候是四次揮手呢?

因為一方主動發起 close 並發送 FIN 僅僅代表它不再發送數據，可是還能接收數據，所以需要另一方也進行 close 並發送 FIN 通知對方。至於為什麼要將 ACK 和 FIN 分開呢?是因為 ACK 是告訴對方「我知道了」，而 FIN 是告訴對方「我也沒有數據給你了」。而實際情況不一定是我收到 FIN 就剛好也把數據都給完對方了，所以是需要分開的。

HTTP

HTTP(HyperText Transfer Protocol)，超文本傳輸協議，它是基於 TCP 協議實現的。

HTTP 是一種無狀態協議，像我們作為遊客訪問一個頁面時，無狀態協議是簡單且高效的。不過像電商場景是需要記錄用戶登錄狀態或記錄購物車商品信息的(除了電商像一些中台系統也是需要記錄用戶狀態的，這裡僅是舉例)，這時就需要一些額外的技術協助了，如：Cookie。

HTTP 報文格式

HTTP 協議的請求報文和響應報文的結構基本相同。

報文由三大部分組成：

• 起始行
• 描述請求或響應的基本信息，如：GET /** HTTP/1.1、HTTP/1.1 200 OK 等
• 頭部欄位集合
• 使用 key-value 說明報文(想想請求頭和響應頭)
• 消息正文

HTTPS

HTTP 是基於 TCP 實現的，它的報文是明文，整個傳輸過程完全是透明的，任何環節都可以輕鬆獲截、修改，這是很不安全的。因此，安全的 HTTP 協議應運而生—— HTTPS。HTTPS其實就是在HTTP之上增加了SSL。

(1) SSL/TLS

SSL 即安全套接層(Secure Sockets Layer)，1999年改名為 TLS(傳輸層安全， Transport Layer Security)

有幾個概念要先說清楚：

• 對稱加密
• 通過同一把「鑰匙」進行加密和解密
• 非對稱加密
• 有兩把「鑰匙」——公鑰，私鑰，使用公鑰加密的，需要使用私鑰解密;使用私鑰加密的，需要公鑰解密
• 摘要算法
• 將一個隨機長度的內容生成一個定長的內容，常見算法有：MD5、sha1、sha2等等
• 安全性
• 沒有絕對的安全，我們所說的數據安全都是基於一個信任點，認為它是安全的，我們所說的安全才能成立，否則不存在安全一說。如：非對稱加密和對稱加密，我們相信這些算法的安全性，因此認為只要密鑰不泄露，那麼就是安全的

(2)HTTPS 工作流程大致如下：

先完成三次握手，這裡和 HTTP 是一致的

• 瀏覽器給伺服器發送加密套件列表(就是告訴伺服器自己支持的加密算法)
• 伺服器根據加密套件列表挑選加密算法，並給瀏覽器發送公鑰
• 瀏覽器獲取公鑰後，隨機生成對稱加密算法使用的密鑰，通過公鑰加密該密鑰，然後發送密文給伺服器
• 伺服器使用私鑰解密，對於該會話的內容信息都使用該密鑰加密傳輸給瀏覽器

(3)優點

• 通過非對稱加密保證瀏覽器傳輸的密鑰不會被破解(因為私鑰在自己手上，沒有經歷過網絡傳輸)
• 使用對稱加密算法加解密內容效率高

(4)缺點

• 伺服器給瀏覽器傳輸公鑰時沒法保證該瀏覽器不會泄露公鑰

基於這個缺點，我們需要依賴第三方機構協助，讓我們的 HTTPS 更安全可靠。

具體如下：

• 對於第三步的傳輸公鑰改成傳輸公鑰數字證書
• 數字證書組成：

公鑰用戶信息

公鑰

簽名

通過 hash(公鑰，公司信息，域名等申請信息) 獲取數據摘要;CA 再對摘要信息進行加密，這個密文就是簽名

CA 信息

有效期

證書序列號

• 數字證書由第三方機構(CA 機構)頒發
• 公司信息、系統的域名和公鑰需要到 CA 機構進行認證，認證通過後 CA 再給我們頒發證書，證書內容如上不累述。因為這證書有簽名，所以證書內容不可被篡改，從而證書裡面的公鑰用戶信息和公鑰的安全性就得到了保證。
• CA 機構頒發的證書的可靠性依賴於根證書，而根證書是作業系統或瀏覽器內置的(換句話說，我們就是要相信作業系統或者瀏覽器的安全性)

綜上所述，我們 HTTPS 的安全性是基於對根證書的信任和加密算法的信任，從而認為自己是安全的。

上面也提到了，基於某個信任點，我們的安全才能聊下去，所以是沒有絕對的安全的。如果黑客劫持了瀏覽器，讓你所有請求先到他，他再到伺服器，那麼你請求的所有數據都會先到黑客手上，那麼就不安全了。舉例：我們的梯子很多就是代理，瀏覽器發出的請求被它代理，然後走到可以翻牆的伺服器上再去請求資源，得到的數據自然也是原路返還，那麼這個中轉伺服器就可以做很多操作了。

相信到這裡，大家已經知道我們常說的網絡分層架構一般是定義成5層或者7層，而我們所說的網絡協議是針對裡面某一層的通信協議。這裡以我們最常接觸的 http 和 https 為例做了說明，並且講了它們的區別，還延申了下網絡安全方面的內容。

作者介紹

蔡柱樑，51CTO社區編輯，從事Java後端開發8年，做過傳統項目廣電BOSS系統，後投身網際網路電商，負責過訂單，TMS，中間件等。