相信不少初學手機聯網開發的朋友都想知道Http與Socket連線究竟有什麼區別，希望通過自己的淺顯理解能對初學者有所幫助。

1、TCP連線

要想明白Socket連線，先要明白TCP連線。手機能夠使用聯網功能是因為手機底層實現了TCP/IP協議，可以使手機終端通過無線網路建立TCP連線。TCP協議可以對上層網路提供介面，使上層網路資料的傳輸建立在“無差別”的網路之上。

建立起一個TCP連線需要經過“三次握手”：

第一次握手：客戶端傳送syn包(syn=j)到伺服器，並進入SYN_SEND狀態，等待伺服器確認；

第二次握手：伺服器收到syn包，必須確認客戶的SYN（ack=j+1），同時自己也傳送一個SYN包（syn=k），即SYN+ACK包，此時伺服器進入SYN_RECV狀態；

第三次握手：客戶端收到伺服器的SYN＋ACK包，向伺服器傳送確認包ACK(ack=k+1)，此包傳送完畢，客戶端和伺服器進入ESTABLISHED狀態，完成三次握手。

握手過程中傳送的包裡不包含資料，三次握手完畢後，客戶端與伺服器才正式開始傳送資料。理想狀態下，TCP連線一旦建立，在通訊雙方中的任何一方主動關閉連線之前，TCP 連線都將被一直保持下去。斷開連線時伺服器和客戶端均可以主動發起斷開TCP連線的請求，斷開過程需要經過“四次握手”（過程就不細寫了，就是伺服器和客戶端互動，最終確定斷開）

2、HTTP連線

HTTP協議即超文字傳送協議(Hypertext Transfer Protocol )，是Web聯網的基礎，也是手機聯網常用的協議之一，HTTP協議是建立在TCP協議之上的一種應用。

HTTP連線最顯著的特點是客戶端傳送的每次請求都需要伺服器回送響應，在請求結束後，會主動釋放連線。從建立連線到關閉連線的過程稱為“一次連線”。

1）在HTTP 1.0中，客戶端的每次請求都要求建立一次單獨的連線，在處理完本次請求後，就自動釋放連線。

2）在HTTP 1.1中則可以在一次連線中處理多個請求，並且多個請求可以重疊進行，不需要等待一個請求結束後再發送下一個請求。

由於HTTP在每次請求結束後都會主動釋放連線，因此HTTP連線是一種“短連線”，要保持客戶端程式的線上狀態，需要不斷地向伺服器發起連線請求。通常的做法是即時不需要獲得任何資料，客戶端也保持每隔一段固定的時間向伺服器傳送一次“保持連線”的請求，伺服器在收到該請求後對客戶端進行回覆，表明知道客戶端“線上”。若伺服器長時間無法收到客戶端的請求，則認為客戶端“下線”，若客戶端長時間無法收到伺服器的回覆，則認為網路已經斷開。

3、SOCKET原理

3.1套接字（socket）概念

套接字（socket）是通訊的基石，是支援TCP/IP協議的網路通訊的基本操作單元。它是網路通訊過程中端點的抽象表示，包含進行網路通訊必須的五種資訊：連線使用的協議，本地主機的IP地址，本地程序的協議埠，遠地主機的IP地址，遠地程序的協議埠。

應用層通過傳輸層進行資料通訊時，TCP會遇到同時為多個應用程式程序提供併發服務的問題。多個TCP連線或多個應用程式程序可能需要通過同一個 TCP協議埠傳輸資料。為了區別不同的應用程式程序和連線，許多計算機作業系統為應用程式與TCP／IP協議互動提供了套接字(Socket)介面。應用層可以和傳輸層通過Socket介面，區分來自不同應用程式程序或網路連線的通訊，實現資料傳輸的併發服務。

3.2 建立socket連線
建立Socket連線至少需要一對套接字，其中一個運行於客戶端，稱為ClientSocket ，另一個運行於伺服器端，稱為ServerSocket 。

套接字之間的連線過程分為三個步驟：伺服器監聽，客戶端請求，連線確認。

伺服器監聽：伺服器端套接字並不定位具體的客戶端套接字，而是處於等待連線的狀態，實時監控網路狀態，等待客戶端的連線請求。

客戶端請求：指客戶端的套接字提出連線請求，要連線的目標是伺服器端的套接字。為此，客戶端的套接字必須首先描述它要連線的伺服器的套接字，指出伺服器端套接字的地址和埠號，然後就向伺服器端套接字提出連線請求。

連線確認：當伺服器端套接字監聽到或者說接收到客戶端套接字的連線請求時，就響應客戶端套接字的請求，建立一個新的執行緒，把伺服器端套接字的描述發給客戶端，一旦客戶端確認了此描述，雙方就正式建立連線。而伺服器端套接字繼續處於監聽狀態，繼續接收其他客戶端套接字的連線請求。

4、SOCKET連線與TCP連線

建立Socket連線時，可以指定使用的傳輸層協議，Socket可以支援不同的傳輸層協議（TCP或UDP），當使用TCP協議進行連線時，該Socket連線就是一個TCP連線。

5、Socket連線與HTTP連線

由於通常情況下Socket連線就是TCP連線，因此Socket連線一旦建立，通訊雙方即可開始相互發送資料內容，直到雙方連線斷開。但在實際網路應用中，客戶端到伺服器之間的通訊往往需要穿越多箇中間節點，例如路由器、閘道器、防火牆等，大部分防火牆預設會關閉長時間處於非活躍狀態的連線而導致 Socket 連線斷連，因此需要通過輪詢告訴網路，該連線處於活躍狀態。

而HTTP連線使用的是“請求—響應”的方式，不僅在請求時需要先建立連線，而且需要客戶端向伺服器發出請求後，伺服器端才能回覆資料。

很多情況下，需要伺服器端主動向客戶端推送資料，保持客戶端與伺服器資料的實時與同步。此時若雙方建立的是Socket連線，伺服器就可以直接將資料傳送給客戶端；若雙方建立的是HTTP連線，則伺服器需要等到客戶端傳送一次請求後才能將資料傳回給客戶端，因此，客戶端定時向伺服器端傳送連線請求，不僅可以保持線上，同時也是在“詢問”伺服器是否有新的資料，如果有就將資料傳給客戶端。

HTTP連線

HTTP是一個屬於應用層的面向物件的協議，由於其簡捷、快速的方式，適用於分散式超媒體資訊系統。它於1990年提出，經過幾年的使用與發展，得到不斷地完善和擴充套件。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的規範化工作正在進行之中，而且HTTP-NG(Next Generation of HTTP)的建議已經提出.(協議，算是全球定位！）

WWW的核心——HTTP協議

眾所周知，Internet的基本協議是TCP/IP協議，目前廣泛採用的FTP、Archie Gopher等是建立在TCP/IP協議之上的應用層協議，不同的協議對應著不同的應用。WWW伺服器使用的主要協議是HTTP協議，即超文體傳輸協議。由於HTTP協議支援的服務不限於WWW，還可以是其它服務，因而HTTP協議允許使用者在統一的介面下，採用不同的協議訪問不同的服務，如FTP、Archie、SMTP、NNTP等。另外，HTTP協議還可用於名字伺服器和分散式物件管理。

2.1 HTTP協議簡介
HTTP是一個屬於應用層的面向物件的協議，由於其簡捷、快速的方式，適用於分散式超媒體資訊系統。它於1990年提出，經過幾年的使用與發展，得到不斷地完善和擴充套件。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1的規範化工作正在進行之中，而且HTTP-NG(Next Generation of HTTP)的建議已經提出。
HTTP協議的主要特點可概括如下：
1.支援客戶/伺服器模式。
2.簡單快速：客戶向伺服器請求服務時，只需傳送請求方法和路徑。請求方法常用的有GET、HEAD, POST。每種方法規定了客戶與伺服器聯絡的型別不同。 由於HTTP協議簡單，使得HTTP伺服器的程式規模小，因而通訊速度很快。
3.靈活：HTTP允許傳輸任意型別的資料物件。正在傳輸的型別由Content-Type加以標記。
4.無連線：無連線的含義是限制每次連線只處理一個請求。伺服器處理完客戶的請求，並收到客戶的應答後，即斷開連線。採用這種方式可以節省傳輸時間。
5.無狀態：HTTP協議是無狀態協議。無狀態是指協議對於事務處理沒有記憶能力。缺少狀態意味著如果後續處理需要前面的資訊，則它必須重傳，這樣可能導致每次連線傳送的資料量增大。另一方面，在伺服器不需要先前資訊時它的應答就較快。

2.2 HTTP協議的幾個重要概念
1.連線(Connection)：一個傳輸層的實際環流，它是建立在兩個相互通訊的應用程式之間。
2.訊息(Message)：HTTP通訊的基本單位，包括一個結構化的八元組序列並通過連線傳輸。
3.請求(Request)：一個從客戶端到伺服器的請求資訊包括應用於資源的方法、資源的識別符號和協議的版本號
4.響應(Response)：一個從伺服器返回的資訊包括HTTP協議的版本號、請求的狀態(例如“成功”或“沒找到”)和文件的MIME型別。
5.資源(Resource)：由URI標識的網路資料物件或服務。
6.實體(Entity)：資料資源或來自服務資源的回映的一種特殊表示方法，它可能被包圍在一個請求或響應資訊中。一個實體包括實體頭資訊和實體的本身內容。
7.客戶機(Client)：一個為傳送請求目的而建立連線的應用程式。
8.使用者代理(User agent)：初始化一個請求的客戶機。它們是瀏覽器、編輯器或其它使用者工具。
9.伺服器(Server)：一個接受連線並對請求返回資訊的應用程式。
10.源伺服器(Origin server)：是一個給定資源可以在其上駐留或被建立的伺服器。
11.代理(Proxy)：一箇中間程式，它可以充當一個伺服器，也可以充當一個客戶機，為其它客戶機建立請求。請求是通過可能的翻譯在內部或經過傳遞到其它的伺服器中。一個代理在傳送請求資訊之前，必須解釋並且如果可能重寫它。
代理經常作為通過防火牆的客戶機端的門戶，代理還可以作為一個幫助應用來通過協議處理沒有被使用者代理完成的請求。
12.閘道器(Gateway)：一個作為其它伺服器中間媒介的伺服器。與代理不同的是，閘道器接受請求就好象對被請求的資源來說它就是源伺服器；發出請求的客戶機並沒有意識到它在同閘道器打交道。
閘道器經常作為通過防火牆的伺服器端的門戶，閘道器還可以作為一個協議翻譯器以便存取那些儲存在非HTTP系統中的資源。
13.通道(Tunnel)：是作為兩個連線中繼的中介程式。一旦啟用，通道便被認為不屬於HTTP通訊，儘管通道可能是被一個HTTP請求初始化的。當被中繼的連線兩端關閉時，通道便消失。當一個門戶(Portal)必須存在或中介(Intermediary)不能解釋中繼的通訊時通道被經常使用。
14.快取(Cache)：反應資訊的局域儲存。

2.3 HTTP協議的運作方式
HTTP協議是基於請求／響應正規化的。一個客戶機與伺服器建立連線後，傳送一個請求給伺服器，請求方式的格式為，統一資源識別符號、協議版本號，後邊是MIME資訊包括請求修飾符、客戶機資訊和可能的內容。伺服器接到請求後，給予相應的響應資訊，其格式為一個狀態行包括資訊的協議版本號、一個成功或錯誤的程式碼，後邊是MIME資訊包括伺服器資訊、實體資訊和可能的內容。
許多HTTP通訊是由一個使用者代理初始化的並且包括一個申請在源伺服器上資源的請求。最簡單的情況可能是在使用者代理(UA)和源伺服器(O)之間通過一個單獨的連線來完成(見圖2-1)。

當一個或多箇中介出現在請求／響應鏈中時，情況就變得複雜一些。中介由三種：代理(Proxy)、閘道器(Gateway)和通道(Tunnel)。

一個代理根據URI的絕對格式來接受請求，重寫全部或部分訊息，通過URI的標識把已格式化過的請求傳送到伺服器。

閘道器是一個接收代理，作為一些其它伺服器的上層，並且如果必須的話，可以把請求翻譯給下層的伺服器協議。

一個通道作為不改變訊息的兩個連線之間的中繼點。當通訊需要通過一箇中介(例如：防火牆等)或者是中介不能識別訊息的內容時，通道經常被使用。圖2-2
上面的圖2-2表明了在使用者代理(UA)和源伺服器(O)之間有三個中介(A,B和C)。一個通過整個鏈的請求或響應訊息必須經過四個連線段。這個區別是重要的，因為一些HTTP通訊選擇可能應用於最近的連線、沒有通道的鄰居，應用於鏈的終點或應用於沿鏈的所有連線。儘管圖2-2是線性的，每個參與者都可能從事多重的、併發的通訊。例如，B可能從許多客戶機接收請求而不通過A，並且／或者不通過C把請求送到A，在同時它還可能處理A的請求。
任何針對不作為通道的匯聚可能為處理請求啟用一個內部快取。快取的效果是請求／響應鏈被縮短，條件是沿鏈的參與者之一具有一個快取的響應作用於那個請求。下圖說明結果鏈，其條件是針對一個未被UA或A加快取的請求，B有一個經過C來自O的一個前期響應的快取拷貝。
圖2-3
在Internet上，HTTP通訊通常發生在TCP/IP連線之上。預設埠是TCP 80，但其它的埠也是可用的。但這並不預示著HTTP協議在Internet或其它網路的其它協議之上才能完成。HTTP只預示著一個可靠的傳輸。
以上簡要介紹了HTTP協議的巨集觀運作方式，下面介紹一下HTTP協議的內部操作過程。
首先，簡單介紹基於HTTP協議的客戶/伺服器模式的資訊交換過程，如圖2-4所示，它分四個過程，建立連線、傳送請求資訊、傳送響應資訊、關閉連線。
圖2-4

在WWW中，“客戶”與“伺服器”是一個相對的概念，只存在於一個特定的連線期間，即在某個連線中的客戶在另一個連線中可能作為伺服器。WWW伺服器執行時，一直在TCP80埠(WWW的預設埠)監聽，等待連線的出現。

下面，討論HTTP協議下客戶/伺服器模式中資訊交換的實現。

1.建立連線連線的建立是通過申請套接字(Socket)實現的。客戶開啟一個套接字並把它約束在一個埠上，如果成功，就相當於建立了一個虛擬檔案。以後就可以在該虛擬檔案上寫資料並通過網路向外傳送。
2.傳送請求
開啟一個連線後，客戶機把請求訊息送到伺服器的停留埠上，完成提出請求動作。
HTTP/1.0 請求訊息的格式為：
請求訊息=請求行(通用資訊|請求頭|實體頭) CRLF[實體內容]
請求 行=方法 請求URL HTTP版本號 CRLF
方 法=GET|HEAD|POST|擴充套件方法
U R L=協議名稱+宿主名+目錄與檔名
請求行中的方法描述指定資源中應該執行的動作，常用的方法有GET、HEAD和POST。

不同的請求物件對應GET的結果是不同的，對應關係如下：
物件 GET的結果
檔案 檔案的內容
程式 該程式的執行結果
資料庫查詢 查詢結果
HEAD——要求伺服器查詢某物件的元資訊，而不是物件本身。
POST——從客戶機向伺服器傳送資料，在要求伺服器和CGI做進一步處理時會用到POST方法。POST主要用於傳送HTML文字中FORM的內容，讓CGI程式處理。

一個請求的例子為：
GET http://networking.zju.edu.cn/zju/index.htm HTTP/1.0
頭資訊又稱為元資訊，即資訊的資訊，利用元資訊可以實現有條件的請求或應答 。
請求頭——告訴伺服器怎樣解釋本次請求，主要包括使用者可以接受的資料型別、壓縮方法和語言等。
實體頭——實體資訊型別、長度、壓縮方法、最後一次修改時間、資料有效期等。
實體——請求或應答物件本身。
3.傳送響應
伺服器在處理完客戶的請求之後，要向客戶機發送響應訊息。
HTTP/1.0的響應訊息格式如下：
響應訊息=狀態行(通用資訊頭|響應頭|實體頭) CRLF 〔實體內容〕
狀 態 行=HTTP版本號 狀態碼 原因敘述
狀態碼錶示響應型別
1×× 保留
2×× 表示請求成功地接收
3×× 為完成請求客戶需進一步細化請求
4×× 客戶錯誤
5×× 伺服器錯誤
響應頭的資訊包括：服務程式名，通知客戶請求的URL需要認證，請求的資源何時能使用。
4.關閉連線
客戶和伺服器雙方都可以通過關閉套接字來結束TCP/IP對話

https:

HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。它是一個URI scheme（抽象識別符號體系），句法類同http:體系。用於安全的HTTP資料傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同於HTTP的預設埠及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，現在它被廣泛用於全球資訊網上安全敏感的通訊，例如交易支付方面。

它是由Netscape開發並內置於其瀏覽器中，用於對資料進行壓縮和解壓操作，並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的安全套接字層（SSL）作為HTTP應用層的子層。（HTTPS使用埠443，而不是象HTTP那樣使用埠80來和TCP/IP進行通訊。）SSL使用40 位關鍵字作為RC4流加密演算法，這對於商業資訊的加密是合適的。HTTPS和SSL支援使用X.509數字認證，如果需要的話使用者可以確認傳送者是誰。

　　也就是說它的主要作用可以分為兩種：一種是建立一個資訊保安通道，來保證資料傳輸的安全；另一種就是確認網站的真實性。

編輯本段HTTPS和HTTP的區別

　　一、https協議需要到ca申請證書，一般免費證書很少，需要交費。

　　二、http是超文字傳輸協議，資訊是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。

　　三、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

　　四、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

編輯本段HTTPS解決的問題

一、信任主機的問題.

　　採用https的伺服器必須從CA （Certificate Authority）申請一個用於證明伺服器用途型別的證書。該證書只有用於對應的伺服器的時候，客戶端才信任此主機。所以目前所有的銀行系統網站，關鍵部分應用都是https 的。客戶通過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。這一點對我們沒有任何意義，我們的伺服器，採用的證書不管是自己釋出的還是從公眾的地方釋出的，其客戶端都是自己人，所以我們也就肯定信任該伺服器。

二、通訊過程中的資料的洩密和被篡改

　　1． 一般意義上的https，就是伺服器有一個證書。

　　a) 主要目的是保證伺服器就是他聲稱的伺服器，這個跟第一點一樣。

　　b) 服務端和客戶端之間的所有通訊，都是加密的。

　　i. 具體講，是客戶端產生一個對稱的金鑰，通過伺服器的證書來交換金鑰，即一般意義上的握手過程。

　　ii. 接下來所有的資訊往來就都是加密的。第三方即使截獲，也沒有任何意義，因為他沒有金鑰，當然篡改也就沒有什麼意義了。

　　2． 少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。

　　a) 這裡客戶端證書，其實就類似表示個人資訊的時候，除了使用者名稱/密碼，還有一個CA 認證過的身份。因為個人證書一般來說是別人無法模擬的，所有這樣能夠更深的確認自己的身份。

　　b) 目前少數個人銀行的專業版是這種做法，具體證書可能是拿U盤（即U盾）作為一個備份的載體。 ^[1]

編輯本段限制

概述

　　它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際加密演算法的支援.

　　一種常見的誤解是“銀行使用者線上使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上，與伺服器的加密連線中能保護銀行卡號的部分，只有使用者到伺服器之間的連線及伺服器自身。並不能絕對確保伺服器自己是安全的，這點甚至已被攻擊者利用，常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶資料時發生，攻擊者會嘗試竊聽傳輸中的資料。

　　商業網站被人們期望迅速儘早引入新的特殊處理程式到金融閘道器，僅保留傳輸碼(transaction number)。不過他們常常儲存銀行卡號在同一個資料庫裡。那些資料庫和伺服器少數情況有可能被未授權使用者攻擊和損害。

TLS 1.1之前

　　這段僅針對TLS 1.1之前的狀況。因為SSL位於http的下一層，並不能理解更高層協議，通常SSL伺服器僅能頒證給特定的IP/埠組合。這是指它經常不能在虛擬主機(基於域名)上與HTTP正常組合成HTTPS。

　　這一點已被即將來臨的TLS 1.1更新為—種完全支援基於域名的虛擬主機。

編輯本段SSL介紹

　　SSL (Secure Socket Layer)

　　為Netscape所研發，用以保障在Internet上資料傳輸之安全，利用資料加密(Encryption)技術，可確保資料在網路上之傳輸過程中不會被擷取及竊聽。目前一般通用之規格為40 bit之安全標準，美國則已推出128 bit之更高安全標準，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支援SSL。

　　當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密資料傳輸。

　　SSL協議位於TCP/IP協議與各種應用層協議之間，為資料通訊提供安全支援。SSL協議可分為兩層：SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供資料封裝、壓縮、加密等基本功能的支援。SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用於在實際的資料傳輸開始前，通訊雙方進行身份認證、協商加密演算法、交換加密金鑰等。

SSL協議提供的服務主要有哪些？

　　1）認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器

　　2）加密資料以防止資料中途被竊取

　　3）維護資料的完整性，確保資料在傳輸過程中不被改變。

SSL協議的工作流程

　　伺服器認證階段：1）客戶端向伺服器傳送一個開始資訊“Hello”以便開始一個新的會話連線；2）伺服器根據客戶的資訊確定是否需要生成新的主金鑰，如需要則伺服器在響應客戶的“Hello”資訊時將包含生成主金鑰所需的資訊；3）客戶根據收到的伺服器響應資訊，產生一個主金鑰，並用伺服器的公開金鑰加密後傳給伺服器；4）伺服器恢復該主金鑰，並返回給客戶一個用主金鑰認證的資訊，以此讓客戶認證伺服器。

使用者認證階段

　　在此之前，伺服器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的伺服器傳送一個提問給客戶，客戶則返回（數字）簽名後的提問和其公開金鑰，從而向伺服器提供認證。

　　從SSL 協議所提供的服務及其工作流程可以看出，SSL協議執行的基礎是商家對消費者資訊保密的承諾，這就有利於商家而不利於消費者。在電子商務初級階段，由於運作電子商務的企業大多是信譽較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務的發展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證，但是SSL協議仍存在一些問題，比如，只能提供交易中客戶與伺服器間的雙方認證，在涉及多方的電子交易中，SSL協議並不能協調各方間的安全傳輸和信任關係。在這種情況下，Visa和MasterCard兩大信用卡公組織制定了SET協議，為網上信用卡支付提供了全球性的標準。

編輯本段SSL協議的握手過程

　　為了便於更好的認識和理解SSL 協議，這裡著重介紹SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和伺服器之間完成相互之間的身份認證，其主要過程如下：

　　①客戶端的瀏覽器向伺服器傳送客戶端SSL 協議的版本號，加密演算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種資訊。

　　②伺服器向客戶端傳送SSL 協議的版本號，加密演算法的種類，隨機數以及其他相關資訊，同時伺服器還將向客戶端傳送自己的證書。

　　③客戶利用伺服器傳過來的資訊驗證伺服器的合法性，伺服器的合法性包括：證書是否過期，發行伺服器證書的CA 是否可靠，發行者證書的公鑰能否正確解開伺服器證書的“發行者的數字簽名”，伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續進行第四步。

　　④使用者端隨機產生一個用於後面通訊的“對稱密碼”，然後用伺服器的公鑰（伺服器的公鑰從步驟②中的伺服器的證書中獲得）對其加密，然後將加密後的“預主密碼”傳給伺服器。

　　⑤如果伺服器要求客戶的身份認證（在握手過程中為可選），使用者可以建立一個隨機數然後對其進行資料簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給伺服器。

　　⑥如果伺服器要求客戶的身份認證，伺服器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA 是否可靠，發行CA 的公鑰能否正確解開客戶證書的發行CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，伺服器將用自己的私鑰解開加密的“預主密碼”，然後執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。

　　⑦伺服器和客戶端用相同的主密碼即“通話密碼”，一個對稱金鑰用於SSL 協議的安全資料通訊的加解密通訊。同時在SSL 通訊過程中還要完成資料通訊的完整性，防止資料通訊中的任何變化。

　　⑧客戶端向伺服器端發出資訊，指明後面的資料通訊將使用的步驟⑦中的主密碼為對稱金鑰，同時通知伺服器客戶端的握手過程結束。

　　⑨伺服器向客戶端發出資訊，指明後面的資料通訊將使用的步驟⑦中的主密碼為對稱金鑰，同時通知客戶端伺服器端的握手過程結束。

　　⑩SSL 的握手部分結束，SSL 安全通道的資料通訊開始，客戶和伺服器開始使用相同的對稱金鑰進行資料通訊，同時進行通訊完整性的檢驗。