Android Https的安全使用

最新推荐文章于 2023-06-12 13:08:32 发布
最新推荐文章于 2023-06-12 13:08:32 发布
阅读量1.4k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangsf1112/article/details/73650750
版权
一.Https介绍
HTTP协议是没有加密的明文传输协议,如果APP采用HTTP传输数据,则会泄露传输内容,可能被中间人劫持,修改传输的内容。
HTTPS是HTTP over SSL,HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL。 安全套接字层 (SSL)现在技术上称为传输层安全协议(TLS)。 SSL/TLS层负责客户端和服务器之间的加解密算法协商、密钥交换、通信连接的建立。

在典型的 HTTPS 使用场景中,会使用一个包含公钥及与其匹配的私钥的证书配置服务器。作为 SSL 客户端与服务器握手的一部分,服务器将通过使用公钥加密签署其证书来证明自己具有私钥。

不过,任何人都可以生成他们自己的证书和私钥,因此,一个简单的握手只能说明服务器知道与证书公钥匹配的私钥,除此之外什么都证明不了。解决此问题的一个方法是让客户端拥有其信任的一个或多个证书集。如果证书不在此集合中,则不会信任服务器。

但这个简单的方法有几个缺点。服务器应能够随时间的推移升级到更强的密钥(“密钥旋转”),使用新的公钥替换证书中的公钥。遗憾的是,客户端应用现在必须根据服务器配置发生的变化进行更新。如果服务器不在应用开发者的控制下(例如,如果服务器是一个第三方网络服务),则很容易出现问题。如果应用必须与网络浏览器或电子邮件应用等任意服务器通信,那么,此方法也会带来问题。

为弥补这些缺点,通常使用来自知名颁发者证书颁发机构(CA)发放的证书配置服务器。主机平台一般包含其信任的知名 CA 的列表。从 Android 4.2 开始,Android 目前包含在每个版本中更新的 100 多个 CA。CA 具有一个证书和一个私钥,这点与服务器相似。为服务器发放证书时,CA 使用其私钥签署服务器证书。然后,客户端可以验证该服务器是否具有平台已知的 CA 发放的证书。

不过,在解决一些问题的同时,使用 CA 也会引发其他问题。因为 CA 为许多服务器发放证书,因此,您仍需要某种方式来确保您与您需要的服务器通信。为解决这个问题,CA 发放的证书通过类似 gmail.com 等具体名称或 *.google.com 等通配型主机集识别服务器。

以下示例会让这些概念更具体。下面的代码段来自命令行,openssl 工具的 s_client 命令将查看维基百科( Wikipedia) 的服务器证书信息。它指定端口 443,因为此端口是 HTTPS的默认端口。此命令将 openssl s_client 的输出发送到 openssl x509,后者将根据 X.509 标准 格式化与证书有关的信息。具体而言,此命令获取subject和issuer信息,分别包含服务器名称信息 和 可认证 CA 的颁发结构。如下:

$ openssl s_client -connect wikipedia.org:443 | openssl x509 -noout -subject -issuer
subject= /serialNumber=sOrr2rKpMVP70Z6E9BT5reY008SJEdYv/C=US/O=*.wikipedia.org/OU=GT03314600/OU=See www.rapidssl.com/resources/cps (c)11/OU=Domain Control Validated - RapidSSL(R)/CN=*.wikipedia.org
issuer= /C=US/O=GeoTrust, Inc./CN=RapidSSL CA

你会看到证书是由 RapidSSL CA 为与 *.wikipedia.org 匹配的服务器发放的。

  HTTPS通信所用到的证书由CA提供,需要在服务器中进行相应的设置才能生效。另外在我们的客户端设备中,只要访问的HTTPS的网站所用的证书是知名CA根证书签发的,如果这些CA又在浏览器或者操作系统的根信任列表中,就可以直接访问。而如 12306.cn 网站,它的证书是非可信CA提供的,是自己签发的,所以在用谷歌浏览器打开时,会提示“您的连接不是私密连接”,证书是非可信CA颁发的:

  所以在 12306.cn 的网站首页会提示“ 为保障您顺畅购票,请下载安装 根证书 ”,操作系统安装后,就不会再有上图的提示了。
 
二. Https使用

1. 访问知名CA发放证书的Https服务器

URL url = new URL("https://wikipedia.org");
URLConnection urlConnection = url.openConnection();
InputStream in = urlConnection.getInputStream();
copyInputStreamToOutputStream(in, System.out);
假设要访问一个由知名 CA 发放证书的网络服务器,那么,可以使用上述简单代码发起安全的请求,因为Android平台已经包含了该CA。
而使用私有CA签发的证书的服务器使用上述方式就无法访问。

2.访问使用未知CA或私有CA签发证书的服务器
如果要使用私有CA或未知CA签发的证书,因为Android系统还不信任该CA的证书,会出现异常javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found。  

对服务器证书进行校验 必须重写校验证书链TrustManager中的方法 checkServerTrusted() 
    private void requestFromServer(final Context context, String https_url) throws NoSuchAlgorithmException, KeyManagementException, IOException {
        TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    @Override
                    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {

                    }

                    @Override
                    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                        //校验服务器证书
                        if (chain == null) {
                            throw new IllegalArgumentException("Check Server X509Certificates is null");
                        }

                        if (chain.length < 0) {
                            throw new IllegalArgumentException("Check Server X509Certificates is empty");
                        }

                        for (X509Certificate cert : chain) {
                            cert.checkValidity();

                            try {
                                String certName = "abc.crt"; //一般将下载的证书放到项目中的assets目录下
                                InputStream certInput = new BufferedInputStream(context.getAssets().open(certName));
                                CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
                                X509Certificate serverCert = (X509Certificate) certificateFactory.generateCertificate(certInput);

                                cert.verify(serverCert.getPublicKey());
                            } catch (IOException e) {
                                e.printStackTrace();
                            } catch (NoSuchAlgorithmException e) {
                                e.printStackTrace();
                            } catch (InvalidKeyException e) {
                                e.printStackTrace();
                            } catch (NoSuchProviderException e) {
                                e.printStackTrace();
                            } catch (SignatureException e) {
                                e.printStackTrace();
                            }
                        }
                    }

                    @Override
                    public X509Certificate[] getAcceptedIssuers() {
                        return new X509Certificate[0];
                    }
                }
        };


        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustAllCerts, null);

        HostnameVerifier hostnameVerifier = new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                //校验服务器证书的域名是否相符(若不校验服务器证书域名则直接return true)
                HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier();
                Boolean result = hv.verify("*.xxx.com", session);
                return result;
            }
        };

        URL url = new URL(https_url);
        HttpsURLConnection httpsURLConnection = (HttpsURLConnection) url.openConnection();
        httpsURLConnection.setSSLSocketFactory(sslContext.getSocketFactory());
        httpsURLConnection.setHostnameVerifier(hostnameVerifier);
//        httpsURLConnection.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER); //信任所有主机(注意:此处SSLSocketFactory与sslContext.getSocketFactory()返回的是不同的类)

        InputStream in = httpsURLConnection.getInputStream();

        //网络返回的数据处理...

    }

另一种实现方式
通过保存在assets路径下的证书文件获取特定的证书,用该 CA 创建  KeyStore ,然后用后者创建和初始化  TrustManager TrustManager  是系统用于从服务器验证证书的工具,可以使用一个或多个 CA 从 KeyStore  创建,而创建的  TrustManager   将仅信任这些 CA。 如果是新的  TrustManager   ,此示例将初始化一个新的  SSLContext ,后者可以提供一个  SSLSocketFactory ,您可以通过  HttpsURLConnection  用它来替换默认的  SSLSocketFactory 。这样一来,网络请求时将使用您的 CA 验证证书, 系统能够验证您的服务器证书是否来自值得信任的颁发者。 
    /**
     * 获取校验服务器端证书的SocketFactory
     *
     * @param context
     * @param certName 保存在assets路径下的服务器端证书文件名,如abc.crt
     * @return
     */
    public static javax.net.ssl.SSLSocketFactory getSocketFactory(Context context, String certName) throws IOException, CertificateException,
            KeyStoreException, NoSuchAlgorithmException, KeyManagementException {
        InputStream certInput = new BufferedInputStream(context.getAssets().open(certName));

        //以X.509格式获取证书
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        Certificate cert = certificateFactory.generateCertificate(certInput);

        //生成一个包含服务器端证书的KeyStore
        String keyStoreType = KeyStore.getDefaultType();
        KeyStore keyStore = KeyStore.getInstance(keyStoreType);
        keyStore.load(null, null);
        keyStore.setCertificateEntry("cert", cert);

        //用包含服务器端证书的KeyStore生成一个TrustManager
        String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm);
        trustManagerFactory.init(keyStore);

        //生成一个使用我们TrustManager的SSLContext
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustManagerFactory.getTrustManagers(), null);

        return sslContext.getSocketFactory();
    }

    public static void test(final Context context) {
        new Thread() {
            @Override
            public void run() {
                super.run();
                String https_url = "https://www.xxx.com";
                try {
                    URL url = new URL(https_url);
                    HttpsURLConnection httpsURLConnection = (HttpsURLConnection) url.openConnection();
                    httpsURLConnection.setSSLSocketFactory(getSocketFactory(context, "abc.cer"));

                    InputStream in = httpsURLConnection.getInputStream();

                    ...
                    
                } catch (MalformedURLException e) {
                    e.printStackTrace();
                } catch (IOException e) {
                    e.printStackTrace();
                } catch (CertificateException e) {
                    e.printStackTrace();
                } catch (NoSuchAlgorithmException e) {
                    e.printStackTrace();
                } catch (KeyStoreException e) {
                    e.printStackTrace();
                } catch (KeyManagementException e) {
                    e.printStackTrace();
                }
            }
        }.start();
    }

3.使用OKHttp访问https服务器 
private void requestFromServer(final Context context, String https_url) throws NoSuchAlgorithmException, KeyManagementException, IOException {
        X509TrustManager[] trustAllCerts = new X509TrustManager[]{
                new X509TrustManager() {
                    @Override
                    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {

                        //不校验客户端证书
                    }

                    @Override
                    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                        //不校验服务器证书
                    }

                    @Override
                    public X509Certificate[] getAcceptedIssuers() {
                        return new X509Certificate[0];
                    }
                }
        };

        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, trustAllCerts, null);

        HostnameVerifier hostnameVerifier = new HostnameVerifier() {
            @Override
            public boolean verify(String hostname, SSLSession session) {
                //不校验服务器证书的域名
                return true;
            }
        };

        OkHttpClient okHttpClient = new OkHttpClient.Builder().hostnameVerifier(hostnameVerifier)
                .sslSocketFactory(sslContext.getSocketFactory(), trustAllCerts[0]).build();

        Request request = new Request.Builder().url(https_url).build();

        Call call = okHttpClient.newCall(request);
        call.enqueue(new Callback() {
            @Override
            public void onFailure(Call call, IOException e) {
                
            }

            @Override
            public void onResponse(Call call, Response response) throws IOException {

            }
        });

    }
上述方法中未校验服务器证书和域名,可以参考前面的方法进行具体校验。

4.WebView访问https服务器
webview加载H5页面,在webView.setWebViewClient(webviewClient)时重载WebViewClient的onReceivedSslError(),如果出现证书错误会回调该方法,在其中直接调用handler.proceed()会忽略错误继续加载证书有问题的页面,如果调用handler.cancel()可以终止加载证书有问题的页面,证书出现问题了,可以提示用户风险,让用户选择加载与否。 
    public class MyWebViewClient extends WebViewClient {

        ...

        @Override
        public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
            handler.proceed();
        }
    }

参考
wangsf1112
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
海思Android安全方案-使用指南.pdf
07-25
海思Android安全方案-使用指南 Android 是个开放的平台,且有大量第三方应用。在广电、电信领域应用时,引起运营 商对安全问题的担忧。主要包含:安全启动、APK 管控、秘钥管理。 本文档详细描述海思 Android 平台...
OkHttp Https 证书忽略
专注Android ,直到世界尽头
12-28 1250
1、实现X509TrustManager 接口。2、创建Client 客户端时使用Trust。
Android忽略https验证/自定义https验证方法 okhttp+Retrofit+https
u011511057的专栏
02-03 851
Android忽略https验证/自定义https验证方法 okhttp+Retrofit+https 直接上代码了,看不太明白的看下我上一篇文章 https://blog.csdn.net/u011511057/article/details/103825285 public class HttpsDemoActivity extends AppCompatActivity { Retr...
基于Android10的忽略HTTPS证书校验
小小小石头的专栏
03-31 8052
为什么要忽略证书校验 从Android 9 开始 APP默认访问的URL 必须是HTTPS协议的,虽然可以配置回支持HTTP,但这种做法不建议使用,已经0202年了,HTTPS早已经是主流。既然要使用HTTPS协议,就少不了CA证书,这个证书是收费的,也有些平台可以什么一年有效期的免费证书,但作为个人开发者,自己建个项目,开发用,完全没必要,我们使用JDK下的keytool生成 https证书。...
Android Okhttp3.0及其以上版本忽略https证书(就是信任所有证书)
UrasakiNakajima的博客
05-17 2256
一开始工作做项目的时候,在小公司,都是使用http协议进行开发,后来来了大公司之后,发现他们用的https协议,但是Android使用https协议一般需要配置证书,经探索发现可以忽略https证书进行开发,与之不同的是iOS内置了很多信任的证书,所以iOS不需要做任何操作。2.通过这个类我们可以获得SSLSocketFactory,这个东西就是用来管理证书和信任证书的,然后还需要配置一个HostnameVerifier来忽略host验证,然后我们在Okhttp3中设置一下这两个属性。
Android Https的详解
ruanyandong的博客
09-20 3913
Https的通信过程 两种加密 加密方式分两种,对称加密和非对称加密。这两种方式都有自己的优劣势, https中这两种方式都采用了。 我们约定S是服务端,C是客户端,客户端需要从服务端获取信息; 对称加密 这种加密方式比较简单,就是双方都持有密匙。S和C都持有密匙, S通过密匙加密明文传递给C,C获取加密后的信息,用密匙解密信息。 优势: 加密速度快 劣势: 密匙的传递是个问题,容易被截取,密匙一旦被截取后, 就能轻易破解信息。 常见的对称加密算法有DES、3DES、TDEA、Blowfish、RC5
Android系统安全与攻防
07-23
资源名称:Android系统安全与攻防内容简介:本书共分为10章。第1章介绍了移动设备的发展格局;第2章和第3章分别介绍了Android操作系统和应用程序的体系结构;第4章深入研究了Android系统的安全特性;第5~9章介绍了...
Android安全机制 PPT版本
01-27
Android应用程序是运行在一个沙箱中。这个沙箱是基于Linux内核提供的用户ID(UID)和用户组ID(GID)来实现的。Android应用程序在安装的过程中,安装服务PackageManagerService会为它们分配一个唯一的UID和GID,以及...
Android安全风险控制策略
01-30
:在Android应用开发中会遇到各种各样的安全性问题,开发者应该从宏观上了解应用开发中可能存在的各种安全隐患,积极采取适当的控制策略。同时,在实现过程中从细节上采取具体的安全措施,增强系统的防御功能。 没有...
Android安全规范
01-17
Android安全规范,开发App项目必须遵守。否则很容易出现代码泄漏等问题
Android项目中使用HTTPS配置的步骤详解
08-30
主要给大家介绍了关于Android项目中使用HTTPS配置步骤的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
Android实现https网络访问
05-20
Android实现https网络访问,四种实现方式:1、客户端添加指定信任cer证书。2、客户端信任所有证书。3、HttpClient方式实现,支持所有Https免验证方式链接(与2类似,只不过采用HttpClient方式实现)。4、HttpClient方式实现,支持验证指定证书(与1类似,只不过采用HttpClient方式实现)
android Https使用及双向验证证书
jiushi1995的博客
02-24 3719
一、 Https 简介 1、 什么是Https? 简单来说, HTTPS = HTTP + SSL/TLS协议。 HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS 2. HTTPS加密方式(SSL/TLS 加密方式) SSL加密使用了对称加密及非对称加密的方式。在数据传输过程中,使用对称加密方式加密数据。使用非对称加密方式加密对称加密算法的密钥。 使用两种加密方式的原因:非对称加密拥有公,私两种密钥,加密及解密的算法不同,更安全,但在加密解密的
HTTPS 原理浅析及其在 Android 中的使用
2301_78145669的博客
06-12 1189
在App中,把服务端证书放到资源文件下(通常是asset目录下,因为证书对于每一个用户来说都是相同的,并且也不会经常发生改变),但是也可以放在设备的外部存储上。// 在这里进行服务器正式的名称的配置@Overridei++) {try {try {复制@Overridetry {try {复制。
android采用Https的解决方案,Android使用https
weixin_42538470的博客
05-25 3066
前言HI,欢迎来到裴智飞的《每周一博》。今天是九月第三周,我给大家介绍一下安卓如何使用https。HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷...
Android Https解析!
walk的博客
09-05 1388
一、Https基础 1、Http的缺点 1)、通信报文是明文,内容容易被窃听 2)、没有通信方的身份,通信方容易被伪装 3)、无法验证报文的完整性,因此内容可能已经被更改 2、Https可以解决上面缺点。Https就是Http+ssl。Http直接和tcp通信,Https是和ssl通信,ssl和tcp通信。ssl是独立于ht...
java无法验证证书_在java中验证证书会引发异常 – 无法找到所请求目标的有效证书路径...
weixin_30695909的博客
02-21 773
如果您期望获得客户端证书,请让JSSE为您完成所有这些工作.如果要将特定连接用于自己的信任库,请配置JSSE以使用它.检查参考文档中的Customizing JSSE部分.以下是使用自定义信任库构建SSLContext的简短示例. (其他更复杂的X509TrustManagers也可以使用,但你很少需要它.)TrustManagerFactory tmf = TrustManagerFactory...
okhttp3.0忽略https证书
热门推荐
Anonymous
06-14 4万+
最近公司项目需要,网络协议支持https
Android 网络编程之HTTPS详解
Android技术之家
07-26 385
前言:HTTPS涉及相关的知识,总是很难的将其归纳总结起来,本文旨在带你学习详细的HTTPS相关知识点,看完本文后,你会了解到以下相关知识点;HTTPS的工作原理HTTPS为什么要这样设...
android安全工具 drozer使用
最新发布
08-07
drozer是一款针对Android平台开发的安全工具,旨在帮助开发者和安全研究人员发现并解决安卓应用中的安全漏洞。 首先,drozer可以扫描目标应用程序中的漏洞。它能够自动化地检测存在的漏洞,并提供详细的报告,包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值