聊聊HTTPS与Android安全

最新推荐文章于 2024-03-15 21:50:47 发布
最新推荐文章于 2024-03-15 21:50:47 发布
阅读量3.9k 收藏 13
点赞数 2
分类专栏: 安全 Android 文章标签: 加密 https android tls 协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzzst/article/details/46693685
版权

“互联网仍然处于开端的开端阶段(the beginning of its beginning)”《失控》——凯文.凯利

HTTPS是什么?

 HTTPS并不是一个单独的协议,而是对工作在一加密连接(SSL/TLS)上的常规HTTP协议。通过在TCP和HTTP之间加入TLS(Transport Layer Security)来加密 。(注: TLS为新版本的SSL)

为何需要HTTPS?

不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文传播,带来了三大风险。

 - 窃听风险(eavesdropping):第三方可以获知通信内容。 
 - 篡改风险(tampering):第三方可以修改通信内容。
 - 冒充风险(pretending):第三方可以冒充他人身份参与通信。

 SSL/TLS协议是为了解决这三大风险而设计的。那么SSL/TLS如何解决这三大风险呢?

加密传播,防第三方窃听

 HTTPS一般使用的加密与HASH算法如下:

 - 非对称加密算法:RSA,DSA/DSS 
 - 对称加密算法:AES,RC4,3DES 
 - HASH算法:MD5,SHA1,SHA256

对称加密

  1. 加密和解密的密钥是相同的.
  2. 假设A和B之间通信,使用对称密钥是123.
  3. A和B写信需要用123加密.
  4. B收到A的信息,同样需要123解密。

 对称加密的最大风险在于密钥一旦泄露,那么被截获的信件内容就会被破解.

非对称加密

  1. 加密和解密的密钥是不同的分为私钥和公钥。
  2. 私钥: 只有一份, 保存在收信人手中。不会在通信中传输,不会被泄露。
  3. 公钥:可以有多份,保存在写信人手中。
  4. 假设B要给A写信: A先生成一对公钥(123)和私钥(456)
  5. A要把自己的公钥(456)通过某种安全的方式(数字证书,下文会提到)交给B B用公钥(456)加密信件内容然后发给A
  6. A使用私钥(123)解开内容。
  7. 因此即使Step2时公钥泄露,那么即使B给A写的信被截获,由于没有A的私钥依然无法被解开。

具有校验机制,防止被篡改

使用HASH算法进行校验内容是否被篡改。

配备数字证书,防止身份被冒充

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。

  数字证书是一个文件。此文件保存了加密过的用户的信息及公钥。

数字证书在HTTPS的什么时候会用上呢?这里就要提到HTTPS握手。

HTTPS握手过程

  1. 服务端返回的数字证书(此为用户证书),客户端(浏览器)会进行如下验证: 

    1)遍历计算机以及浏览器中保存的根证书(Root CA)和中间证书              (Intermediate CA),若其中某个根证书或中间证书的公钥可以解开server端的证书,获得server的公钥和server域名. 否则握手失败。
    整个HTTPS通信的唯一核心保障就是可信的根证书。   

2) 判断证书中的域名是否和正在访问的域名相同。否则认证失败,浏览器会提示证书不可信。但是握手加密依然可以继续。

  2. 客户端(浏览器)产生一个随机的对称密钥

  3. 使用证书中服务端的公钥加密此对称密钥
  4. 将此已经加密过的对称密钥发给server。至此client和server都通过可靠的手段拥有对称密钥.
  5. 通过对称密钥加密Http的通信内容。

 通过上述的握手过程可以知道,非对称密钥只是用来加密传输对称密钥的。因为可以保证传输中的对称密钥在传输的过程中无法被破解。所以握手之后的内容通信就是安全的。

 握手过程中涉及到两种证书:

  • Https握手时Server发给Client的证书成为用户证书
  • Client所在计算机中原本保存的根证书(ROOT CA)和中间证书(Intermediate CA)

Android开发中使用的Https

 当Android端有使用https的需求的时候,如果继续保持http的方式进行网络请求,就容易出现连接失败的问题。这是因为大多数情况下,Https服务器所使用的根证书是自签名的。如果设备的信任证书列表中不包含此签名机构,就会连接失败。出现这样的问题。

 一般有两种解决方案:

  1. 让HttpClient信任所有的服务器证书,这种方法安全性则差一些,但实现相对简单。
  2. 在发起Https连接之前,将服务器证书加到HttpClient的信任证书列表中,这个相对来说比较复杂一些,很容易出错;

下面讲解第一种的实现原理。

当实例化HttpClinet对象时要绑定https连接所使用的端口号,这里绑定了443(443是https默认的端口号,就像http的默认端口是80)。

信任所有证书

一个常见的信任所有证书的Https请求,这里我们以baidu的为例。

private void getHttps() {
        String https = "https://www.baidu.com/";
        try {
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, new TrustManager[] { new ITrustManager() }, new SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());
            HttpsURLConnection.setDefaultHostnameVerifier(new IHostnameVerifier());
            HttpsURLConnection conn = (HttpsURLConnection) new URL(https).openConnection();
            conn.setDoOutput(true);
            conn.setDoInput(true);
            conn.connect();
            BufferedReader br = new BufferedReader(new InputStreamReader(conn.getInputStream()));
            StringBuffer sb = new StringBuffer();
            String line;
            while ((line = br.readLine()) != null)
                sb.append(line);
            text.setText(sb.toString());
        } catch (Exception e) {
            Log.e(this.getClass().getName(), e.getMessage());
        }
    }

    /**
     * 此类是用于主机名验证的基接口。
     * 在握手期间,如果 URL 的主机名和服务器的标识主机名不匹配,则验证机制可以回调此接口的实现程序来确定是否应该允许此连接。
     * 策略可以是基于证书的或依赖于其他验证方案。
     * 当验证 URL 主机名使用的默认规则失败时使用这些回调。
     * 
     * @author zhoushengtao
     *
     */
    private class IHostnameVerifier implements HostnameVerifier {

        /**
         * 验证主机名和服务器验证方案的匹配是可接受的。
         * 
         * (这里我们所有的都接受)
         * 
         * @param hostname - 主机名
         * @param session - 到主机的连接上使用的 SSLSession
         * 
         * @return 如果主机名是可接受的,则返回 true
         */
        @Override
        public boolean verify(String hostname, SSLSession session) {
            Log.d("https_test", "verify hostname = " + hostname );
            for (String name : session.getValueNames()) {

                Log.d("https_test", "verify session "+ name +" = " + session.getValue(name));
            }
            return true;
        }

    }

    /**
     * 此接口的实例管理使用哪一个 X509 证书来验证远端的安全套接字。
     * 决定是根据信任的证书授权、证书撤消列表、在线状态检查或其他方式做出的。
     * 
     * @author zhoushengtao
     *
     */
    private class ITrustManager implements X509TrustManager {

        /**
         *  
         *  给出同位体提供的部分或完整的证书链,构建到可信任的根的证书路径,
         *  并且返回是否可以确认和信任将其用于基于验证类型的客户端 SSL 验证。
         *  验证类型由实际使用的证书确定。
         *   例如,如果使用 RSAPublicKey,则 authType 应为 "RSA"。检查是否大小写敏感的。
         *   
         *   @param chain - 同位体的证书链
         *   @param authType - 基于客户端证书的验证类型
         *   @throws CertificateException - 如果证书链不受此 TrustManager 信任。
         *   
         */
        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            Log.d("https_test", "checkClientTrusted authType = " + authType);
            for (X509Certificate certificate : chain) {
                Log.d("https_test", "checkClientTrusted certificate = " + certificate.toString());
            }

        }

        /**
         * 给出同位体提供的部分或完整的证书链,构建到可信任的根的证书路径,
         * 并且返回是否可以确认和信任将其用于基于验证类型的服务器 SSL 验证。 
         * 验证类型是表示为一个 String 的密码套件的密钥交换算法部分,例如 "RSA"、"DHE_DSS"。
         * 
         * 注:对于一些可输出的密码套件,密钥交换算法是在运行时的联络期间确定的。
         * 例如,对于 TLS_RSA_EXPORT_WITH_RC4_40_MD5,当临时的 RSA 密钥
         *  用于密钥交换时 authType 应为 RSA_EXPORT,当使用来自服务器证书的密钥时 authType 
         *  应为 RSA。检查是否大小写敏感的。
         *  
         *  @param chain - 同位体的证书链
         *  @param authType - 使用的密钥交换算法
         *  @throws CertificateException - 如果证书链不受此 TrustManager 信任。
         */
        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            Log.d("https_test", "checkServerTrusted authType = " + authType);
            for (X509Certificate certificate : chain) {
                Log.d("https_test", "checkServerTrusted certificate = " + certificate.toString());
            }
        }

        /**
         * 返回受验证同位体信任的认证中心的数组。
         * 
         * @return 可接受的 CA 发行者证书的非 null(可能为空)的数组。
         */
        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }

    }

受信任的Https请求

当然信任所有的证书,风险性还是很大的。

一般我们的操作步骤是:

  1. 导出公钥:在浏览器上用https访问tomcat,查看其证书,并另存为一个文件(存成了X.509格式:xxxx.cer),这里我们到处的是baidu.cer
  2. 导入公钥:把xxxx.cer放在Android的assets文件夹中,以方便在运行时通过代码读取此证书。

使用HttpClient请求,代码如下:

 public String requestHTTPSPage(String mUrl) {
        InputStream inputStream = null;
        String result = "";
        try {
            inputStream = getAssets().open("baidu.cer"); // 下载的证书放到项目中的assets目录中
            CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");
            Certificate cer = cerFactory.generateCertificate(inputStream);
            KeyStore keyStore = KeyStore.getInstance("PKCS12", "BC");
            keyStore.load(null, null);
            keyStore.setCertificateEntry("trust", cer);

            SSLSocketFactory socketFactory = new SSLSocketFactory(keyStore);
            // Https 默认请求端口 443
            Scheme scheme = new Scheme("https", socketFactory, 443);
            HttpClient mHttpClient = new DefaultHttpClient();
            mHttpClient.getConnectionManager().getSchemeRegistry().register(scheme);

            BufferedReader reader = null;
            try {
                Log.d(TAG, "executeGet is in,murl:" + mUrl);
                HttpGet request = new HttpGet();
                request.setURI(new URI(mUrl));
                HttpResponse response = mHttpClient.execute(request);
                if (response.getStatusLine().getStatusCode() != 200) {
                    request.abort();
                    return result;
                }

                reader = new BufferedReader(new InputStreamReader(response.getEntity().getContent()));
                StringBuffer buffer = new StringBuffer();
                String line = null;
                while ((line = reader.readLine()) != null) {
                    buffer.append(line);
                }
                result = buffer.toString();
                Log.d(TAG, "mUrl=" + mUrl + "\nresult = " + result);
            } catch (Exception e) {
                e.printStackTrace();
            } finally {
                if (reader != null) {
                    reader.close();
                }
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                if (inputStream != null)
                    inputStream.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return result;
    }

/*
* @author zhoushengtao(周圣韬)
* @since 2015年7月3日 11:04:22
* @weixin stchou_zst
* @blog http://blog.csdn.net/yzzst
* @交流学习QQ群:341989536
* @私人QQ:445914891
/

北漂周
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
聊聊收纳与交互设计
02-21
前言:上次与朋友在火车上闲聊,聊到最近的工作。他们正在做一个面向国外用户的App。首页简单清爽,但是从中国人的视角来看,会觉得清汤寡味,而果不其然,他告诉我,最近团队正在打算改版,重新设计首页,“嗯,会...
android https——okhttp实现https请求
boolean的博客
10-23 1万+
定义: HTTPS全称为Hypertext Transfer Protocol over Secure Socket Layer 中文含义为“超文本传输协议安全加密字层” 简单来说就是加密数据传输和安全连接。https和http有什么区别 在HTTP的之下加入了SSL (Secure Socket Layer),安全的基础就靠SSL。 SSL位于TCP/IP和HTTP协议之间https
Android OkHttp中添加https支持
假装你是大灰狼的专栏
04-30 2440
基础知识 感觉就是一堆有信誉的机构,说: 我们这些机构的公钥是可信的,我们下面的小弟当然也是可以信任的啦 然后大家就去当人家小弟,就是可信的了…. 当然这里面有的大佬不高兴,就自己搞一套证书,比如12306 Https中,值得注意的密钥有: 服务器端的公钥和私钥 客户端的随机密钥 值得注意的是一个HTTPS请求实际上就是两次HTTP传输. 1.客户端向服务器发起HTTPS请求,连接到服务器的443端口。 2.服务端收到请求,向客户端发送自己的公钥 3.客户端收到服务器公钥,开始验证证书的合法性,我们知道
Android平台HTTPS抓包解决方案及问题分析
最新发布
m0_60452070的博客
03-15 647
对于Root的机器,这是最完美最佳的解决方案。如果把CA证书安装到系统CA证书目录中,那这个假CA证书就是真正洗白了,不是真的也是真的了。由于系统CA证书格式都是特殊的.0格式,我们必须将抓包工具内置的CA证书以这种格式导出,HttpCanary直接提供了这种导出选项。操作路径:设置 -> SSL证书设置 -> 导出HttpCanary根证书 -> System Trusted(.0)PS. 很不幸的HttpCanary v2.8.0前导出的证书名称可能不正确,建议升级到v2.8.0以上版本操作。
Android OkHttp中Https的处理
仰望星空
07-30 9212
android的开发过程中,我们目前常用到的网络请求框架基本都是基于Okhttp,而Https网络通信在APP的开发中也被应用的越来越多,Okhttp默认是支持https网络请求的,但是支持的Https网站必须是CA机构认证了的,对于自签名的网址,还是不能访问的,访问直接抛出如下异常信息: onFailure: java.security.cert.CertPathValidatorExc...
retrofit乱码报错 actual 0x00001fef != expected 0x00001f8b的解决方法
zhazhaweb的博客
11-19 2018
接收的数据乱码,这个bug遇到了两次,之前一次周围的大佬很快就解决了,这次我自己也遇到,我觉得有必要记录下来。 .addHeader("Accept-Encoding", "identity") 在拦截器中加入这一句话,主要原因好像是服务器发送的数据压缩过,安卓端没有解压。。。 ...
android使用Okhttp中https证书配置
Master-D的博客
12-09 2074
如果是正常的http是不用配置安全证书的,如果是使用了https的话,是必须配置安全证书 项目使用了okhttp 通过对okhttp的builder添加证书校验 OkHttpClient.Builder builder SSLContext sslContext = SSLContextUtil.getDefaultSLLContext(); if (sslContext != null) { SSLSocketFactory socketFactory = sslContext.getSo
聊聊微服务与分布式系统
02-23
单体应用、集群和微服务,这个标题一出你们可能就知道我想说啥了,emm,就是架构的演进过程,很多人可能都看过相关知识,不过我为了文章的完整性还是打算简单讲一讲。首先是单体应用,在一个业务的起步阶段,往往是...
Android仿微信群聊头像效果
08-27
主要为大家详细介绍了Android仿微信群聊头像效果,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
安卓连接https问题
rimuweinuan_的博客
09-11 2400
问题:接口是成功的,okhttp抛异常:java.io.ioexception id1id2 actual 0x00001fef = expected 0x00001f8b 解决方法:在头部添加Accept-Encoding: identity 参考:https://github.com/square/okio/issues/299 ...
android采用Https的解决方案,Android使用https
weixin_42538470的博客
05-25 3079
前言HI,欢迎来到裴智飞的《每周一博》。今天是九月第三周,我给大家介绍一下安卓如何使用https。HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷...
retrofit通过拦截器修改body内容后报错:java.io.ioexception: id1id2: actual 0x00007b22 != expected 0x00001f8b
version1_0的博客
07-15 1672
项目开发中有个需求,将所有接口的值都通过RSA加密传输,服务端返回的所有内容也都需要通过RSA解密后再使用。 参考这篇文章可以实现功能:https://blog.csdn.net/yuzhiqiang_1993/article/details/90168515 但是在实现功能之后,替换原有response的body之后,接口从onError返回,没有正确的解析成实体类,返回错误信息就如标题中所写。 因为retrofit在数据返回的时候,可能会对数据包进行压缩传输,到客户端在解密: //读取服务器返
HTTPS 原理浅析及其在 Android 中的使用
2301_78145669的博客
06-12 1202
在App中,把服务端证书放到资源文件下(通常是asset目录下,因为证书对于每一个用户来说都是相同的,并且也不会经常发生改变),但是也可以放在设备的外部存储上。// 在这里进行服务器正式的名称的配置@Overridei++) {try {try {复制@Overridetry {try {复制。
Android使用自签证书利用Okhttp进行HTTPS接口的安全连接
卡卡尔的专栏
02-11 5562
在上一篇文章中,我们自己生成了证书,创建了最简单的接口,实现了让浏览器信任了我们的证书,那么,在Android上要怎么做呢?在android中,其实也是差不多的概念,android的app都会默认使用系统的受信任证书列表, 我们可以参考android官网https://developer.android.com/training/articles/security-config?hl=zh-cn#certificates里面的说明来学习,这个受信任列表是可以切换的,并且都有默认值
Android-OKhttp解决https安全链接请求问题
bencheng06的博客
11-13 5031
Android-OKhttp解决https安全链接请求问题关于特别理论的东西大家可以百度下自己去了解下,这里就简单说一下,HTTPS相当于HTTP的安全版本了,为什么安全呢?因为它在HTTP的之下加入了SSL (Secure Socket Layer),安全的基础就靠这个SSL了。SSL位于TCP/IP和HTTP协议之间,那么它到底能干嘛呢?它能够:认证用户和服务器,确保数据发送到正确的客户机和服务
okhttp3.0忽略https证书
热门推荐
Anonymous
06-14 4万+
最近公司项目需要,网络协议支持https
Android Okhttp 配置HTTPS
菜鸟博客
05-15 849
package com.net; import android.support.annotation.Nullable; import android.text.TextUtils; import android.util.Log; import com.bocitools.utils.BociLog; import com.bocitools.utils.BociUtil; import com.bocitools.utils.FileUtil; import com.google.gson.Gson;
Android Https 理解
阿道夫的博客
12-30 292
大家都知道https相比http增加的是安全性。怎么增加安全性呢?就是加密和解密步骤。下面来详细谈谈对https的理解和在Android中的使用.本文中分析总结了https加密流程和在Android中的用法. 希望对大家有所帮助.
聊聊transformer
05-27
与传统的循环神经网络(RNN)和卷积神经网络(CNN)相比,Transformer具有以下优点: 1. 不受序列长度的限制,可以处理任意长度的输入序列。 2. 可以并行计算,加速训练和推理过程。 3. 自注意力机制可以捕捉序列...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北漂周

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值