在Android应用中使用自定义证书的HTTPS连接(上)

最新推荐文章于 2023-06-12 13:08:32 发布
最新推荐文章于 2023-06-12 13:08:32 发布
阅读量539 收藏
点赞数
分类专栏: Android

转载自http://blog.csdn.net/raptor/article/details/18896375

前言

由于移动设备使用的网络环境各种各样,而且常常接入不安全的公共WIFI——如果你对公共WIFI环境的安全性没有警惕性的话,就难怪你开发出不安全的程序,把你的用户置于危险境地——这话一点都不夸张。

而要想在不安全的网络环境下安全地使用网络,最好的办法就是通过VPN连接到安全网络环境中去。但这并不总是能够保证的。所以需要应用开发者在开发的时候尽量减少用户的安全风险。

通过HTTPS连接网络是一种常用的方法。但是在实际使用中存在几个困难:

* 使用商业证书的成本
* 使用自定义证书不被系统承认
* 忽略证书验证则可能被“中间人攻击”

本文将针对这些问题讨论技术解决方案。

因为最近又开始试用Android Studio,所以这里的Demo是用Android Studio 0.4.2写的。完整的Demo代码可以在bitbucket获得:https://bitbucket.org/raptorz/democert

基本的HTTP连接方式

首先来看基本的HTTP连接方式实现,程序的项目框架是直接用向导生成后略作修改。主要就是增加一个异步网络调用的任务,任务内容大致为:

[java]  view plain  copy
  1. HttpUriRequest request = new HttpGet(url);  
  2. HttpClient client = DemoHttp.getClient();  
  3. try {  
  4.     HttpResponse httpResponse = client.execute(request);  
  5.     int responseCode = httpResponse.getStatusLine().getStatusCode();  
  6.     String message = httpResponse.getStatusLine().getReasonPhrase();  
  7.     HttpEntity entity = httpResponse.getEntity();  
  8.     if (responseCode == 200 && entity != null)  
  9.     {  
  10.         return parseString(entity);  
  11.     }  
  12. }  
  13. finally {  
  14.     client.getConnectionManager().shutdown();  
  15. }  
  16. return "";  

上面这个函数功能就是创建一个HttpClient去GET url的内容,如果HTTP返回值为200(即无错误),则返回响应内容。

重点就在DemoHttp.getClient()里,对于基本的HTTP连接,以下是实现部分代码:

[java]  view plain  copy
  1. public static HttpClient getClient() {  
  2.     BasicHttpParams params = new BasicHttpParams();  
  3.     HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);  
  4.     HttpProtocolParams.setContentCharset(params, HTTP.DEFAULT_CONTENT_CHARSET);  
  5.     HttpProtocolParams.setUseExpectContinue(params, true);  
  6.   
  7.     SchemeRegistry schReg = new SchemeRegistry();  
  8.     schReg.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));  
  9.   
  10.     ClientConnectionManager connMgr = new ThreadSafeClientConnManager(params, schReg);  
  11.     return new DefaultHttpClient(connMgr, params);  
  12. }  

实际的实现代码当然比上面这两段多得多了,Java就是这么麻烦,一点小事都要写一大堆代码,为节约篇幅就不全部列出了,参见bitbucket上的完整代码吧。

顺便说一句,写网络通讯应用别忘记在Manifest.xml里加上相应的权限,否则会出一些很奇怪的错误。

HTTP连接的主要问题在于在传输过程中的内容都是明文,只要在同一网段内使用嗅探程序即可获得网内其它设备与服务器之间的通讯内容,完全没有安全性。

使用系统承认的商业证书的HTTPS连接方式

在上面的例子中,如果尝试用https连接的话,会报错称不支持https: Scheme 'https' not registered。最简单的解决办法就是参照HTTP的方式,加入对HTTPS的支持:

[java]  view plain  copy
  1. schReg.register(new Scheme("https", SSLSocketFactory.getSocketFactory(), 443));  

关键代码就这么一句。

现在就可以像打开HTTP链接一样打开有效的HTTPS连接了,比如: https://www.google.com.hk 。但可耻的 12306 的HTTPS却不行,因为它使用了不被系统承认的自定义证书:No peer certificate 。

这个方案使用了HTTPS连接,传输内容经过加密,嗅探程序已经无法获得通讯内容。而服务器的证书经过合法签名,被系统所承认,正常通讯也没有问题。

但是需要花钱买证书。

使用自定义证书并忽略验证的HTTPS连接方式

如果不想花钱,那么就只能用OPENSSL自己做一个证书,但问题在于,这个证书得不到系统的承认,后果同 12306 。为了解决这个问题,一个办法是跳过系统校验。

要跳过系统校验,就不能再使用系统标准的SSLSocketFactory了,需要自定义一个。然后为了在这个自定义SSLSocketFactory里跳过校验,还需要自定义一个TrustManager,在其中忽略所有校验,即TrustAll。

以下就是SSLTrustAllSocketFactory和SSLTrustAllManager的实现:

[java]  view plain  copy
  1. public class SSLTrustAllSocketFactory extends SSLSocketFactory {  
  2.   
  3.     private static final String TAG = "SSLTrustAllSocketFactory";  
  4.     private SSLContext mCtx;  
  5.   
  6.     public class SSLTrustAllManager implements X509TrustManager {  
  7.   
  8.         @Override  
  9.         public void checkClientTrusted(X509Certificate[] arg0, String arg1)  
  10.                 throws CertificateException {  
  11.         }  
  12.   
  13.         @Override  
  14.         public void checkServerTrusted(X509Certificate[] arg0, String arg1)  
  15.                 throws CertificateException {  
  16.         }  
  17.   
  18.         @Override  
  19.         public X509Certificate[] getAcceptedIssuers() {  
  20.             return null;  
  21.         }  
  22.   
  23.     }  
  24.   
  25.     public SSLTrustAllSocketFactory(KeyStore truststore)  
  26.             throws Throwable {  
  27.         super(truststore);  
  28.         try {  
  29.             mCtx = SSLContext.getInstance("TLS");  
  30.             mCtx.init(nullnew TrustManager[] { new SSLTrustAllManager() },  
  31.                     null);  
  32.             setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);  
  33.         } catch (Exception ex) {  
  34.         }  
  35.     }  
  36.   
  37.     @Override  
  38.     public Socket createSocket(Socket socket, String host,  
  39.                                int port, boolean autoClose)  
  40.             throws IOException, UnknownHostException {  
  41.         return mCtx.getSocketFactory().createSocket(socket, host, port, autoClose);  
  42.     }  
  43.   
  44.     @Override  
  45.     public Socket createSocket() throws IOException {  
  46.         return mCtx.getSocketFactory().createSocket();  
  47.     }  
  48.   
  49.     public static SSLSocketFactory getSocketFactory() {  
  50.         try {  
  51.             KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());  
  52.             trustStore.load(nullnull);  
  53.             SSLSocketFactory factory = new SSLTrustAllSocketFactory(trustStore);  
  54.             return factory;  
  55.         } catch (Throwable e) {  
  56.             Log.d(TAG, e.getMessage());  
  57.             e.printStackTrace();  
  58.         }  
  59.         return null;  
  60.     }  
  61.   
  62. }  

最后在注册scheme时使用这个Factory:

[java]  view plain  copy
  1. schReg.register(new Scheme("https", SSLTrustAllSocketFactory.getSocketFactory(), 443));  

这样就可以成功打开 12306 的内容了。

不过这个方案虽然用了HTTPS,通讯的内容也经过了加密,嗅探程序也无法知道内容。但是通过更麻烦一些的“中间人攻击”,还是可以窃取通讯内容的:

在网内配置一个DNS,把目标服务器域名解析到本地的一个地址,然后在这个地址上用一个中间服务器作代理,它使用一个假的证书与客户端通讯,然后再由这个代理作为客户端连到实际的服务器,用真的证书与服务器通讯。这样所有的通讯内容就会经过这个代理。而因为客户端不校验证书,所以它用来加密的证书实际上是代理提供的假证书,那么代理就可以完全知道通讯内容。这个代理就是所谓的“中间人”。

但是不幸的是,网上搜到的大部分关于自定义证书的HTTPS连接实现都是用这种忽略验证的方式实现的。

所以我们需要更安全的方式。详见下篇。


ElonSpace
关注
专栏目录
Android系统 自定义系统和应用权限
我其实什么都不会
08-12 2181
本文学习Android权限模型的基础概念 , 以及自定义系统权限和应用权限 , 自定义权限的目的就是为了更加精细的控制。
android进行https连接的方式
Frank的专栏
04-25 4547
转载地址:点击打开链接 如果不需要验证服务器端证书,直接照这里做 public class Demo extends Activity { /** Called when the activity is first created. */ private TextView text; @Override p
[Android实例] android进行https连接的方式的详解
宝爷的专栏
05-28 803
如果不需要验证服务器端证书,直接照这里做。     public class Demo extends Activity {         /** Called when the activity is first created. */             private TextView text;         @Override
android使用自定义证书https连接
08-08
使用.bks格式的自定义证书HTTPS连接方式,验证自定义证书。 参考博客http://blog.csdn.net/raptor/article/details/18898937
Android应用使用自定义证书HTTPS连接(下)
热门推荐
猛禽的编程艺术
02-02 3万+
因为这部分才是本文的重点,要说得详细一点,所以单独做成一篇来说。
Android项目使用HTTPS配置的步骤详解
08-30
Android项目使用HTTPS配置是一项非常重要的任务,主要是为了确保网络传输的安全性。HTTPS(Hypertext Transfer Protocol Secure)是基于HTTP的安全版本,它使用SSL/TLS协议来加密数据,以保护数据在传输过程的...
Android 用自签名证书实现https请求
jsc702325的专栏
08-05 7657
Android 用自签名证书实现https请求一.概要为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。但是如果HTTPS使用不当,就很难起到应有的保护效果。例如有人为了省事选择信任所有证书的方式绕过证书的认证,这样https的作用就完全没意义了。下面我就用Android比较流行的网络框架okhtt
HTTPS 原理浅析及其在 Android 使用
最新发布
2301_78145669的博客
06-12 1334
在App,把服务端证书放到资源文件下(通常是asset目录下,因为证书对于每一个用户来说都是相同的,并且也不会经常发生改变),但是也可以放在设备的外部存储上。// 在这里进行服务器正式的名称的配置@Overridei++) {try {try {复制@Overridetry {try {复制。
Android Studio 指定签名证书文件
u011987034的专栏
03-07 6540
1.先参照Android Studio创建keystore生成指定的证书文件。 2.在app/build.gradle文件增加 signingConfigs字段:如下所示: 12345678910111213141516171819202122232425262728293031323334353637383940apply plugin: 'com.android.app
AndroidStudio与后台实现登录(安卓端操作)
weixin_51906150的博客
07-17 4184
AndroidStudio与后台实现登录(安卓端操作)配置环境AndroidManifestbuild.gradle(:app)AS主要代码xml布局java代码 版本 AS 4.0.2 配置环境 AndroidManifest 在manifest里面 application外面添加以下代码段 <uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name="andro
Android网络编程——https 不验证证书方式(信任所有证书
Mr.Simple的专栏
10-02 3147
Android平台上经常有使用https的需求,对于https服务器使用的根证书是受信任的证书的话,实现https是非常简单的,直接用httpclient库就行了,与使用http几乎没有区别。但是在大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在发起https连接之前将服务器
Android实现HTTPS请求
ming54ming的博客
12-19 7029
参考: 聊聊 Android HTTPS使用姿势 https://developer.android.com/training/articles/security-ssl https://developer.android.com/reference/java/net/HttpURLConnection HTTPS 关于HTTPS的介绍可以参考我的另一篇文章,HTTPS和SSL A...
Android系统添加信任凭证CA证书
特立独行的博客
12-08 1万+
Android系统添加信任凭证CA证书,根据网站地址生成签名文件并集成到AOSP
Android App 安全的HTTPS 通信-自定义TrustManager
heng615975867的专栏
04-14 3018
漏洞描述 对于数字证书相关概念、Androidhttps 通信代码就不再复述了,直接讲问题。缺少相应的安全校验很容易导致间人攻击,而漏洞的形式主要有以下3种: 自定义X509TrustManager。在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是常见的容易犯错的代码片段。...
自签名证书.crt格式,给android客户端公钥后,怎么使用https请求接口
weixin_35752233的博客
12-30 593
如果您想使用 HTTPS 请求接口,您需要将自签名证书的 .crt 文件安装到 Android 客户端的信任证书存储。这样,Android 客户端就会信任这个自签名证书,并允许使用 HTTPS 协议连接到相应的服务器。 下面是一些步骤,可以帮助您在 Android 客户端使用自签名证书: 将自签名证书的 .crt 文件发送到 Android 客户端,例如通过电子邮件或文件传输应用。 在 A...
android ssl证书生成工具,在Android使用自签名证书创建SSL-Socket
weixin_28933797的博客
05-26 430
我正在尝试将Android应用连接使用自签名证书的启用SSL的服务器。我已经阅读了数十个教程,并且该应用程序现在正在接受证书连接到服务器,但是我再也收不到任何数据。我用来初始化套接字的原始代码是这样的://passphrase for keystorechar[] keystorePass="password".toCharArray();//load own keystore (MyApp ...
android httpClient 支持HTTPS的2种处理方式
weixin_33912246的博客
07-11 229
2019独角兽企业重金招聘Python工程师标准>>> ...
Android OkHttp3 忽略HTTPS证书教程
接下来,你需要在OkHttpClient的构建器使用自定义的SSLSocketFactory和HostnameVerifier,这样OkHttp将忽略服务器的证书验证: ```java OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值