一、 Https 简介
1、 什么是Https?
简单来说, HTTPS = HTTP + SSL/TLS协议。 HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS
2. HTTPS加密方式(SSL/TLS 加密方式)
SSL加密使用了对称加密及非对称加密的方式。在数据传输过程中,使用对称加密方式加密数据。使用非对称加密方式加密对称加密算法的密钥。
使用两种加密方式的原因:非对称加密拥有公,私两种密钥,加密及解密的算法不同,更安全,但在加密解密的速度上比较耗时。而对称加密相反,对称加密方式,加密算法与解密算法相同,且加密解密的密钥也都相同,但相对的,加密解密的速度上会更快。所以用非对称算法加密对称算法的密码,用对称算法加密传输的数据,使得在安全及速度上相对都实现了最大化
3. HTTPS通信的流程
http 三次握手后,SSL/TLS建立客户端和服务器之间的加解密算法协商、密钥交换、通信连接及安全连接,之后进行加密数据的传输,后四次挥手断开连接
二、 Android中如何使用Https
1. 自带的HttpsURLConnection配置写法
try {
URL url1 = new URL(url);
HttpsURLConnection connection = (HttpsURLConnection) url1.openConnection();
// 初始化SSLContext
SSLContext sslContext = SSLContext.getInstance("TLS");
// 使用系统默认的客户端密钥库验证做单向验证
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore)null);
// null 为不需要服务端验证客户端的证书,new SecureRandom()生成的随机数
sslContext.init(null ,trustManagerFactory.getTrustManagers(),new SecureRandom());
connection.setSSLSocketFactory(sslContext.getSocketFactory());
// 设置验证自定义主机名,可以不写使用默认的
connection.setHostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
// 返回true代表通过 false代表不通过 如果直接返回true。意味着不去验证主机名,可能会导致中间人攻击
// hostname 为客户端请求的域名,session为服务端证书。系统默认验证主要是验证hostname与证书内的域名是否一致
return true;
}
});
} catch (MalformedURLException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (KeyManagementException e) {
e.printStackTrace();
} catch (GeneralSecurityException e) {
e.printStackTrace();
}
2. 使用OkHttp配置
try {
//1.SSLContext 初始化
SSLContext tls = SSLContext.getInstance("TLS");
// 使用系统默认的客户端密钥库验证做单向验证
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
throw new IllegalStateException("Unexpected default trust managers:"
+ Arrays.toString(trustManagers));
}
tls.init(null,trustManagers, new SecureRandom());
//3.ssl工厂
SSLSocketFactory sslSocketFactory = tls.getSocketFactory();
OkHttpClient okhttpClient = new OkHttpClient.Builder()
.connectTimeout(30, TimeUnit.SECONDS)
.retryOnConnectionFailure(true) //设置出现错误进行重新连接。
.connectTimeout(15, TimeUnit.SECONDS)
.readTimeout(60 * 1000, TimeUnit.MILLISECONDS)
.sslSocketFactory(sslSocketFactory, (X509TrustManager) trustManagers[0])
// getDefaultHostnameVerifier 获取系统默认的主机名验证。
.hostnameVerifier(HttpsURLConnection.getDefaultHostnameVerifier())
.build();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (KeyStoreException e) {
e.printStackTrace();
} catch (KeyManagementException e) {
e.printStackTrace();
}
上述方法中使用的都是系统默认的验证方式,为单向验证,客户端验证服务端
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);
该方法为获取系统默认的密码库去验证服务端的证书,主要会验证证书的时间有效期,机构等。如果你的服务器证书是自己颁发,
不是由认证的CA机构颁发,那默认的方法可能就无法通过
HttpsURLConnection.getDefaultHostnameVerifier()
该方法是获取系统自带的主机名验证方法,最后是由OkHostnameVerifier去验证。有兴趣可以自己看看源码
3. 双向验证
双向验证简单理解就是 客户端验证服务端,并且服务端也要验证客户端
3.1 客户端需要有有服务端提供的公钥证书(Android 默认支持BKS密钥库,以下为使用BKS密钥库为例子)
3.2 使用方式
public static SSLSocketFactory getSSLCertifcation(Context context) {
SSLSocketFactory sslSocketFactory = null;
// 服务器端需要验证的客户端证书,其实就是客户端的keystore
InputStream ksIn = null;
try {
KeyStore clientKey = KeyStore.getInstance("BKS");// 客户端信任的服务器端证书
ksIn = context.getAssets().open("密钥库名称.bks");
clientKey.load(ksIn, "密钥库密码".toCharArray());
ksIn.close();
//初始化SSLContext
SSLContext sslContext = SSLContext.getInstance("TLS");
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X.509");
keyManagerFactory.init(clientKey, "密钥库密码".toCharArray());
keyManagerFactory.init(clientKey, "你的密钥库密码".toCharArray());
// 默认客户端验证
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
sslContext.init(keyManagerFactory.getKeyManagers(),trustManagers, new java.security.SecureRandom());
sslSocketFactory = sslContext.getSocketFactory();
} catch (KeyStoreException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
} catch (CertificateException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (KeyManagementException e) {
e.printStackTrace();
} catch (UnrecoverableKeyException e) {
e.printStackTrace();
} finally {
try {
ksIn.close();
} catch (IOException e) {
e.printStackTrace();
}
}
return sslSocketFactory;
}
上述方法为服务端会验证放在客户端本地的bks密钥库里证书,客户端使用默认的方式验证服务端证书(此时服务端的证书需要由机构认证颁发的)
4. 如果需要客户端严格验证服务端证书,不使用默认的,可以这样
public static SSLSocketFactory getSSLCertifcation(Context context) {
SSLSocketFactory sslSocketFactory = null;
// 服务器端需要验证的客户端证书,其实就是客户端的keystore
InputStream ksIn = null;
try {
KeyStore clientKey = KeyStore.getInstance("BKS");// 客户端信任的服务器端证书
ksIn = context.getAssets().open("密钥库名称.bks");
clientKey.load(ksIn, "密钥库密码".toCharArray());
ksIn.close();
//初始化SSLContext
SSLContext sslContext = SSLContext.getInstance("TLS");
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X.509");
keyManagerFactory.init(clientKey, "密钥库密码".toCharArray());
keyManagerFactory.init(clientKey, "你的密钥库密码".toCharArray());
// 获取本地验证的服务端证书
InputStream certInput = new BufferedInputStream(context.getAssets().open("证书名称.crt"));
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
X509Certificate serverCet = (X509Certificate) certificateFactory.generateCertificate(certInput);
TrustManager[] trustManagers = new TrustManager[]{new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
// 验证客户端证书的有效性,一般客户端不需要验证
}
@Override
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
// 验证服务端证书的有效性
if (chain == null){
throw new IllegalArgumentException("Check Server x509Certifications is null");
}
for (X509Certificate cert:chain) {
// 校验服务端证书签名是否有问题
cert.checkValidity();
// 和本地保存的服务端的证书做对比
try {
cert.verify(serverCet.getPublicKey());
} catch (InvalidKeyException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (NoSuchProviderException e) {
e.printStackTrace();
} catch (SignatureException e) {
e.printStackTrace();
}
}
}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
}};
sslContext.init(keyManagerFactory.getKeyManagers(),trustManagers, new java.security.SecureRandom());
sslSocketFactory = sslContext.getSocketFactory();
} catch (KeyStoreException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
} catch (CertificateException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (KeyManagementException e) {
e.printStackTrace();
} catch (UnrecoverableKeyException e) {
e.printStackTrace();
} finally {
try {
ksIn.close();
} catch (IOException e) {
e.printStackTrace();
}
}
return sslSocketFactory;
}
5. 主机名验证
5.1 系统默认
HttpsURLConnection.getDefaultHostnameVerifier() // 系统默认主机名认证或者不写
5.2 自我强检测
connection.setHostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
// 返回true代表通过 false代表不通过 如果直接返回true。意味着不去验证主机名,可能会导致中间人攻击
// 示例
if("yourhostname".equals(hostname)){
return true;
} else {
HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier();
return hv.verify(hostname, session);
}
}
});