android Https的使用及双向验证证书

一、 Https 简介

1、 什么是Https?

简单来说, HTTPS = HTTP + SSL/TLS协议。 HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS

0

2. HTTPS加密方式(SSL/TLS 加密方式)

SSL加密使用了对称加密及非对称加密的方式。在数据传输过程中,使用对称加密方式加密数据。使用非对称加密方式加密对称加密算法的密钥。

使用两种加密方式的原因:非对称加密拥有公,私两种密钥,加密及解密的算法不同,更安全,但在加密解密的速度上比较耗时。而对称加密相反,对称加密方式,加密算法与解密算法相同,且加密解密的密钥也都相同,但相对的,加密解密的速度上会更快。所以用非对称算法加密对称算法的密码,用对称算法加密传输的数据,使得在安全及速度上相对都实现了最大化

3. HTTPS通信的流程

http 三次握手后,SSL/TLS建立客户端和服务器之间的加解密算法协商、密钥交换、通信连接及安全连接,之后进行加密数据的传输,后四次挥手断开连接

二、 Android中如何使用Https

1. 自带的HttpsURLConnection配置写法

try {
    URL url1 = new URL(url);
    HttpsURLConnection connection = (HttpsURLConnection) url1.openConnection();
    // 初始化SSLContext
    SSLContext sslContext = SSLContext.getInstance("TLS");
    // 使用系统默认的客户端密钥库验证做单向验证
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore)null);
    // null 为不需要服务端验证客户端的证书,new SecureRandom()生成的随机数
    sslContext.init(null ,trustManagerFactory.getTrustManagers(),new SecureRandom());
    connection.setSSLSocketFactory(sslContext.getSocketFactory());
    // 设置验证自定义主机名,可以不写使用默认的
    connection.setHostnameVerifier(new HostnameVerifier() {
        @Override
        public boolean verify(String hostname, SSLSession session) {
            // 返回true代表通过  false代表不通过  如果直接返回true。意味着不去验证主机名,可能会导致中间人攻击
            // hostname 为客户端请求的域名,session为服务端证书。系统默认验证主要是验证hostname与证书内的域名是否一致
            return true;
        }
    });
} catch (MalformedURLException e) {
    e.printStackTrace();
} catch (IOException e) {
    e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
    e.printStackTrace();
} catch (KeyManagementException e) {
    e.printStackTrace();
} catch (GeneralSecurityException e) {
    e.printStackTrace();
} 

2. 使用OkHttp配置

try {
    //1.SSLContext 初始化
    SSLContext tls = SSLContext.getInstance("TLS");
    // 使用系统默认的客户端密钥库验证做单向验证
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore) null);
    TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
    if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
        throw new IllegalStateException("Unexpected default trust managers:"
                + Arrays.toString(trustManagers));
    }
    
    tls.init(null,trustManagers, new SecureRandom());
    //3.ssl工厂
    SSLSocketFactory sslSocketFactory = tls.getSocketFactory();
    OkHttpClient okhttpClient = new OkHttpClient.Builder()
            .connectTimeout(30, TimeUnit.SECONDS)
            .retryOnConnectionFailure(true) //设置出现错误进行重新连接。
            .connectTimeout(15, TimeUnit.SECONDS)
            .readTimeout(60 * 1000, TimeUnit.MILLISECONDS)
            .sslSocketFactory(sslSocketFactory, (X509TrustManager) trustManagers[0])
            // getDefaultHostnameVerifier  获取系统默认的主机名验证。
            .hostnameVerifier(HttpsURLConnection.getDefaultHostnameVerifier())
            .build();
} catch (NoSuchAlgorithmException e) {
    e.printStackTrace();
} catch (KeyStoreException e) {
    e.printStackTrace();
} catch (KeyManagementException e) {
    e.printStackTrace();
}

上述方法中使用的都是系统默认的验证方式,为单向验证,客户端验证服务端

TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
        TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);
该方法为获取系统默认的密码库去验证服务端的证书,主要会验证证书的时间有效期,机构等。如果你的服务器证书是自己颁发,
不是由认证的CA机构颁发,那默认的方法可能就无法通过
HttpsURLConnection.getDefaultHostnameVerifier()
该方法是获取系统自带的主机名验证方法,最后是由OkHostnameVerifier去验证。有兴趣可以自己看看源码

3. 双向验证

双向验证简单理解就是 客户端验证服务端,并且服务端也要验证客户端

3.1 客户端需要有有服务端提供的公钥证书(Android 默认支持BKS密钥库,以下为使用BKS密钥库为例子)

3.2 使用方式

public static SSLSocketFactory getSSLCertifcation(Context context) {
    SSLSocketFactory sslSocketFactory = null;
    // 服务器端需要验证的客户端证书,其实就是客户端的keystore
    InputStream ksIn = null;
    try {
        KeyStore  clientKey = KeyStore.getInstance("BKS");// 客户端信任的服务器端证书
        ksIn = context.getAssets().open("密钥库名称.bks");
        clientKey.load(ksIn, "密钥库密码".toCharArray());
        ksIn.close();
        //初始化SSLContext
        SSLContext sslContext = SSLContext.getInstance("TLS");
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X.509");
        keyManagerFactory.init(clientKey, "密钥库密码".toCharArray());
        keyManagerFactory.init(clientKey, "你的密钥库密码".toCharArray());

        // 默认客户端验证
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
                TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init((KeyStore) null);
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

        sslContext.init(keyManagerFactory.getKeyManagers(),trustManagers, new java.security.SecureRandom());
        sslSocketFactory = sslContext.getSocketFactory();
    } catch (KeyStoreException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    } catch (CertificateException e) {
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (KeyManagementException e) {
        e.printStackTrace();
    } catch (UnrecoverableKeyException e) {
        e.printStackTrace();
    } finally {
        try {
            ksIn.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return sslSocketFactory;
}

上述方法为服务端会验证放在客户端本地的bks密钥库里证书,客户端使用默认的方式验证服务端证书(此时服务端的证书需要由机构认证颁发的)

4. 如果需要客户端严格验证服务端证书,不使用默认的,可以这样

public static SSLSocketFactory getSSLCertifcation(Context context) {
    SSLSocketFactory sslSocketFactory = null;
    // 服务器端需要验证的客户端证书,其实就是客户端的keystore
    InputStream ksIn = null;
    try {
        KeyStore  clientKey = KeyStore.getInstance("BKS");// 客户端信任的服务器端证书
        ksIn = context.getAssets().open("密钥库名称.bks");
        clientKey.load(ksIn, "密钥库密码".toCharArray());
        ksIn.close();
        //初始化SSLContext
        SSLContext sslContext = SSLContext.getInstance("TLS");
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X.509");
        keyManagerFactory.init(clientKey, "密钥库密码".toCharArray());
        keyManagerFactory.init(clientKey, "你的密钥库密码".toCharArray());

        // 获取本地验证的服务端证书
        InputStream certInput = new BufferedInputStream(context.getAssets().open("证书名称.crt"));
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        X509Certificate serverCet = (X509Certificate) certificateFactory.generateCertificate(certInput);
        TrustManager[] trustManagers = new TrustManager[]{new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                    // 验证客户端证书的有效性,一般客户端不需要验证
            }

            @Override
            public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                // 验证服务端证书的有效性
                if (chain == null){
                    throw new IllegalArgumentException("Check Server x509Certifications is null");
                }
                for (X509Certificate cert:chain) {
                    // 校验服务端证书签名是否有问题
                    cert.checkValidity();
                    // 和本地保存的服务端的证书做对比
                    try {
                        cert.verify(serverCet.getPublicKey());
                    } catch (InvalidKeyException e) {
                        e.printStackTrace();
                    } catch (NoSuchAlgorithmException e) {
                        e.printStackTrace();
                    } catch (NoSuchProviderException e) {
                        e.printStackTrace();
                    } catch (SignatureException e) {
                        e.printStackTrace();
                    }
                }

            }
            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return new X509Certificate[0];
            }
        }};

        sslContext.init(keyManagerFactory.getKeyManagers(),trustManagers, new java.security.SecureRandom());
        sslSocketFactory = sslContext.getSocketFactory();
    } catch (KeyStoreException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    } catch (CertificateException e) {
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (KeyManagementException e) {
        e.printStackTrace();
    } catch (UnrecoverableKeyException e) {
        e.printStackTrace();
    } finally {
        try {
            ksIn.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return sslSocketFactory;
}

5. 主机名验证

5.1 系统默认

HttpsURLConnection.getDefaultHostnameVerifier()   // 系统默认主机名认证或者不写

5.2 自我强检测

connection.setHostnameVerifier(new HostnameVerifier() {
    @Override
    public boolean verify(String hostname, SSLSession session) {
        // 返回true代表通过  false代表不通过  如果直接返回true。意味着不去验证主机名,可能会导致中间人攻击
        // 示例
        if("yourhostname".equals(hostname)){
            return true;
        } else {
            HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier();
            return hv.verify(hostname, session);
        }
    }
});

参考:

Android Https的详解

阿里安全开发 -- Android安全开发之安全使用HTTPS

Android App 安全的HTTPS 通信

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值