1. https 简单介绍
概述
HTTP协议属于明文传输协议,交互过程以及数据传输都没有进行过加密,通信双方也没有进行身份验证,通信过程非常容易遭到劫持,篡改等安全问题,为了提高网络传输的安全性,HTTPS应运而生.相比HTTP,HTTPS提供了以下三个特性:
- 通信内容隐私性: 内容经过对称加密,每个连接生成一个唯一的加密密钥
- 通信双方身份的真实 : 第三方无法伪造服务端(客户端)身份
- 通信内容的完整性 :内容传输经过完整性校验
接下来需要了解几个重要的概念
- SSL
SSL(secure sockets layer):安全套接层,它是在上世纪90年代中期,由网景公司设计的,为解决使用的 HTTP 协议造成传输内容会被偷窥(嗅探)和篡改等安全问题而设计的,到了1999年,SSL成为互联网上的标准,名称改为TSL(transport layer security):传输层安全协议,两者可视为同一种东西的不同阶段。
HTTPS(HTTP over SSL)也是在HTTP的基础加了一层SSL的封装。
- 对称加密和非对称加密
对称加密(AES,RC4,3DES) 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,优点是算法公开、计算量小、加密速度快、加密效率高。;
非对称加密(RSA,DSA/DSS )算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密,非对称加密算法比对称加密算法慢数千倍,但在保护通信安全方面,非对称加密算法却具有对称密码难以企及的优势。
- CA证书
CA是Certificate Authority的缩写,也叫“证书授权中心”,CA 证书,顾名思义,就是CA颁发的证书(内含公钥和私钥),网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。 - TCP/UDP
TCP协议是面向连接、保证高可靠性(数据无丢失、数据无失序、数据无错误、数据无重复到达)传输层协议。
UDP协议也是传输层协议,它是无连接,不保证可靠的传输层协议。 - 哈希算法
哈希算法(MD5,SHA1)将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。
工作流程
- 客户端向服务器发送请求,并告诉服务器支持的算法列表;
- 服务器选择一种算法,并将自己的证书返回给客户端,证书包含服务器域名和公钥等信息;
- 客户端得到证书后进行验证,验证通过的话就生成一个随机值,并用证书中的公钥进行加密
- 传递加密信息,目的就是让服务器得到这个随机值,以后客户端与服务器的通信就可以通过这个随机值来进行加密解密;
- 服务器用自己的私钥解密客户端传过来的随机值,然后把内容进行对称加密,即将信息和私钥通过加密算法混在一起,这样除非知道私钥,不然无法获取到内容,而客户端与服务器都知道这个私钥,所以只要加密算法够强大,私钥够复杂,数据就很安全了;
- 将加密后的信息发给客户端,客户端还原信息
- 客户端用之前生成的私钥解密服务器发过来的信息,便获取到了解密后的内容;
2. 在android中如何使用
使用https 需要区分是自签名证书还是花钱向权威机构申请的证书 ,那么这两个证书有什么区别 ?
什么是自签名证书( self-signed certicates)
自签名证书就是没有通过受信任的证书颁发机构, 自己通过JDK自带工具keytool去生成一个证书。
SSL 证书大致分三类:
- 由安卓认可的证书颁发机构(如: VeriSign), 或这些机构的下属机构颁发的证书.
- 没有得到安卓认可的证书颁发机构颁发的证书.
- 自己颁发的证书, 分临时性的(在开发阶段使用)或在发布的产品中永久性使用的两种.
只有第一种, 也就是那些被安卓系统认可的机构颁发的证书, 在使用过程中不会出现安全提示.
对于向权威机构((简称CA,Certificate Authority))申请过证书的网络地址,用OkHttp或者HttpsURLConnection都可以直接访问 ,不需要做额外的事情 。但是申请需要$$ (每年要交 100 到 500 美元不等的费用)。
CA机构颁发的证书有3种类型:
- 域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站;
- 企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严格,安全性更高;
- 增强型SSL证书(EV SSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。
**下面主要介绍一下使用自签名证书的情况 **
具体流程参考 ,http://blog.majiajie.me/2016/05/11/Android-%E5%81%B6%E9%81%87HTTPS/
参考文档
https时代来了,你却还一无所知?
Android 偶遇HTTPS : 介绍android 使用自签名证书实现https请求
初探HTTPS协议
Android Https相关完全解析 当OkHttp遇到Https