Android Https技术探索

最近在Https方面做了一些探索,在Android上做了一些实际应用,在此分享出来以便后查。

Https协议是什么

目前,Https已经成为了主流趋势,无论在大型互联网公司如BAT,还是小型创业公司,都逐渐将自己的服务切换成了Https。Https能提供一种安全可靠的加密通信连接方式,有效防止信息泄密以及劫持等情况发生。因此,使用Https无论从用户体验还是企业长期利益来看,都是十分有益的。

Http协议

我们首先说说什么是Http协议?Http是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。

Http(超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP1.1版本中给出一种持续连接的机制,绝大多数的Web开发,都是构建在HTTP协议之上的Web应用。

顺便说一句,Http1.1协议已经是目前最主流的协议,但是新的Http2.0协议也已经提出,在未来10年的时间内,必将逐渐登上主舞台。这种在应用层的推广会比IPV6这种网络层的推广快很多。

Http URL(URL是一种特殊类型的URI,包含了用于查找某个资源的足够的信息)的格式如下:

http://host[":"port][abs_path]

Http的请求由三部分组成,分别是:请求行、消息报头、请求正文。具体内容可以查看WikiPedia,再次不多赘述。

SSL/TLS协议

那么什么是Https协议呢?简单来说,Https = Http + SSL/TLS,即基于SSL的Http协议,使用不同于Http协议的默认端口及一个加密、身份验证层(Http与TCP之间)。

Https实际上应用了Netscape的安全全套接字层(SSL,TLS则是SSL的升级版,修复了SSL的漏洞)作为Http应用层的子层。Https使用端口443,而不是像Http那样使用端口80和TCP/IP进行通信。SSL使用40位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。Https和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。Https协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。

客户端在使用Https方式与Web服务器通信时有以下几个步骤:

  1. 客户使用Https的URL访问Web服务器,要求与Web服务器建立SSL连接。
  2. Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
  3. 客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
  4. 客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
  5. Web服务器利用自己的私钥解密出会话密钥。
  6. Web服务器利用会话密钥加密与客户端之间的通信。

基本流程图如下:

Https.png

另外,假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用Https协议进行传输,那么该网站的性能和效率会降低,而且没有这个必要,因为一般来说并不是所有数据都要求那么高的安全保密级别。我们只需对那些涉及机密数据的交互处理使用Https协议,这样就做到鱼与熊掌兼得。

Https在Android的使用——HttpsURLConnection

在Android领域,如何建立一个可靠的Https协议链接呢?Android是基于Java进行编程的,常见的Http协议建立方式有Apache的HttpClient和Sun公司提供的HttpURLConnection。不过,从API19开始,Google官方已经推荐Android开发者使用HttpURLConnection来进行网络连接,当然,为了更方便的使用Http,很多开源库也是提供了许多方便的功能,比如Volley、OKHttp等。

但是,万变不离其宗,基本流程都与HttpsURLConnection连接相似。这里我就主要分享一下关于HttpsURLConnection的使用心得。

首先,明确其继承关系。

HttpsURLConnection -> HttpURLConnection -> URLConnection

从这个继承关系可以看出Https其实就是Http的延伸,同时也是一种URLConnection的实现。

URLConnection是abstract类型,它是所有端到URL连接的一个父类,其实例可以用来读写URL的资源。要建立一个这样的URL连接需要几个步骤:

  1. openConnection:建立对应URL的连接
  2. 设置参数和请求属性
  3. connection:发起实质的链接
  4. 获取请求头信息和请求内容

其实,HttpURLConnection建立连接也就是遵循这一流程。下面给出一个基本的Http连接建立的实例:

URL url = new URL("http://www.baidu.com/");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
try {
    InputStream in = new BufferedInputStream(urlConnection.getInputStream());
    readStream(in);
} finally {
    urlConnection.disconnect();
}

总结一下,基本是这几个步骤:

  1. 通过调用URL.openConnection()获取一个HttpURLConnection实例
  2. 设置相应请求头信息
  3. 设置上传的请求体(这是可选项)setDoOutput(true)
  4. 读取返回信息,消息头包括消息体类型、长度、Cookie等,用getInputStream()获取消息体
  5. 读完信息后,断开连接disconnect()

熟悉了HttpsURLConnection的父类,那么Https的连接就很好建立了。从前面的基础知识,我们可以知道,在Http的基础上增加TLS/SSL的校验,就可以得到Https了。

URL.openConnection()打开一个协议为Https的Url,并返回一个HttpsURLConnection的实例,其余的设置与Http一模一样,其实就可以建立一个默认的Https连接了。这是因为在Android默认的机制中已经帮我们处理好了HostNameVarifySSLSocketFactory这两个类,并且很友好地允许开发者重写这两个函数,配置符合自己业务特点的校验机制(后面会有具体应用)。

另外,Android默认使用了X509TrustManager来解析证书链,这个是标准权威机构的证书管理工具。在HTTPS的证书未经权威机构认证的情况下,也要访问HTTPS站点的两种方法,一种方法是把该证书导入到Java的TrustStore文件中,另一种是自己实现并覆盖缺省的X509证书信任管理器类。

HttpDNS在Https的解决方案

什么是HttpDNS?HttpDNS使用Http协议进行域名解析,代替现有基于UDP的DNS协议,域名解析请求直接发送到HttpDNS服务器,从而绕过运营商的Local DNS,能够避免Local DNS造成的域名劫持问题和调度不精准问题。目前,比较有名的就是阿里云的HttpDNS解析服务了,同时,其它各大公司也有对应的域名解析服务。但是,将HttpDNS应用到HttpDNS时,就出现一些棘手的问题了。

问题背景是这样的:用HttpDNS来进行Https的连接,客户端需要验证服务端下发的证书,验证过程有两个关键:

  1. 本地保存的根证书解开服务器发送的证书链,确认服务端下发的证书是由可信任的机构颁发的。
  2. 客户端需要检查证书的domain域和扩展域,看是否包含本次请求的host,即发送证书的是不是我的请求方。

上述两点都校验通过,就证明当前的服务端是可信任的,否则就是不可信任,应当中断当前连接。

当客户端使用HttpDNS解析域名时,请求URL中的host会被替换成HttpDNS解析出来的IP,所以在证书验证的第2步,会出现domain不匹配的情况,导致SSL/TLS握手不成功。因此,针对“domain不匹配”问题,需要hook证书校验过程中第2步,即HostNameVerify,将IP直接替换成原来的域名,再执行证书验证。

/*
 * 使用HttpDNS在https的情况下的Demo
 * 适用于Java和Android
 */
private void connectHttps() {
    try {
        String originalUrl = "https://m.baidu.com/";
        URL url = new URL(originalUrl);
        connection = (HttpsURLConnection) url.openConnection();
        // 获取IP Host地址
        String ip = getIpHost(url.getHost());
        if (ip != null) {
            // 进行URL替换和HOST头设置
            String newUrl = originalUrl.replaceFirst(url.getHost(), ip);
            connection = (HttpsURLConnection) new URL(newUrl).openConnection();
            // 设置HTTP请求头Host域
            connection.setRequestProperty("Host", url.getHost());
        }
        final String urlHost = connection.getURL().getHost();
        connection.setHostnameVerifier(new HostnameVerifier() {
            // 为解决HTTPDNS中,session携带的Host和IP切换后的Host不一致导致握手失败
            @Override
            public boolean verify(String hostname, SSLSession session) {
                String host = connection.getRequestProperty("Host");
                boolean isHostNameVerify = HttpsURLConnection.getDefaultHostnameVerifier().verify(host, session);
                if (isHostNameVerify) {
                    // 判断IP来源和Session的IP一致后,强制将Host信息赋值到Session中
                    if (!host.equals(session.getPeerHost()) && !urlHost.equals(session.getPeerHost())) {
                        return false;
                    }
                }
                return isHostNameVerify;
            }
        });
        DataInputStream dis = new DataInputStream(connection.getInputStream());
        int len;
        byte[] buff = new byte[4096];
        StringBuilder response = new StringBuilder();
        while ((len = dis.read(buff)) != -1) {
            response.append(new String(buff, 0, len));
        }
        Log.d(TAG, "Response: " + response.toString());
    } catch (Exception e) {
        e.printStackTrace();
    } finally {

    }
}

只有这样处理,才能真正使用上HttpDNS服务,相关介绍也可以去阿里云服务的官网上进行查看。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,214评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,307评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,543评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,221评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,224评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,007评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,313评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,956评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,441评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,925评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,018评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,685评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,234评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,240评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,464评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,467评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,762评论 2 345

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,599评论 18 139
  • 原文地址 http://blog.csdn.net/u012409247/article/details/4985...
    0fbf551ff6fb阅读 3,513评论 0 13
  • 本文摘自 腾讯bugly 的文章《全站 HTTPS 来了》,内容有修改。 大家在使用百度、谷歌或淘宝的时候,是否注...
    bnotes阅读 3,639评论 1 9
  • 蒲公英很别致,很神奇,这是从小到大一个固有的认知。 每每在田间地头看见它,就如同在河蚌中发现了珍珠一般,如获至宝,...
    A于航阅读 661评论 0 1
  • 深夜袭来,毫无睡意,想念的人远在天边,听着窗外的声声犬吠和空调呼呼的风声,少有的失眠和颓废,都在黑暗中匍匐,然后在...
    思南慕北阅读 374评论 0 0