Android Https技术探索

最近在Https方面做了一些探索,在Android上做了一些实际应用,在此分享出来以便后查。

Https协议是什么

目前,Https已经成为了主流趋势,无论在大型互联网公司如BAT,还是小型创业公司,都逐渐将自己的服务切换成了Https。Https能提供一种安全可靠的加密通信连接方式,有效防止信息泄密以及劫持等情况发生。因此,使用Https无论从用户体验还是企业长期利益来看,都是十分有益的。

Http协议

我们首先说说什么是Http协议?Http是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。

Http(超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP1.1版本中给出一种持续连接的机制,绝大多数的Web开发,都是构建在HTTP协议之上的Web应用。

顺便说一句,Http1.1协议已经是目前最主流的协议,但是新的Http2.0协议也已经提出,在未来10年的时间内,必将逐渐登上主舞台。这种在应用层的推广会比IPV6这种网络层的推广快很多。

Http URL(URL是一种特殊类型的URI,包含了用于查找某个资源的足够的信息)的格式如下:

http://host[":"port][abs_path]

Http的请求由三部分组成,分别是:请求行、消息报头、请求正文。具体内容可以查看WikiPedia,再次不多赘述。

SSL/TLS协议

那么什么是Https协议呢?简单来说,Https = Http + SSL/TLS,即基于SSL的Http协议,使用不同于Http协议的默认端口及一个加密、身份验证层(Http与TCP之间)。

Https实际上应用了Netscape的安全全套接字层(SSL,TLS则是SSL的升级版,修复了SSL的漏洞)作为Http应用层的子层。Https使用端口443,而不是像Http那样使用端口80和TCP/IP进行通信。SSL使用40位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。Https和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。Https协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。

客户端在使用Https方式与Web服务器通信时有以下几个步骤:

  1. 客户使用Https的URL访问Web服务器,要求与Web服务器建立SSL连接。
  2. Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
  3. 客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
  4. 客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
  5. Web服务器利用自己的私钥解密出会话密钥。
  6. Web服务器利用会话密钥加密与客户端之间的通信。

基本流程图如下:

Android Https技术探索_第1张图片
Https.png

另外,假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用Https协议进行传输,那么该网站的性能和效率会降低,而且没有这个必要,因为一般来说并不是所有数据都要求那么高的安全保密级别。我们只需对那些涉及机密数据的交互处理使用Https协议,这样就做到鱼与熊掌兼得。

Https在Android的使用——HttpsURLConnection

在Android领域,如何建立一个可靠的Https协议链接呢?Android是基于Java进行编程的,常见的Http协议建立方式有Apache的HttpClient和Sun公司提供的HttpURLConnection。不过,从API19开始,Google官方已经推荐Android开发者使用HttpURLConnection来进行网络连接,当然,为了更方便的使用Http,很多开源库也是提供了许多方便的功能,比如Volley、OKHttp等。

但是,万变不离其宗,基本流程都与HttpsURLConnection连接相似。这里我就主要分享一下关于HttpsURLConnection的使用心得。

首先,明确其继承关系。

HttpsURLConnection -> HttpURLConnection -> URLConnection

从这个继承关系可以看出Https其实就是Http的延伸,同时也是一种URLConnection的实现。

URLConnection是abstract类型,它是所有端到URL连接的一个父类,其实例可以用来读写URL的资源。要建立一个这样的URL连接需要几个步骤:

  1. openConnection:建立对应URL的连接
  2. 设置参数和请求属性
  3. connection:发起实质的链接
  4. 获取请求头信息和请求内容

其实,HttpURLConnection建立连接也就是遵循这一流程。下面给出一个基本的Http连接建立的实例:

URL url = new URL("http://www.baidu.com/");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
try {
    InputStream in = new BufferedInputStream(urlConnection.getInputStream());
    readStream(in);
} finally {
    urlConnection.disconnect();
}

总结一下,基本是这几个步骤:

  1. 通过调用URL.openConnection()获取一个HttpURLConnection实例
  2. 设置相应请求头信息
  3. 设置上传的请求体(这是可选项)setDoOutput(true)
  4. 读取返回信息,消息头包括消息体类型、长度、Cookie等,用getInputStream()获取消息体
  5. 读完信息后,断开连接disconnect()

熟悉了HttpsURLConnection的父类,那么Https的连接就很好建立了。从前面的基础知识,我们可以知道,在Http的基础上增加TLS/SSL的校验,就可以得到Https了。

URL.openConnection()打开一个协议为Https的Url,并返回一个HttpsURLConnection的实例,其余的设置与Http一模一样,其实就可以建立一个默认的Https连接了。这是因为在Android默认的机制中已经帮我们处理好了HostNameVarifySSLSocketFactory这两个类,并且很友好地允许开发者重写这两个函数,配置符合自己业务特点的校验机制(后面会有具体应用)。

另外,Android默认使用了X509TrustManager来解析证书链,这个是标准权威机构的证书管理工具。在HTTPS的证书未经权威机构认证的情况下,也要访问HTTPS站点的两种方法,一种方法是把该证书导入到Java的TrustStore文件中,另一种是自己实现并覆盖缺省的X509证书信任管理器类。

HttpDNS在Https的解决方案

什么是HttpDNS?HttpDNS使用Http协议进行域名解析,代替现有基于UDP的DNS协议,域名解析请求直接发送到HttpDNS服务器,从而绕过运营商的Local DNS,能够避免Local DNS造成的域名劫持问题和调度不精准问题。目前,比较有名的就是阿里云的HttpDNS解析服务了,同时,其它各大公司也有对应的域名解析服务。但是,将HttpDNS应用到HttpDNS时,就出现一些棘手的问题了。

问题背景是这样的:用HttpDNS来进行Https的连接,客户端需要验证服务端下发的证书,验证过程有两个关键:

  1. 本地保存的根证书解开服务器发送的证书链,确认服务端下发的证书是由可信任的机构颁发的。
  2. 客户端需要检查证书的domain域和扩展域,看是否包含本次请求的host,即发送证书的是不是我的请求方。

上述两点都校验通过,就证明当前的服务端是可信任的,否则就是不可信任,应当中断当前连接。

当客户端使用HttpDNS解析域名时,请求URL中的host会被替换成HttpDNS解析出来的IP,所以在证书验证的第2步,会出现domain不匹配的情况,导致SSL/TLS握手不成功。因此,针对“domain不匹配”问题,需要hook证书校验过程中第2步,即HostNameVerify,将IP直接替换成原来的域名,再执行证书验证。

/*
 * 使用HttpDNS在https的情况下的Demo
 * 适用于Java和Android
 */
private void connectHttps() {
    try {
        String originalUrl = "https://m.baidu.com/";
        URL url = new URL(originalUrl);
        connection = (HttpsURLConnection) url.openConnection();
        // 获取IP Host地址
        String ip = getIpHost(url.getHost());
        if (ip != null) {
            // 进行URL替换和HOST头设置
            String newUrl = originalUrl.replaceFirst(url.getHost(), ip);
            connection = (HttpsURLConnection) new URL(newUrl).openConnection();
            // 设置HTTP请求头Host域
            connection.setRequestProperty("Host", url.getHost());
        }
        final String urlHost = connection.getURL().getHost();
        connection.setHostnameVerifier(new HostnameVerifier() {
            // 为解决HTTPDNS中,session携带的Host和IP切换后的Host不一致导致握手失败
            @Override
            public boolean verify(String hostname, SSLSession session) {
                String host = connection.getRequestProperty("Host");
                boolean isHostNameVerify = HttpsURLConnection.getDefaultHostnameVerifier().verify(host, session);
                if (isHostNameVerify) {
                    // 判断IP来源和Session的IP一致后,强制将Host信息赋值到Session中
                    if (!host.equals(session.getPeerHost()) && !urlHost.equals(session.getPeerHost())) {
                        return false;
                    }
                }
                return isHostNameVerify;
            }
        });
        DataInputStream dis = new DataInputStream(connection.getInputStream());
        int len;
        byte[] buff = new byte[4096];
        StringBuilder response = new StringBuilder();
        while ((len = dis.read(buff)) != -1) {
            response.append(new String(buff, 0, len));
        }
        Log.d(TAG, "Response: " + response.toString());
    } catch (Exception e) {
        e.printStackTrace();
    } finally {

    }
}

只有这样处理,才能真正使用上HttpDNS服务,相关介绍也可以去阿里云服务的官网上进行查看。

你可能感兴趣的:(Android Https技术探索)