-
中间人攻击
我们都知道使用fiddler抓取app的数据包,不管是http还是https请求,都能轻松抓取,此时对客户端来说,fiddler是一个服务端,对服务端来说,fiddler就变成了一个客户端,查了下资料,这种方式称为“中间人攻击”,怎么才能防止https中的“中间人攻击”呢,工作中也用到了https,所以想深入研究一下这个问题,当然每个问题如果深挖的话,都需要很多知识的支持,所以这个过程有些地方是自己的理解,难免有些偏差,有问题,咱们讨论区见。
-
单向认证
平时我们说的单项认证,一般指的是客户端对服务端的认证,当客户端向服务端发送请求时,服务端会把自己的证书信息发给客户端,这个证书信息包括服务端的公钥、有效时间、有效地址和CA的数字签名等信息,所以客户端需要与预埋一个证书,这样我们可以拿本地证书和服务端发送的证书进行信息匹配,完成认证的过程(在使用fiddler抓包时,需要事先安装的证书就是为了完成这个客户端对服务端的认证过程,而且这个证书应该不是正规的CA机构颁发的证书,而是fiddler自己生成的证书)。
-
android中单向认证的过程
1.获取客户端预埋的服务器端的证书对象
InputStream mCaInputStream =context.getResources().openRawResource(R.raw.server_cert);
2.生成符合x509标准的证书
CertificateFactory mCertificateFactory = CertificateFactory.getInstance("X.509");
X509Certificate certificate =(X509Certificate) mCertificateFactory.generateCertificate(mCaInputStream);
if (mCaInputStream != null) {
mCaInputStream.close();
}
3.将证书导入到本地的证书密钥库中去
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
//这几行代码,貌似没有导入的操作?
keyStore.load(null, null);
keyStore.setCertificateEntry("123", certificate);
4.使用本地密钥库初始化信任管理器中去
TrustManagerFactory trustManagerFactory= TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(keyStore);
5.使用信任管理器得到X509TrustManager
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
//这个位置,我直接取了数组的第一个元素,貌似不妥。
X509TrustManager x509TrustManager = (X509TrustManager) trustManagers[0];
6.使用X509TrustManager校验服务端的证书,此方法不报异常即使校验成功
x509TrustManager.checkServerTrusted(chain, authType);
-
分析过程
- 主要分析第6步,这步中的x509TrustManager对象,是我使用客户端预埋的证书生成的,用这个证书去校验服务器返回来的证书,如果校验成功则客户端对服务端认证成功,否则,失败。
- 这里如果失败了还有个处理,就是在预埋证书校验失败的情况下,我们重新初始化了一个系统默认的信任管理器TrustManagerFactory,加载手机端的所有证书到信任管理器中,再去校验服务端的证书是否是信任的,如果校验成功则客户端对服务端认证成功,否则,校验失败,此时才是真正的认证失败。不过这个处理比较危险,具体分析见下一条:
- 我的实际情况是这样的,服务器使用的是阿里云提供的CA证书,这种证书是经过专门的CA机构颁发的,理论上讲不需要客户端代码认证,此时如果客户端证书跟这个阿里云证书不匹配,因为使用了手机中默认的信任管理器TrustManagerFactory参与校验,校验也是会通过校验的,同理,fiddler抓包也是能够抓取的,也就是我们这种认证失去了作用了。
....
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (CertificateException e) {
// 发生异常,就用设备本身默认的信任管理器进行校验
// 这样可能存在危险,经过测试如果加上这句话,fiddler可以正常抓包的
// 这是因为fiddler抓包之前,会在客户端安装一个证书,如果指定的证书校验失败
// 就是默认使用这个证书匹配,结果能够和fiddler匹配成功。
try {
TrustManagerFactory trustManagerFactory
= TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
//初始化手机本身默认的证书信任管理器用于认证。
trustManagerFactory.init((KeyStore) null);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
X509TrustManager x509TrustManager = chooseTrustManager(trustManagers);
x509TrustManager.checkServerTrusted(chain, authType);
} catch (NoSuchAlgorithmException e1) {
e1.printStackTrace();
} catch (KeyStoreException e1) {
e1.printStackTrace();
}
- 所以在实际中,需要保证认证的有效期,一般不会启动本地默认的TrustManagerFactory对象参与校验
-
OkHttp中的ssl配置
- 校验域名
public class UnSafeHostnameVerifier implements HostnameVerifier {
@Override
public boolean verify(String hostname, SSLSession session) {
if (AppConstants.HOST_NAME.equals(hostname)) {
//第一请求时,会返回域名hostname,用于和本地域名校验
return true;
}
return false;
}
}
- 调用SSLSocketFactory和X509TrustManager对象
SSLHelper5 sslHelper5 = new SSLHelper5(App.getContext());
OkHttpClient.Builder builder = new OkHttpClient.Builder()
.sslSocketFactory(sslHelper5.provideSSLSocketFactory()
, sslHelper5.provideX509TrustManager())
.hostnameVerifier(new UnSafeHostnameVerifier())
-
项目文件
-
完成(关于Https的双向认证,近期完成)
