站内
QQ客服
自定内容
自定内容
请输入内容
新闻搜索
 
 
新闻动态
HTTPS业务场景的解决方案
成都狮龙书廊科技有限责任公司长春分公司    2016-06-17 18:11:46    文字:【】【】【
摘要:HTTPS业务场景的解决方案

HTTPS业务场景的解决方案


1 背景说明

发送HTTPS请求首先要进行SSL/TLS握手,握手过程大致如下:

  1. 客户端发起握手请求,携带随机数、支持算法列表等参数。
  2. 服务端收到请求,选择合适的算法,下发公钥证书和随机数。
  3. 客户端对服务端证书进行校验,并发送随机数信息,该信息使用公钥加密。
  4. 服务端通过私钥获取随机数信息。
  5. 双方根据以上交互的信息生成session ticket,用作该连接后续数据传输的加密密钥。

上述过程中,和HTTPDNS有关的是第3步,客户端需要验证服务端下发的证书,验证过程有以下两个要点:

  1. 客户端用本地保存的根证书解开证书链,确认服务端下发的证书是由可信任的机构颁发的。
  2. 客户端需要检查证书的domain域和扩展域,看是否包含本次请求的host。

如果上述两点都校验通过,就证明当前的服务端是可信任的,否则就是不可信任,应当中断当前连接。

当客户端使用HTTPDNS解析域名时,请求URL中的host会被替换成HTTPDNS解析出来的IP,所以在证书验证的第2步,会出现domain不匹配的情况,导致SSL/TLS握手不成功。

2 解决方案

针对“domain不匹配”问题,可以采用如下方案解决:hook证书校验过程中第2步,将IP直接替换成原来的域名,再执行证书验证。

下面分别列出Android和iOS平台的示例代码。

2.1 Android示例

此示例针对HttpURLConnection接口。 

		
    
			
			
  1. 
				try {
			
    2. 

			
  2. 
				 String url = "https://140.205.160.59/?sprefer=sypc00";
			
    3. 

			
  3. 
				 HttpsURLConnection connection = (HttpsURLConnection) new URL(url).openConnection();
			
    4. 

			
  4. 
				 
			
    5. 

			
  5. 
				 connection.setRequestProperty("Host", "m.taobao.com");
			
    6. 

			
  6. 
				 connection.setHostnameVerifier(new HostnameVerifier() {
			
    7. 

			
  7. 
				 
			
    8. 

			
  8. 
				/*
			
    9. 

			
  9. 
				 * 关于这个接口的说明,官方有文档描述:
			
    10. 

			
  10. 
				 * This is an extended verification option that implementers can provide.
			
    11. 

			
  11. 
				 * It is to be used during a handshake if the URL's hostname does not match the
			
    12. 

			
  12. 
				 * peer's identification hostname.
			
    13. 

			
  13. 
				 *
			
    14. 

			
  14. 
				 * 使用HTTPDNSURL里设置的hostname不是远程的主机名(如:m.taobao.com),与证书颁发的域不匹配,
			
    15. 

			
  15. 
				 * Android HttpsURLConnection提供了回调接口让用户来处理这种定制化场景。
			
    16. 

			
  16. 
				 * 在确认HTTPDNS返回的源站IP与Session携带的IP信息一致后,您可以在回调方法中将待验证域名替换为原来的真实域名进行验证。
			
    17. 

			
  17. 
				 *
			
    18. 

			
  18. 
				 */
			
    19. 

			
  19. 
				 
			
    20. 

			
  20. 
				 @Override
			
    21. 

			
  21. 
				 public boolean verify(String hostname, SSLSession session) {
			
    22. 

			
  22. 
				 return HttpsURLConnection.getDefaultHostnameVerifier().
			
    23. 

			
  23. 
				 verify("m.taobao.com“, session);
			
    24. 

			
  24. 
				 return false;
			
    25. 

			
  25. 
				 }
			
    26. 

			
  26. 
				 });
			
    27. 

			
  27. 
				 
			
    28. 

			
  28. 
				 connection.connect();
			
    29. 

			
  29. 
				 } catch (Exception e) {
			
    30. 

			
  30. 
				 e.printStackTrace();
			
    31. 

			
  31. 
				 } finally {
			
    32. 

			
  32. 
				}
			
    33.

2.2 iOS示例

此示例针对NSURLSession/NSURLConnection接口。 

		
    
			
			
  1. 
				- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
			
    2. 

			
  2. 
				 forDomain:(NSString *)domain
			
    3. 

			
  3. 
				{
			
    4. 

			
  4. 
				 /*
			
    5. 

			
  5. 
				 * 创建证书校验策略
			
    6. 

			
  6. 
				 */
			
    7. 

			
  7. 
				 NSMutableArray *policies = [NSMutableArray array];
			
    8. 

			
  8. 
				 if (domain) {
			
    9. 

			
  9. 
				 [policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];
			
    10. 

			
  10. 
				 } else {
			
    11. 

			
  11. 
				 [policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];
			
    12. 

			
  12. 
				 }
			
    13. 

			
  13. 
				 
			
    14. 

			
  14. 
				 /*
			
    15. 

			
  15. 
				 * 绑定校验策略到服务端的证书上
			
    16. 

			
  16. 
				 */
			
    17. 

			
  17. 
				 SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);
			
    18. 

			
  18. 
				 
			
    19. 

			
  19. 
				 
			
    20. 

			
  20. 
				 /*
			
    21. 

			
  21. 
				 * 评估当前serverTrust是否可信任,
			
    22. 

			
  22. 
				 * 官方建议在result = kSecTrustResultUnspecified 或 kSecTrustResultProceed
			
    23. 

			
  23. 
				 * 的情况下serverTrust可以被验证通过,https://developer.apple.com/library/ios/technotes/tn2232/_index.html
			
    24. 

			
  24. 
				 * 关于SecTrustResultType的详细信息请参考SecTrust.h
			
    25. 

			
  25. 
				 */
			
    26. 

			
  26. 
				 SecTrustResultType result;
			
    27. 

			
  27. 
				 SecTrustEvaluate(serverTrust, &result);
			
    28. 

			
  28. 
				 
			
    29. 

			
  29. 
				 return (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed);
			
    30. 

			
  30. 
				}
			
    31. 

			
  31. 
				 
			
    32. 

			
  32. 
				/*
			
    33. 

			
  33. 
				 * NSURLConnection
			
    34. 

			
  34. 
				 */
			
    35. 

			
  35. 
				- (void)connection:(NSURLConnection *)connection
			
    36. 

			
  36. 
				willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
			
    37. 

			
  37. 
				{
			
    38. 

			
  38. 
				 if (!challenge) {
			
    39. 

			
  39. 
				 return;
			
    40. 

			
  40. 
				 }
			
    41. 

			
  41. 
				 
			
    42. 

			
  42. 
				 /*
			
    43. 

			
  43. 
				 * URL里面的host在使用HTTPDNS的情况下被设置成了IP,此处从HTTP Header中获取真实域名
			
    44. 

			
  44. 
				 */
			
    45. 

			
  45. 
				 NSString* host = [[self.request allHTTPHeaderFields] objectForKey:@"host"];
			
    46. 

			
  46. 
				 if (!host) {
			
    47. 

			
  47. 
				 host = self.request.URL.host;
			
    48. 

			
  48. 
				 }
			
    49. 

			
  49. 
				 
			
    50. 

			
  50. 
				 /*
			
    51. 

			
  51. 
				 * 判断challenge的身份验证方法是否是NSURLAuthenticationMethodServerTrust(HTTPS模式下会进行该身份验证流程),
			
    52. 

			
  52. 
				 * 在没有配置身份验证方法的情况下进行默认的网络请求流程。
			
    53. 

			
  53. 
				 */
			
    54. 

			
  54. 
				 if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust])
			
    55. 

			
  55. 
				 {
			
    56. 

			
  56. 
				 if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:host]) {
			
    57. 

			
  57. 
				 /*
			
    58. 

			
  58. 
				 * 验证完以后,需要构造一个NSURLCredential发送给发起方
			
    59. 

			
  59. 
				 */
			
    60. 

			
  60. 
				 NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
			
    61. 

			
  61. 
				 [[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];
			
    62. 

			
  62. 
				 } else {
			
    63. 

			
  63. 
				 /*
			
    64. 

			
  64. 
				 * 验证失败,取消这次验证流程
			
    65. 

			
  65. 
				 */
			
    66. 

			
  66. 
				 [[challenge sender] cancelAuthenticationChallenge:challenge];
			
    67. 

			
  67. 
				 }
			
    68. 

			
  68. 
				 } else {
			
    69. 

			
  69. 
				 /*
			
    70. 

			
  70. 
				 * 对于其他验证方法直接进行处理流程
			
    71. 

			
  71. 
				 */
			
    72. 

			
  72. 
				 [[challenge sender] continueWithoutCredentialForAuthenticationChallenge:challenge];
			
    73. 

			
  73. 
				 }
			
    74. 

			
  74. 
				}
			
    75. 

			
  75. 
				 
			
    76. 

			
  76. 
				////////////////////////////////////////////////////////////
			
    77. 

			
  77. 
				////////////////////////////////////////////////////////////
			
    78. 

			
  78. 
				////////////////////////////////////////////////////////////
			
    79. 

			
  79. 
				////////////////////////////////////////////////////////////
			
    80. 

			
  80. 
				 
			
    81. 

			
  81. 
				/*
			
    82. 

			
  82. 
				 * NSURLSession
			
    83. 

			
  83. 
				 */
			
    84. 

			
  84. 
				- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
			
    85. 

			
  85. 
				didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
			
    86. 

			
  86. 
				 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler
			
    87. 

			
  87. 
				{
			
    88. 

			
  88. 
				 if (!challenge) {
			
    89. 

			
  89. 
				 return;
			
    90. 

			
  90. 
				 }
			
    91. 

			
  91. 
				 
			
    92. 

			
  92. 
				 NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
			
    93. 

			
  93. 
				 NSURLCredential *credential = nil;
			
    94. 

			
  94. 
				 
			
    95. 

			
  95. 
				 /*
			
    96. 

			
  96. 
				 * 获取原始域名信息。
			
    97. 

			
  97. 
				 */
			
    98. 

			
  98. 
				 NSString* host = [[self.request allHTTPHeaderFields] objectForKey:@"host"];
			
    99. 

			
  99. 
				 if (!host) {
			
    100. 

			
  100. 
				 host = self.request.URL.host;
			
    101. 

			
  101. 
				 }
			
    102. 

			
  102. 
				 
			
    103. 

			
  103. 
				 if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
			
    104. 

			
  104. 
				 if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:host]) {
			
    105. 

			
  105. 
				 disposition = NSURLSessionAuthChallengeUseCredential;
			
    106. 

			
  106. 
				 credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
			
    107. 

			
  107. 
				 } else {
			
    108. 

			
  108. 
				 disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
			
    109. 

			
  109. 
				 }
			
    110. 

			
  110. 
				 } else {
			
    111. 

			
  111. 
				 disposition = NSURLSessionAuthChallengePerformDefaultHandling;
			
    112. 

			
  112. 
				 }
			
    113. 

			
  113. 
				 // 对于其他的challenges直接使用默认的验证方案
			
    114. 

			
  114. 
				 completionHandler(disposition,credential);
			
    115. 

			
  115. 
				}
			
    116.
感谢您的反馈!

浏览 (103) | 评论 (0) | 评分(0) | 支持(0) | 反对(0) | 发布人:毛凌国.中国
将本文加入收藏夹
 
 
自定内容
请输入内容<--狮龙书廊跑马灯文件代码区->
自定内容

 

感谢您注册参加技术达人“秀”—“数字化变革新旗舰5K智能协作终端发布”在线研讨会。

活动日期:2017年6月8日     
北京时间:上午10:00-11:00
活动号:204 914 711
活动密码:170608
 网站编辑@ 2017 年成都狮龙书廊科技有限责任公司。
Cisco、Cisco Systems和Cisco Systems标志是思科系统有限公司和/或其子公司在中国和特定国家和地区的商标或注册商标。
本文中涉及的所有其它商标均属于各自所有者的资产。
自定内容

请输入内容

自定内容

欢迎参加第五届豆瓣阅读征文大赛

详情
豆瓣阅读  发送至 public  
隐藏
发件人:豆瓣阅读  
收件人:
public  
抄 送:
密 送:
时 间:2017-08-11 15:28
时 间:
地 点:
邮件已加密,收件方查看邮件需要密码。 邮件已加密,密码:
  • 回复
  • 转发
查看译文
查看原文
对照显示
正在翻译,请稍候...
自定内容

美橙视频制作中心

独特创意 精妙制作 品质铸造 超高性价比
专业实景影棚
1000平方米实景影棚
超2000平方米外拍基地
一流的影视设备
电影级摄像机、灯光设备、
专业航拍机等
资深制作团队
资深编导、策划、拍摄、
后期制作专业操刀
专业配音
80多位资深配音,支持
普通话、英文、方言等