androidssl证书交换流程.docVIP

Android SSL证书交换流程 创建https链接 浏览器在显示页面之前需要建立http/https链接，然后利用http/https链接去下载html文件以及html文件中嵌入的jpeg、gif等格式图片。如果资源的url具有的前缀是“http://”，那么需要建立http链接。如果资源的url具有的前缀是“https://”，那么需要建立https链接。双向业务需要利用https协议来发送加密数据。 Android webkit不关心获取资源的协议类型，只需要调用Network. requestURL接口即可发送请求。Network.requestURL首先创建Request对象、RequestHandle对象、RequestQueue对象，Connection对象，然后调用RequestHcessRequest就可以完成请求。在上述过程中，NetWork并不知道Connection的类型。与https链接建立过程有关的类以及它们之间的关系可以参考下图： 图1 类图 类之间的调用顺序图如下： 图2 顺序图 经过分析，建立https链接的流程不需要修改。 SSL握手与验证 https协议利用SSL协议验证通信双方（客户端、服务器端）的身份、协商加密算法与密钥。Android中HttpsConnection类实现了https协议。SSLSocket相关类实现了SSL协议。HttpsConnection只需通过SocketFactory以及Socket提供的抽象接口就可以启动SSL握手过程。 主要由SSLSocket、OpenSSLSocketImpl、SSLParameters、SSLSession、OpenSSLSocketFactoryImpl、OpenSSLSessionImpl、SSLSessionContext实现SSL协议。HttpsConnection使用系统提供的默认工厂SSLSocketFactoryImpl创建OpenSSLSocketImpl。OpenSSLSocketImpl通过JNI调用openSSL库提供的api进行握手。注意握手信息是在SocketImpl对象上传输的。SSLSession类封装了SSL会话信息，它存储了SSL握手的结果。最后SSLSessionContext相当与SSLSession的缓存池。这些类之间的关系如下图所示： 图3 SSLSocket类图 类之间的调用顺序如下： 图4 SSLSocket 时序图 这里需要额外说明的是：在执行nativeconnect函数时，已经在openSSL库中执行了握手过程。但openSSL库中不会进行任何验证，因为验证模式被设置为SSL_VERIFY_NONE。因此，Android中身份验证是由checkServerTrusted函数实现的。 经过分析，openSSL库可以参照RocME_3.0的openSSL模块来修改。另外额外的工作量是，需要将底层的证书正确的映射为X509Certificate对象。 数字证书、公钥、密钥 Android系统使用openSSL库来交换证书、协商加密算法，但认证服务器段身份并非由openSSL库完成。Android系统将自己的证书、私钥存储在密钥仓库中。在进行openSSL握手之前，将私钥以及证书放入SSL_CTX变量中。握手结束后，Android系统从SSLSession中取出服务器的证书，利用可信密钥仓库来检验该证书是否可信。相关类以及类之间的关系如下图所示： 图 图 5 cetificate 类图 在集成BNSAS时，需要将TSM模块提供的密钥以及证书转存储到Android的密钥仓库中。这样可以不修改Android框架，让服务器端验证终端的身份。另外，还需要将TSM模块提供的验签算法加入到TrustManager认证体系中。