Android Https

 https

转自：http://www.kankanews.com/ICkengine/archives/9634.shtml

HTTPS:超文本安全传输协议，和HTTP相比，多了一个SSL/TSL的认证过程，端口为443。

1.peer终端发送一个request，https服务端把支持的加密算法等以证书的形式返回一个身份信息（包含ca颁发机构和加密公钥等）。

2.获取证书之后，验证证书合法性。

3.随机产生一个密钥，并以证书当中的公钥加密。

4.request https服务端，把用公钥加密过的密钥传送给https服务端。

5.https服务端用自己的密钥解密，获取随机值。

6.之后双方传送数据都用此密钥加密后通信。

看下面一张网上的得来的https的时序图：

转自：http://www.eoeandroid.com/thread-71580-1-1.html

如果不需要验证服务器端证书，直接照这里做

 

public class Demo extends Activity {
    /** Called when the activity is first created. */
        private TextView text;
    @Override
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.main);
        text = (TextView)findViewById(R.id.text);
        GetHttps();
    }

    private void GetHttps(){
            String https = " https://800wen.com/";
            try{
                    SSLContext sc = SSLContext.getInstance("TLS");
                    sc.init(null, new TrustManager[]{new MyTrustManager()},
                                                      new SecureRandom());
                    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
                    HttpsURLConnection.setDefaultHostnameVerifier(new MyHostnameVerifier());
                    HttpsURLConnection conn = (HttpsURLConnection)new URL(https).openConnection();
                    conn.setDoOutput(true);
                    conn.setDoInput(true);
                    conn.connect();

                     BufferedReader br = new BufferedReader(
                                         new InputStreamReader(conn.getInputStream()));
             StringBuffer sb = new StringBuffer();
             String line;
             while ((line = br.readLine()) != null)
                     sb.append(line);

                    text.setText(sb.toString());

            }catch(Exception e){
                    Log.e(this.getClass().getName(), e.getMessage());
            }

    }

    private class MyHostnameVerifier implements HostnameVerifier{

                @Override
                public boolean verify(String hostname, SSLSession session) {
                        // TODO Auto-generated method stub
                        return true;
                }
    }

    private class MyTrustManager implements X509TrustManager{

                @Override
                public void checkClientTrusted(X509Certificate[] chain, String authType)
                                throws CertificateException {
                        // TODO Auto-generated method stub

                }

                @Override
                public void checkServerTrusted(X509Certificate[] chain, String authType)
                                throws CertificateException {
                        // TODO Auto-generated method stub

                }

                @Override
                public X509Certificate[] getAcceptedIssuers() {
                        // TODO Auto-generated method stub
                        return null;
                }
    }
}

如果需要验证服务器端证书（这样能够防钓鱼），我是这样做的，还有些问题问大牛：
    a. 导出公钥。在浏览器上用https访问tomcat，查看其证书，并另存为一个文件(存成了X.509格式：xxxx.cer)
    b. 导入公钥。把xxxx.cer放在Android的assets文件夹中，以方便在运行时通过代码读取此证书，留了两个问题给大牛：

 

 

AssetManager am = context.getAssets();
InputStream ins = am.open("robusoft.cer");
try {
        //读取证书
        CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");  //问1
        Certificate cer = cerFactory.generateCertificate(ins);
        //创建一个证书库，并将证书导入证书库
        KeyStore keyStore = KeyStore.getInstance("PKCS12", "BC");   //问2
        keyStore.load(null, null);
        keyStore.setCertificateEntry("trust", cer);
        return keyStore;
} finally {
        ins.close();
}
//把咱的证书库作为信任证书库
SSLSocketFactory socketFactory = new SSLSocketFactory(keystore);
Scheme sch = new Scheme("https", socketFactory, 443);
//完工
HttpClient mHttpClient = new DefaultHttpClient();
mHttpClient.getConnectionManager().getSchemeRegistry().register(sch);

问1：这里用"PKCS12"不行

 

答1：PKCS12和JKS是keystore的type，不是Certificate的type，所以X.509不能用PKCS12代替

问2：这里用"JKS"不行。

答2：android平台上支持的keystore type好像只有PKCS12，不支持JKS，所以不能用JKS代替在PKCS12，不过在wind平台上是可以代替的

参考文章:公钥加密http://www.williamlong.info/archives/837.html

               HTTPS握手过程:http://hi.baidu.com/green_lizard/item/ce8d160209f6d065bee97efb

              HTTPS和SSL支持使用X.509数字认证。SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密.

              数字认证:数字证书是一种权威性的电子文档，由权威公正的第三方机构，即CA（例如中国各地方的CA公司）中心签发的证书.数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。