WebSocket SSL 加密浅析

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WebSocket SSL 加密浅析相关的知识,希望对你有一定的参考价值。

参考技术A WebSocket 是基于Http 协议的改进,Http 为无状态协议,基于短连接,需要频繁的发起请求,第二 Http 只能客户端发起请求,服务端无法主动请求。

都是基于TCP的应用层协议。
都使用Request/Response模型进行连接的建立。
在连接的建立过程中对错误的处理方式相同,在这个阶段WS可能返回和HTTP相同的返回码。
都可以在网络中传输数据。

WS使用HTTP来建立连接,但是定义了一系列新的header域,这些域在HTTP中并不会使用。
WS的连接不能通过中间人来转发,它必须是一个直接连接。
WS连接建立之后,通信双方都可以在任何时刻向另一方发送数据。
WS连接建立之后,数据的传输使用帧来传递,不再需要Request消息。
WS的数据帧有序。

WebSocket 分为握手和数据传输

WebSocket 的握手基于http GET方法进行,

通过Http握手之后,如果是http 协议的话,tcp 连接会断开,这里在http 头部指明了升级为 websocket, 所以tcp 连接不断开。 WebSocket在握手后发送数据并象下层TCP协议那样由用户自定义,还是需要遵循对应的应用协议规范。 WebSocket 数据传输以数据帧的形式传输。

数据帧的结构如下图:

androidAsync 是一个基于nio的异步socket ,http(客户端服务器端),websocket,socket.io库,AndroidAsync 是一个底层的网络协议库。AndroidAsync 适合用于一个未被封装的Android的raw Socket, HTTP client/server, WebSocket, and Socket.IO。

特性

wss 建立在HTTPS 的基础上,在握手的时候使用HTTS 建立连接。HTTPS是HTTP over SSL/TLS,HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS。
HTTPS 连接过程如下图:

AndroidSync API
AndroidSync 对ssl 的支持如下:

ssl 连接需要证书,通常证书是CA机构发布,保证权威性。但是也可以使用自签名证书。如12306.根据我们车机的特点,可以采用自签名证书。

HTTPS ,是一种网络安全传输协议,利用 SSL/TLS 来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。 中间人攻击, Man-in-the-middle attack ,缩写: MITM ,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。
https 在理论上是可以抵御 MITM ,但是由于开发过程中的编码不规范,导致 https 可能存在 MITM 攻击风险,攻击者可以解密、篡改 https 数据。 0X02 https 漏洞 Android https 的开发过程中常见的安全缺陷:

Android安全开发之安全使用HTTPS

窃听风暴:Android平台https嗅探劫持漏洞

浅析HTTPS中间人攻击与证书校验

以上是关于WebSocket SSL 加密浅析的主要内容,如果未能解决你的问题,请参考以下文章

使用 ssl 的 ASP.net 4.5 Websocket 加密

Android websock 应用

浅析https

如何使用 TLS/SSL 确保 WebSocket 连接的安全

如何使用 TLS/SSL 确保 WebSocket 连接的安全

.net的Websocket编程序入门