Android N 包含一個網絡安全配置特性,讓應用可以在一個安全的聲明性配置文件中自定義其網絡安全設置,而無需修改應用代碼。 可以針對特定域和特定應用配置這些設置。 該特性的主要功能如下所示:
- 自定義信任錨:針對應用的安全連接自定義哪些證書頒發機構 (CA) 值得信賴。 例如,信任特定的自簽署證書或限制應用信任的公共 CA 集。
- 僅調試重寫:在應用中以安全方式調試安全連接,而不會增加安裝基數的風險。
- Cleartext traffic 選擇退出:防止應用意外使用 cleartext traffic。
- 證書固定:將應用的安全連接限制爲特定的證書。
添加安全配置文件
網絡安全配置特性使用一個 XML 文件,您可以在該文件中指定應用的設置。 您必須在應用的清單中包含一個條目來指向該文件。 以下代碼摘自一份清單,演示瞭如何創建此條目:
<?xml version="1.0" encoding="utf-8"?> <manifest ... > <application ... > <meta-data android:name="android.security.net.config" android:resource="@xml/network_security_config" /> ... </application> </manifest>
自定義信任的 CA
應用可能需要信任自定義的 CA 集,而不是平臺默認值。 出現此情況的最常見原因包括:
- 連接到具有自定義證書頒發機構(自簽署、由公司內部 CA 簽發等)的主機。
- 將 CA 集僅限於您信任的 CA,而不是每個預裝 CA。
- 信任系統中未包含的附加 CA。
默認情況下,來自所有應用的安全(例如 TLS、HTTPS)連接均信任預裝的系統 CA,而面向 API 級別 23 (Android M) 及更低級別的應用默認情況下還會信任用戶添加的 CA 存儲。 應用可以使用 base-config
(針對應用範圍的定製)或 domain-config
(針對每個域的定製)自定義自己的連接。
配置自定義 CA
假設您要連接到使用自簽署 SSL 證書的主機,或者連接到其 SSL 證書是由您信任的非公共 CA(如公司內部 CA)簽發的主機。
res/xml/network_security_config.xml
:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.com</domain> <trust-anchors> <certificates src="@raw/my_ca"/> </trust-anchors> </domain-config> </network-security-config>
以 PEM 或 DER 格式將自簽署或非公共 CA 證書添加到 res/raw/my_ca
。
限制信任的 CA 集
如果應用不想信任系統信任的所有 CA,則可以自行指定,縮減要信任的 CA 集。 這樣可防止應用信任任何其他 CA 簽發的欺詐性證書。
限制信任的 CA 集的配置與針對特定域信任自定義 CA 相似,不同的是,前者要在資源中提供多個 CA。
res/xml/network_security_config.xml
:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">secure.example.com</domain> <domain includeSubdomains="true">cdn.example.com</domain> <trust-anchors> <certificates src="@raw/trusted_roots"/> </trust-anchors> </domain-config> </network-security-config>
以 PEM 或 DER 格式將信任的 CA 添加到 res/raw/trusted_roots
。 請注意,如果使用 PEM 格式,文件必須僅包含 PEM 數據,且沒有額外的文本。 您還可以提供多個 <certificates>
元素,而不是隻能提供一個元素。
信任附加 CA
應用可能需要信任系統不信任的附加 CA,出現此情況的原因可能是系統還未包含此 CA,或 CA 不符合添加到 Android 系統中的要求。 應用可以通過爲一個配置指定多個證書源來實現此目的。
res/xml/network_security_config.xml
:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <base-config> <trust-anchors> <certificates src="@raw/extracas"/> <certificates src="system"/> </trust-anchors> </base-config> </network-security-config>
配置用於調試的 CA
調試通過 HTTPS 連接的應用時,您可能需要連接到沒有用於生產服務器的 SSL 證書的本地開發服務器。 爲了支持此操作,而又不對應用的代碼進行任何修改,您可以通過使用 debug-overrides
指定僅在 android:debuggable 爲 true
時纔信任的僅調試
CA。 通常,IDE 和構建工具會自動爲非發佈版本設置此標誌。
這比一般的條件代碼更安全,因爲出於安全考慮,應用存儲不接受被標記爲可調試的應用。
res/xml/network_security_config.xml
:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <debug-overrides> <trust-anchors> <certificates src="@raw/debug_cas"/> </trust-anchors> </debug-overrides> </network-security-config>
選擇退出 Cleartext Traffic
旨在連接到僅使用安全連接的目標的應用可以選擇不再對這些目標提供 cleartext(使用解密的 HTTP 協議而非 HTTPS)支持。 此選項有助於防止應用因外部源(如後端服務器)提供的 URL 發生變化而意外迴歸。 請參閱 NetworkSecurityPolicy.isCleartextTrafficPermitted()
瞭解更多詳情。
例如,應用可能需要確保所有與 secure.example.com
的連接始終是通過 HTTPS 完成,以防止來自惡意網絡的敏感流量。
res/xml/network_security_config.xml
:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config usesCleartextTraffic="false"> <domain includeSubdomains="true">secure.example.com</domain> </domain-config> </network-security-config>
固定證書
一般情況下,應用信任所有預裝 CA。如果有預裝 CA 要簽發欺詐性證書,則應用將面臨被中間人攻擊 (MiTM) 的風險。 有些應用通過限制信任的 CA 集或通過證書固定來選擇限制其接受的證書集。
通過按公鑰的哈希值(X.509 證書的 SubjectPublicKeyInfo)提供證書集完成證書固定。 然後,證書鏈僅在至少包含一個已固定的公鑰時纔有效。
請注意,使用證書固定時,您應始終包含一個備份密鑰,這樣,當您需要強制切換到新密鑰時,或更改 CA 時(固定到某個 CA 證書或該 CA 的中間證書時),您應用的連接性不會受到影響。 否則,您必須推送應用的更新以恢復連接性。
此外,可以設置固定到期時間,在該時間之後不執行證書固定。 這有助於防止尚未更新的應用出現連接問題。 不過,設置固定到期時間可能會繞過證書固定。
res/xml/network_security_config.xml
:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.com</domain> <pin-set expiration="2018-01-01"> <pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin> <!-- backup pin --> <pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin> </pin-set> </domain-config> </network-security-config>
配置繼承行爲
繼承未在特定配置中設置的值。此行爲允許進行更復雜的配置,同時保證配置文件可讀。
如果未在特定條目中設置值,則使用來自下一個更通用的條目中的值。 未在 domain-config
中設置的值從父級 domain-config
(如果已嵌套)或從 base-config
(如果未嵌套)中獲取。 未在 base-config
中設置的值使用平臺默認值。
例如,考慮所有與 example.com
的子域的連接必須使用自定義 CA 集。此外,允許使用這些域的 cleartext traffic,連接到 secure.example.com
時除外。通過在 example.com
的配置中嵌套 secure.example.com
的配置,不需要重複 trust-anchors
。
res/xml/network_security_config.xml
:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <domain-config> <domain includeSubdomains="true">example.com</domain> <trust-anchors> <certificates src="@raw/my_ca"/> </trust-anchors> <domain-config cleartextTrafficPermitted="false"> <domain includeSubdomains="true">secure.example.com</domain> </domain-config> </domain-config> </network-security-config>
配置文件格式
網絡安全配置特性使用 XML 文件格式。 文件的整體結構如以下代碼示例所示:
<?xml version="1.0" encoding="utf-8"?> <network-security-config> <base-config> <trust-anchors> <certificates src="..."/> ... </trust-anchors> </base-config> <domain-config> <domain>android.com</domain> ... <trust-anchors> <certificates src="..."/> ... </trust-anchors> <pin-set> <pin digest="...">...</pin> ... </pin-set> </domain-config> ... <debug-overrides> <trust-anchors> <certificates src="..."/> ... </trust-anchors> </debug-overrides> </network-security-config>
以下部分介紹語法和文件格式的其他詳細信息。
<network-security-config>
- 可包含:
- 0 或 1 個
<base-config>
任意數量的<domain-config>
0 或 1 個<debug-overrides>
<base-config>
- 語法:
<base-config usesCleartextTraffic=["true" | "false"]> ... </base-config>
- 可包含:
<trust-anchors>
- 說明:
- 目標不在
domain-config
涵蓋範圍內的所有連接所使用的默認配置。未設置的任何值均使用平臺默認值。面向上述 API 級別 24 及更高級別的應用的默認配置:
<base-config usesCleartextTraffic="true"> <trust-anchors> <certificates src="system" /> </trust-anchors> </base-config>
面向 API 級別 23 及更低級別的應用的默認配置:<base-config usesCleartextTraffic="true"> <trust-anchors> <certificates src="system" /> <certificates src="user" /> </trust-anchors> </base-config>
<domain-config>
- 語法:
-
<domain-config usesCleartextTraffic=["true" | "false"]> ... </domain-config>
- 可包含:
- 1 個或多個
<domain>
0 或 1 個<trust-anchors>
0 或 1 個<pin-set>
任意數量的已嵌套<domain-config>
- 說明
- 用於按照
domain
元素的定義連接到特定目標的配置。請注意,如果有多個
domain-config
元素涵蓋某個目標,則使用匹配域規則最具體(最長)的配置。
<domain>
- 語法:
-
<domain includeSubdomains=["true" | "false"]>example.com</domain>
- 屬性:
-
includeSubdomains
- 如果爲
"true"
,則此域規則與域及所有子域(包括子域的子域)匹配,否則,該規則僅適用於精確匹配項。
- 說明:
<debug-overrides>
- 語法:
-
<debug-overrides> ... </debug-overrides>
- 可包含:
- 0 或 1 個
<trust-anchors>
- 說明:
- 當 android:debuggable 爲
"true"
時將應用的重寫,IDE 和構建工具生成的非發佈版本通常屬於此情況。 將在debug-overrides
中指定的信任錨添加到所有其他配置,並且當服務器的證書鏈使用其中一個僅調試信任錨時不執行證書固定。 如果 android:debuggable 爲"false"
,則完全忽略此部分。
<trust-anchors>
- 語法:
-
<trust-anchors> ... </trust-anchors>
- 可包含:
- 任意數量的
<certificates>
- 說明:
- 用於安全連接的信任錨集
<certificates>
- 語法:
-
<certificates src=["system" | "user" | "raw resource"] overridePins=["true" | "false"] />
- 說明:
- 用於
trust-anchors
元素的 X.509 證書集。 - 屬性:
-
src
- CA 證書的來源,可以是
- 指向包含 X.509 證書的文件的原始資源 id。 證書必須以 DER 或 PEM 格式編碼。如果爲 PEM 證書,則文件不得包含額外的非 PEM 數據,如註釋。
- 用於預裝系統 CA 證書的
"system"
- 用於用戶添加的 CA 證書的
"user"
overridePins
-
指定來自此源的 CA 是否繞過證書固定。如果爲
"true"
,則爲穿過此源的其中一個 CA 的鏈頒發證書,並且不執行證書固定。 這對於調試 CA 或支持用戶對應用的安全流量進行中間人攻擊 (MiTM) 非常有用。默認值爲
"false"
,除非在debug-overrides
元素中另外指定(在這種情況下,默認值爲"true"
)。
<pin-set>
- 語法:
-
<pin-set expiration="date"> ... </pin-set>
- 可包含:
- 任意數量的
<pin>
- 說明:
- 公鑰固定 (PKP) 集。對於要信任的安全連接,信任鏈中必須有一個公鑰位於 PKP 集中。 有關固定形式,請參閱
<pin>
。 - 屬性:
-
expiration
- 採用
yyyy-MM-dd
格式的日期,在該日期及之後固定過期,因而禁用固定。 如果未設置該屬性,則固定不會過期。設置到期時間有助於防止未更新到其 PKP 集(例如,由於用戶禁用應用更新)的應用出現連接問題。
<pin>
- 語法:
-
<pin digest=["SHA-256"]>base64 encoded digest of X.509 SubjectPublicKeyInfo (SPKI)</pin>
- 屬性:
-
digest
- 用於生成 PKP 的摘要算法。目前僅支持
"SHA-256"
。