Android 7(N)網路安全配置
Android N 包含一個網路安全配置特性,讓應用可以在一個安全的宣告性配置檔案中自定義其網路安全設定,而無需修改應用程式碼。 可以針對特定域和特定應用配置這些設定。 該特性的主要功能如下所示:
- 自定義信任錨:針對應用的安全連線自定義哪些證書頒發機構 (CA) 值得信賴。 例如,信任特定的自簽署證書或限制應用信任的公共 CA 集。
- 僅除錯重寫:在應用中以安全方式除錯安全連線,而不會增加安裝基數的風險。
- Cleartext traffic 選擇退出:防止應用意外使用 cleartext traffic。
- 證書固定:將應用的安全連線限制為特定的證書。
新增安全配置檔案
網路安全配置特性使用一個 XML 檔案,您可以在該檔案中指定應用的設定。 您必須在應用的清單中包含一個條目來指向該檔案。 以下程式碼摘自一份清單,演示瞭如何建立此條目:
<?xml version="1.0" encoding="utf-8"?><manifest ... ><application ... ><meta-dataandroid:name="android.security.net.config"android:resource="@xml/network_security_config"/> ... </application></manifest>
自定義信任的 CA
應用可能需要信任自定義的 CA 集,而不是平臺預設值。 出現此情況的最常見原因包括:
- 連線到具有自定義證書頒發機構(自簽署、由公司內部 CA 簽發等)的主機。
- 將 CA 集僅限於您信任的 CA,而不是每個預裝 CA。
- 信任系統中未包含的附加 CA。
預設情況下,來自所有應用的安全(例如 TLS、HTTPS)連線均信任預裝的系統 CA,而面向 API 級別 23 (Android M) 及更低級別的應用預設情況下還會信任使用者新增的 CA 儲存。 應用可以使用 base-config(針對應用範圍的定製)或 domain-config(針對每個域的定製)自定義自己的連線。
配置自定義 CA
假設您要連線到使用自簽署 SSL 證書的主機,或者連線到其 SSL 證書是由您信任的非公共 CA(如公司內部 CA)簽發的主機。
res/xml/network_security_config.xml
<?xml version="1.0" encoding="utf-8"?><network-security-config><domain-config><domainincludeSubdomains="true">example.com</domain><trust-anchors><certificatessrc="@raw/my_ca"/></trust-anchors></domain-config></network-security-config>
以 PEM 或 DER 格式將自簽署或非公共 CA 證書新增到 res/raw/my_ca。
限制信任的 CA 集
如果應用不想信任系統信任的所有 CA,則可以自行指定,縮減要信任的 CA 集。 這樣可防止應用信任任何其他 CA 簽發的欺詐性證書。
限制信任的 CA 集的配置與針對特定域信任自定義 CA 相似,不同的是,前者要在資源中提供多個 CA。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?><network-security-config><domain-config><domainincludeSubdomains="true">secure.example.com</domain><domainincludeSubdomains="true">cdn.example.com</domain><trust-anchors><certificatessrc="@raw/trusted_roots"/></trust-anchors></domain-config></network-security-config>
以 PEM 或 DER 格式將信任的 CA 新增到 res/raw/trusted_roots。 請注意,如果使用 PEM 格式,檔案必須僅包含 PEM 資料,且沒有額外的文字。 您還可以提供多個 <certificates> 元素,而不是隻能提供一個元素。
信任附加 CA
應用可能需要信任系統不信任的附加 CA,出現此情況的原因可能是系統還未包含此 CA,或 CA 不符合新增到 Android 系統中的要求。 應用可以通過為一個配置指定多個證書源來實現此目的。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?><network-security-config><base-config><trust-anchors><certificatessrc="@raw/extracas"/><certificatessrc="system"/></trust-anchors></base-config></network-security-config>
配置用於除錯的 CA
除錯通過 HTTPS 連線的應用時,您可能需要連線到沒有用於生產伺服器的 SSL 證書的本地開發伺服器。 為了支援此操作,而又不對應用的程式碼進行任何修改,您可以通過使用 debug-overrides 指定僅在 android:debuggable 為 true 時才信任的僅除錯
CA。 通常,IDE 和構建工具會自動為非釋出版本設定此標誌。
這比一般的條件程式碼更安全,因為出於安全考慮,應用儲存不接受被標記為可除錯的應用。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?><network-security-config><debug-overrides><trust-anchors><certificatessrc="@raw/debug_cas"/></trust-anchors></debug-overrides></network-security-config>
選擇退出 Cleartext Traffic
旨在連線到僅使用安全連線的目標的應用可以選擇不再對這些目標提供 cleartext(使用解密的 HTTP 協議而非 HTTPS)支援。 此選項有助於防止應用因外部源(如後端伺服器)提供的 URL 發生變化而意外迴歸。 請參閱 瞭解更多詳情。
例如,應用可能需要確保所有與 secure.example.com 的連線始終是通過 HTTPS 完成,以防止來自惡意網路的敏感流量。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?><network-security-config><domain-configusesCleartextTraffic="false"><domainincludeSubdomains="true">secure.example.com</domain></domain-config></network-security-config>
固定證書
一般情況下,應用信任所有預裝 CA。如果有預裝 CA 要簽發欺詐性證書,則應用將面臨被中間人攻擊 (MiTM) 的風險。 有些應用通過限制信任的 CA 集或通過證書固定來選擇限制其接受的證書集。
通過按公鑰的雜湊值(X.509 證書的 SubjectPublicKeyInfo)提供證書集完成證書固定。 然後,證書鏈僅在至少包含一個已固定的公鑰時才有效。
請注意,使用證書固定時,您應始終包含一個備份金鑰,這樣,當您需要強制切換到新金鑰時,或更改 CA 時(固定到某個 CA 證書或該 CA 的中間證書時),您應用的連線性不會受到影響。 否則,您必須推送應用的更新以恢復連線性。
此外,可以設定固定到期時間,在該時間之後不執行證書固定。 這有助於防止尚未更新的應用出現連線問題。 不過,設定固定到期時間可能會繞過證書固定。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?><network-security-config><domain-config><domainincludeSubdomains="true">example.com</domain><pin-setexpiration="2018-01-01"><pindigest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin><!-- backup pin --><pindigest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin></pin-set></domain-config></network-security-config>
配置繼承行為
繼承未在特定配置中設定的值。此行為允許進行更復雜的配置,同時保證配置檔案可讀。
如果未在特定條目中設定值,則使用來自下一個更通用的條目中的值。 未在 domain-config 中設定的值從父級 domain-config(如果已巢狀)或從 base-config(如果未巢狀)中獲取。 未在 base-config 中設定的值使用平臺預設值。
例如,考慮所有與 example.com 的子域的連線必須使用自定義 CA 集。此外,允許使用這些域的 cleartext traffic,連線到 secure.example.com 時除外。通過在 example.com 的配置中巢狀 secure.example.com 的配置,不需要重複 trust-anchors。
res/xml/network_security_config.xml:
<?xml version="1.0" encoding="utf-8"?><network-security-config><domain-config><domainincludeSubdomains="true">example.com</domain><trust-anchors><certificatessrc="@raw/my_ca"/></trust-anchors><domain-configcleartextTrafficPermitted="false"><domainincludeSubdomains="true">secure.example.com</domain></domain-config></domain-config></network-security-config>
配置檔案格式
網路安全配置特性使用 XML 檔案格式。 檔案的整體結構如以下程式碼示例所示:
<?xml version="1.0" encoding="utf-8"?><network-security-config><base-config><trust-anchors><certificatessrc="..."/> ... </trust-anchors></base-config><domain-config><domain>android.com</domain> ... <trust-anchors><certificatessrc="..."/> ... </trust-anchors><pin-set><pindigest="...">...</pin> ... </pin-set></domain-config> ... <debug-overrides><trust-anchors><certificatessrc="..."/> ... </trust-anchors></debug-overrides></network-security-config>
以下部分介紹語法和檔案格式的其他詳細資訊。
<network-security-config>
<base-config>
- 語法:
<base-configusesCleartextTraffic=["true" | "false"]> ... </base-config>
- 可包含:
- 說明:
- 目標不在
domain-config涵蓋範圍內的所有連線所使用的預設配置。未設定的任何值均使用平臺預設值。面向上述 API 級別 24 及更高級別的應用的預設配置:
<base-configusesCleartextTraffic="true"><trust-anchors><certificatessrc="system"/></trust-anchors></base-config>
面向 API 級別 23 及更低級別的應用的預設配置:<base-configusesCleartextTraffic="true"><trust-anchors><certificatessrc="system"/><certificatessrc="user"/></trust-anchors></base-config>
<domain-config>
- 語法:
-
<domain-configusesCleartextTraffic=["true" | "false"]> ... </domain-config>
- 可包含:
- 說明
- 用於按照
domain元素的定義連線到特定目標的配置。請注意,如果有多個
domain-config元素涵蓋某個目標,則使用匹配域規則最具體(最長)的配置。
<domain>
- 語法:
-
<domainincludeSubdomains=["true" | "false"]>example.com</domain>
- 屬性:
-
includeSubdomains- 如果為
"true",則此域規則與域及所有子域(包括子域的子域)匹配,否則,該規則僅適用於精確匹配項。
- 說明:
<debug-overrides>
- 語法:
-
<debug-overrides> ... </debug-overrides>
- 可包含:
- 說明:
- 當 android:debuggable 為
"true"時將應用的重寫,IDE 和構建工具生成的非釋出版本通常屬於此情況。 將在debug-overrides中指定的信任錨新增到所有其他配置,並且當伺服器的證書鏈使用其中一個僅除錯信任錨時不執行證書固定。 如果 android:debuggable 為"false",則完全忽略此部分。
<trust-anchors>
- 語法:
-
<trust-anchors> ... </trust-anchors>
- 可包含:
- 說明:
- 用於安全連線的信任錨集
<certificates>
- 語法:
-
<certificatessrc=["system" | "user" | "raw resource"] overridePins=["true" | "false"] />
- 說明:
- 用於
trust-anchors元素的 X.509 證書集。 - 屬性:
-
src- CA 證書的來源,可以是
- 指向包含 X.509 證書的檔案的原始資源 id。 證書必須以 DER 或 PEM 格式編碼。如果為 PEM 證書,則檔案不得包含額外的非 PEM 資料,如註釋。
- 用於預裝系統 CA 證書的
"system" - 用於使用者新增的 CA 證書的
"user"
overridePins-
指定來自此源的 CA 是否繞過證書固定。如果為
"true",則為穿過此源的其中一個 CA 的鏈頒發證書,並且不執行證書固定。 這對於除錯 CA 或支援使用者對應用的安全流量進行中間人攻擊 (MiTM) 非常有用。預設值為
"false",除非在debug-overrides元素中另外指定(在這種情況下,預設值為"true")。
<pin-set>
- 語法:
-
<pin-setexpiration="date"> ... </pin-set>
- 可包含:
- 任意數量的
<pin> - 說明:
- 公鑰固定 (PKP) 集。對於要信任的安全連線,信任鏈中必須有一個公鑰位於 PKP 集中。 有關固定形式,請參閱
<pin>。 - 屬性:
-
expiration- 採用
yyyy-MM-dd格式的日期,在該日期及之後固定過期,因而禁用固定。 如果未設定該屬性,則固定不會過期。設定到期時間有助於防止未更新到其 PKP 集(例如,由於使用者禁用應用更新)的應用出現連線問題。
<pin>
- 語法:
-
<pindigest=["SHA-256"]>base64 encoded digest of X.509 SubjectPublicKeyInfo (SPKI)</pin>
- 屬性:
-
digest- 用於生成 PKP 的摘要演算法。目前僅支援
"SHA-256"。