SSL认证:单向认证与双向认证——密码学笔记(八)

转载 2018年04月16日 11:44:36

SSL协议即用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用非对称加密,链路建立好之后,SSL对传输内容使用对称加密。

对称加密:速度高,可加密内容较大,用来加密会话过程中的消息

公钥加密:加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥

一、SSL单向认证过程


1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息

2、服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书

3、客户端使用服务端返回的信息验证服务器的合法性,验证通过后,则继续进行通信,否则终止通信,验证内容包括:

     a、证书是否过期

     b、发行服务器证书的CA是否可靠

     c、返回的公钥是否能正确解开返回证书中的数字签名

     d、服务器证书上的域名是否和服务器的实际域名相匹配

4、客户端向服务器发送自己所能支持的对称加密方案,供服务器进行选择

5、服务器在客户端提供的加密方案中选择加密程度最高的加密方式

6、服务器将选择好的加密方式通过明文方式返回给客户端

7、客户端接收到服务器返回的加密方案后,使用该加密方案生成产生随机码,用作通信过程中对称加密的密钥,使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器

8、服务器收到客户端返回的加密信息后 ,使用自己的私钥进行解密,获取对称加密密钥。在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中的信息安全。

二、SSL双向认证过程


1、客户端向服务器发送连接请求(SSL协议版本号、加密算法种类、随机数等信息)

2、服务器给客户端返回服务器端的证书,即公钥证书,同时也返回证书相关信息(SSL协议版本号、加密算法种类、随机数等信息

3、客户端使用服务端返回的信息验证服务器的合法性(首先检查服务器发送过来的证书是否是由自己信赖的CA中心所签发的,再比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户端认可这个服务端的合法身份),验证通过后,则继续进行通信,否则终止通信,具体验证内容包括:

     a、证书是否过期
     b、发行服务器证书的CA是否可靠
     c、返回的公钥是否能正确解开返回证书中的数字签名
     d、服务器证书上的域名是否和服务器的实际域名相匹配

4、服务端要求客户端发送客户端的证书,客户端会将自己的证书发送至服务端

5、验证客户端的证书,通过验证后,会获得客户端的公钥

6、客户端向服务器发送自己所能支持的对称加密方案,供服务器端进行选择

7、服务器端在客户端提供的加密方案中选择加密程度最高的加密方式

8、将加密方式通过使用之前获取到的公钥(客户的公钥)进行加密,返回给客户端

9、客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后获取该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端

10、服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全

三、SSL单向认证和SSL双向认证的区别

SSL单向认证只要求站点部署了SSL证书就行,任何用户都可以去访问(IP被限制除外等),只是服务器提供了身份认证。SSL双向认证则是需要服务端与客户端提供身份认证,只能是服务端允许的客户去访问,安全性相对高一些。

双向认证SSL协议要求服务器和用户双方都有证书。单向认证SSL协议不需要客户拥有CA证书,只需将服务器验证客户证书的过程去掉,以及在协商对称密码方案、对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响SSL过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,就足够安全,这也是强调使用128位加密通讯的原因。

一般Web应用都是采用SSL单向认证的,原因很简单,用户数目广泛,且无需在通讯层对用户身份进行验证,一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接,情况就不一样,可能会要求对客户端(相对而言)做身份验证,这时就需要做SSL双向认证。

https单向认证和双向认证区别

转自: http://www.cnblogs.com/2333/p/6601769.html 关于证书1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool)...
  • xiejunna
  • xiejunna
  • 2017-05-04 09:21:44
  • 847

Https单向认证和双向认证

HTTPS单双向认证过程
  • duanbokan
  • duanbokan
  • 2016-03-10 16:06:53
  • 45708

SSL单向认证和双向认证交互流程

一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因...
  • chenchuanhai04
  • chenchuanhai04
  • 2017-08-15 11:29:24
  • 526

Aandroid中https请求的单向认证和双向认证

一、HTTPS 单向认证 1. 给服务器生成密钥 keytool -genkeypair -alias skxy -keyalg RSA -validity 3650 -keypa...
  • u011394071
  • u011394071
  • 2016-10-21 09:49:31
  • 7650

SSL的单向认证和双向认证

为了便于更好的认识和理解SSL协议,这里着重介绍SSL协议的握手流程。SSL协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技...
  • mylotof
  • mylotof
  • 2015-02-26 13:27:06
  • 1674

HTTPS单向认证&双向认证

单向认证:保证server是真的,通道是安全的(对称密钥); 双向认证:保证client和server是真的,通道是安全的(对称密钥); 如果是单向认证,不需要导入证书也可以访问,只是会提...
  • russ44
  • russ44
  • 2016-10-13 13:32:27
  • 962

SSL/TLS单向双向认证原理

最近在搞一个项目,其中要用到安全传输,研究了下SSL/TLS单向双向认证。 1. SSL/TLS单向认证:客户端会认证服务器端身份,服务器端不对客户端进行认证 2. SSL/TLS双向认证...
  • self_examination
  • self_examination
  • 2015-07-26 18:32:06
  • 3025

java实现ssl单/双向认证通信[推荐]

有关SSL的原理和介绍在网上已经有不少,对于Java下使用keytool生成证书,配置SSL通信的教程也非常多。但如果我们不能够亲自动手做一个SSL Sever和SSL Client,可能就永远也不能...
  • zbuger
  • zbuger
  • 2016-06-17 00:30:48
  • 3849

ssl双向认证和单向认证的区别

单向认证只要求站点部署了ssl证书就行,任何用户都可以去访问(IP被限制除外等),只是服务端提供了身份认证。而双向认证则是需要是服务端需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性相对...
  • baidu_18607183
  • baidu_18607183
  • 2016-07-13 10:10:29
  • 427

Mina 单双向认证

生成服务器端密钥 keytool -genkey -alias serverkey -keystore kserver.keystore 导出服务器端证书 keytool -export -...
  • dream_it_life
  • dream_it_life
  • 2015-03-18 19:38:50
  • 733
收藏助手
不良信息举报
您举报文章:SSL认证:单向认证与双向认证——密码学笔记(八)
举报原因:
原因补充:

(最多只允许输入30个字)