ssl双向认证和单向认证的区别

1、安全性不同：

单向认证只要求站点部署了ssl证书就行，任何用户都可以去访问（IP被限制除外等），只是服务端提供了身份认证。而双向认证则是需要是服务端需要客户端提供身份认证，只能是服务端允许的客户能去访问，安全性相对于要高一些。

2、用途不同：

一般Web应用都是采用单向认证的，原因很简单，用户数目广泛，且无需做在通讯层做用户身份验证，一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接，情况就不一样，可能会要求对客户端（相对而言）做身份验证。这时就需要做双向认证。

3、要求不同：

双向认证SSL 协议的具体通讯过程，这种情况要求服务器和客户端双方都有证书。 单向认证SSL 协议不需要客户端拥有CA证书，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户端的是没有加过密的（这并不影响SSL过程的安全性）密码方案。

扩展资料：

ssl双向认证客户端要收发的握手信号：

发送一个ClientHello消息，说明它支持的密码算法列表、压缩方法及最高协议版本，也发送稍后将被使用的随机数。

然后收到一个ServerHello消息，包含服务器选择的连接参数，源自客户端初期所提供的ClientHello。

当双方知道了连接参数，客户端与服务器交换证书（依靠被选择的公钥系统）。这些证书通常基于X.509，不过已有草案支持以OpenPGP为基础的证书。

服务器请求客户端公钥。客户端有证书即双向身份认证，没证书时随机生成公钥。客户端与服务器通过公钥保密协商共同的主私钥（双方随机协商），这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换，或简化的公钥加密，双方各自用私钥解密。

所有其他关键数据的加密均使用这个“主密钥”。数据传输中记录层（Record layer）用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密，与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。

参考资料来源：百度百科-SSL加密技术

SSL单向认证具体过程图解：

SSL双向认证具体过程图解：

双向认证SSL协议要求服务器和用户双方都有证书。单向认证SSL协议不需要客户拥有CA证书，具体的过程相对于上面的步骤，只需将服务器端验证客户证书的过程去掉，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户的是没有加过密的(这并不影响
SSL
过程的安全性)密码方案。这样，双方具体的通讯内容，就是加过密的数据，如果有第三方攻击，获得的只是加密的数据，第三方要获得有用的信息，就需要对加密的数据进行解密，这时候的安全就依赖于密码方案的安全。而幸运的是，目前所用的密码方案，只要通讯密钥长度足够的长，就足够的安全。这也是我们强调要求使用128位加密通讯的原因。

一般Web应用都是采用SSL单向认证的，原因很简单，用户数目广泛，且无需在通讯层对用户身份进行验证，一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接，情况就不一样，可能会要求对客户端(相对而言)做身份验证。这时就需要做SSL双向认证。

15990183739：【安全】CA证书小记续
毋胥答：备注：     由于 ca.key(CA机构私钥) 和 ca.crt(根证书) 是一对, 于是 ca.crt 可以解密 server.crt。【 WHAT- 单向和双向认证 】    1.单向认证就是我们上一篇中提到的【HOW-CA证书是怎么运行的】，这是一个典型的单向认证，即客户端来校验服务端的...

15990183739：什么是单向身份认证协议?
毋胥答：共享密钥认证是通过口令认证用户发展起来的,但这种口令容易在传递过程中被窃听而泄露。必须采用既能够验证对方拥有共同的秘密而又不会在通信过程中泄露该秘密的方法(零知识认证)才能解决这个问题,挑战/应答协议是一个较好的选择。挑战/应答协议是在每次认证时,认证服务器端都给客户端发送一个不同的“...

15990183739：Netty中使用SSL 双向认证(包括证书生成)
毋胥答：netty的SSLContext提供了newClientContext来为client创建ssl context，但查看其源码未发现能支持双向认证，即client端的ssl context只接收一个trust store，而不能指定自己的证书以供server端校验。仿照netty example下的securechat的ssl实现但做了修改 首先创建一个能提供client和server的ssl context的工具类，...

15990183739：身份认证协议如何设计?
毋胥答：身份认证往往是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的失败。身份认证的依据包括：用户所知道的信息，例如口令、密钥等；用户所拥有的东西，例如身份证、护照、密钥盘等；用户的特征，例如指纹、笔迹、声纹、虹膜、DNA等。身份认证分为单向认证和双向认证。如果通信的双方只需要一方...

15990183739：计算机中身份认证和消息认证的区别
毋胥答：2、单向认证 如果通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证,即前面所述口令核对法就算是一种单向认证,只是这咱简单的单向认证还没有与密鈅分发相结合。与密鈅分发相结合的单向认证主要有两类方案:一类采用对密鈅加密体制,需要一个可信赖的第三方―――通常称为KDC(密鈅分发中心)或...

15990183739：6-认证技术原理与应用
毋胥答：主要内容包括：认证类型可以分为单向认证、双向认证以及第三方认证。认证技术方法主要有口令认证技术、智能卡技术、基于生物特征认证技术、Kerberos技术等多种实现方式。（1）口令认证是基于用户所知道的秘密而进行的技术，是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证。（2）...

15990183739：SIM900 使用SSL时,怎样验证根CA的证书?
毋胥答：当你通过浏览器访问SSL协议的网站时，可能是单向验证（只验证服务器），也可能是双向验证（服务器和客户端同时验证，在客户端需要强身份认证的情况下），本题只介绍SSL单向验证工作原理如下图示：1、客户端向服务端发送建立连接的请求（传送 SSL 协议的版本号，加密算法的种类，以及其他服务器和客户端之间...

15990183739：SSL证书好多类型,都有什么区别呢?
毋胥答：OV证书：企业身份验证的证书：需要提交企业营业执照等企业有效资质。适合企事业单位。DV、OV地址栏展现效果相同 OV证书会展示企业实名注册信息。EV证书：加强验证型证书：需要提交企业营业执照等企业有效资质，进行最严格的验证。属于等级最高的SSL证书。浏览器地址栏标记为绿色并显示认证通过的企业名称。适合...

15990183739：使用Nginx配置实现SSL双向认证
毋胥答：[TOC]注意：这里使用的是ip地址访问，如果使用域名访问，请修改 server_name 为域名地址 重载配置 由于是双向认证，直接通过浏览器访问https地址是被告知400 Bad Request（No required SSL certificate was sent）的，需要在本机安装client证书。 windows上安装的证书需要pfx格式，也叫p12格式，生成方式...

15990183739：apache https 双向认证要怎么实现?
毋胥答：HTTPS双向认证具体过程：① 浏览器发送一个连接请求给安全服务器。② 服务器将自己的证书，以及同证书相关的信息发送给客户浏览器。③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的CA中心（如沃通CA）所签发的。如果是，就继续执行协议;如果不是，客户浏览器就给客户一个警告消息：警告客户这个...