单向认证
单向认证是客户端(通常是浏览器)验证服务器的身份。服务器向客户端提供数字证书,客户端通过验证该证书的真实性来确认与服务器的连接是安全的。
- 服务器提供证书:服务器向客户端提供一个数字证书,用于验证服务器的身份。
- 客户端验证服务器:客户端验证服务器的证书,确保服务器的真实性。
- 只验证服务器:客户端不需要提供证书,服务器也不验证客户端的身。
import requests
url = "https://example.com"
response = requests.get(url)
print(response.status_code)
工作流程
- 客户端发起HTTPS请求。
- 服务器返回包含公钥的数字证书。
- 客户端验证证书的有效性(通过CA机构签名等方式)。
- 若证书有效,客户端生成一个对称密钥并用服务器的公钥加密后发送给服务器。
- 服务器用自己的私钥解密,得到对称密钥。
- 双方使用对称密钥进行加密通信。
优点:
-
实现简单:
- 单向认证只需要配置服务器证书,客户端通过验证服务器证书即可建立安全连接。
- 配置和实现相对容易,减少了部署和维护的复杂度。
-
广泛兼容:
- 大多数浏览器和HTTP客户端库都默认支持单向认证,无需额外配置。
- 适用于大多数常见的互联网应用场景,如浏览网页、访问API等。
-
性能较好:
- 单向认证的握手过程比双向认证简单,少了客户端证书验证的步骤。
- 握手过程较快,对系统性能的影响较小。
-
降低成本:
- 只需要服务器端的数字证书,节省了获取和管理客户端证书的成本。
缺点:
-
安全性较低:
- 只能验证服务器的身份,无法验证客户端的身份。
- 无法防止中间人攻击(Man-in-the-Middle Attack),如果客户端与伪造的服务器建立连接,可能会泄露敏感信息。
-
缺乏双向身份验证:
- 无法确保客户端的身份真实性,适用于安全性要求不高的场景。
- 不能满足需要双向身份验证的高安全性应用场景,如银行交易、企业内部系统等。
-
潜在风险:
- 如果服务器证书被盗用或伪造,攻击者可以冒充服务器与客户端建立连接。
- 需要确保服务器证书的私钥安全,避免证书泄露
单向认证的Java示例代码:
import javax.net.ssl.*;
import java.io.FileInputStream;
import java.security.KeyStore;
public class OneWaySSL {
public static void main(String[] args) throws Exception {
// 加载信任库
KeyStore trustStore = KeyStore.getInstance(KeyStor