基于等保浅谈服务器端和客户端的身份鉴别双向验证

基于等保浅谈服务器端和客户端的身份鉴别双向验证

引用

CSDN

1.

https://blog.csdn.net/2401_84434570/article/details/142550073

等保云计算扩展要求

身份鉴别：当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制。

单项认证和双向认证介绍

单向认证一般是指客户端确认服务端身份，而双向认证一般是指客户端和服务器端都需要验证对方的身份。双向认证的客户端需要从服务器端下载服务器的公钥证书进行验证，还需要把客户端的公钥证书上传到服务器端给服务器端进行验证，等双方都认证通过后，才开始建立安全通信通道进行数据传输。双向认证在建立Https连接的过程中，握手的流程比单向认证多了几步。双向认证有三个私钥和三个证书，分别是ca.key，ca.crt，server.key，server.crt，client.key，client.crt。

单向验证过程

双向验证过程

举例

服务器端验证：

部署服务器证书使用户在登录应用系统的时候通过浏览器地址栏右侧的显示框看到应用系统域名被验证通过的信息，并且可以通过点击验证应用系统的真实信息；同时利用服务器证书的密码机制将应用系统服务器与访问者浏览器之间传输的信息进行全程加密。

客户端验证：

把用户信息的数字证书存储于特定的环境中，在用户访问应用服务器时，客户证书向远程服务器端证明身份，密钥标识项有客户端身份验证或有CRL分发点，Web 服务器会检查客户证书有效性是否被撤销。客户证书可以从pfx文件中导入，也可以来自智能卡设备，一般使用UKey可移动存储介质，这样可以保护私钥不允许导出，确认是经过授权的用户后才被允许访问网站的相关数据。

实例：

我们常见的银行网银盾的使用过程属于服务器端和客户端的双向验证，在插入UKey的网银盾时驱动程序会自动把里面证书加载到客户端的个人证书中，拔掉UKey时自动移除。