SSL客戶端認(rèn)證

　　SSL客戶端認(rèn)證是借由HTTPS的客戶端證書完成認(rèn)證的方式。憑借客戶端證書認(rèn)證，服務(wù)器確認(rèn)訪問是否來自自己的客戶端。 SSL客戶端認(rèn)證的步驟： 為達(dá)到SSL 客戶端認(rèn)證的目的，需要事先將客戶端證書發(fā)給客戶端，且客戶端必須安裝此證書。

　　1、接收到需要認(rèn)證資源的請求，服務(wù)器會發(fā)送CertificateRequest報(bào)文，要求客戶端提供客戶端證書。

　　2、用戶選擇將發(fā)送的客戶端證書后，客戶端會把客戶端證書信息以ClientCertificate報(bào)文方式發(fā)送給服務(wù)器。

　　3、服務(wù)器驗(yàn)證客戶端證書，驗(yàn)證通過后方可領(lǐng)取證書內(nèi)客戶端的公開密鑰，然后就開始HTTPS加密通信。

　　SSL客戶端認(rèn)證采用雙因素認(rèn)證

　　在多數(shù)情況下，SSL客戶端認(rèn)證不僅會依靠證書完成認(rèn)證，一般會和基于表單認(rèn)證組合成一種雙因素認(rèn)證來使用。第一個(gè)認(rèn)證因 素是SSL客戶端證書用來認(rèn)證客戶端計(jì)算機(jī)，另一個(gè)認(rèn)證因素的密碼則是用來驗(yàn)證用戶本人的行為。

　　SSL客戶端認(rèn)證產(chǎn)生費(fèi)用

　　費(fèi)用是指從認(rèn)證機(jī)構(gòu)購買客戶端證書的費(fèi)用，以及服務(wù)器運(yùn)營者為保證自己搭建的認(rèn)證機(jī)構(gòu)安全運(yùn)營所產(chǎn)生的費(fèi)用。

　　SSL客戶端認(rèn)證效率：

　　當(dāng)使用SSL時(shí)，它的處理速度會變慢。ssl的慢分兩種。一種是指由于大量消耗CPU及內(nèi)存資源，導(dǎo)致處理速度變慢。和使用HTTP相比，網(wǎng)路負(fù)載可能會變慢2 到100倍。除去和TCP連接，發(fā)送HTTP請求。響應(yīng)外，還必須進(jìn)行SSL通信，因此整體上處理的通信量會增加。另一點(diǎn)是SSL必須進(jìn)行加密處理，在服務(wù)器和客戶端都需要進(jìn)行加密和解密處理，比起HTTP會更多的消耗服務(wù)器和客戶端的硬件資源，導(dǎo)致負(fù)載增強(qiáng)。

　　針對這一問題，并沒有根本性的解決方案，可以使用SSl加速器來改善問題。該硬件僅在SSL處理時(shí)發(fā)揮SSL加速器的功效 ，以分擔(dān)負(fù)載。

作者：傳智播客人工智能+Python培訓(xùn)學(xué)院

首發(fā)：http://python.itcast.cn