@时光机
2年前 提问
1个回答

VPN采用的非PKI体系认证方式主要有哪几种

一颗小胡椒
2年前

VPN采用的非PKI体系认证方式主要有以下几种:

  • 密码认证协议:客户端直接发送含用户名/口令的认证请求,服务器端处理并回应。优点是易于实现,缺点是用明文传送不安全。

  • Shiva密码认证协议:SPAP是一种由Shiva公司开发的受Shiva远程访问服务器支持的简单加密密码身份验证协议。其安全性比PAP好,缺点是单向加密、单向认证,安全性较差,经过加密的密码仍可能被破解,通过认证后不支持Microsoft点对点加密(MPPE)。

  • 询问握手认证协议:服务器端先给客户端发送一个随机码challenge,客户端根据challenge对自己掌握的口令、challenge和会话ID调用MD5函数进行单向散列,然后将此结果发送给服务器端。服务器端从数据库中取出库存口令password2,并同样处理,最后比较加密结果,若相同,则认证通过。该方法的安全性相对SPAP有很大改进,不用将密码发送到网上。

  • 微软询问握手认证协议:它是由微软公司针对Windows系统设计的,利用(Microsoft Point-to-Point Encryption,MPPE)加密方法将用户的密码和数据同时加密后再发送。

  • 微软询问握手认证协议第2版:可提供双向身份验证和初始数据密钥,发送和接收分别使用不同的密钥。若将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,则客户端和服务器端都要证明身份,若所连接的服务器不提供身份验证,则连接将被断开。

  • 扩展身份认证协议:可增加对许多身份验证方案的支持,包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法是和智能卡一起使用“可扩展身份验证协议—传输层安全协议”,即EAP-TLS认证。