几种远程访问认证协议

13 views
Skip to first unread message

川江号子

unread,
Jul 29, 2006, 2:21:51 AM7/29/06
to 无线数据传输联盟

在执行远程访问网络的操作过程中,有好几种可供用户选择的访问认证方案。通过了解每一种方案的优势和缺陷,你可以找到一种既安全可靠又可扩展的解决方案。


如今,几乎所有商用网络都通过拨号或VPN技术,为客户端提供远程访问网络的功能。在移动时代,企业的员工都需要在他们离开办公室的期间,通过网络远程访问公司的一些内部
资源的能力,比如:一些出差的人需要可以从宾馆的房间接入网络,从分公司接入的漫游用户;一些需要在家联网的远程办公人员。


身份认证能力对于那些远程用户比对在办公室接入的人更加重要。如果没有身份认证安全方案,任何人都可以进入网络,查看、复制、更改,甚至是损毁重要数据。你所选择的解
决方案必须能够适应你网络成长带来的管理和安全需求的提高。


远程访问认证选项
远程访问服务器的配置和拨号服务器或VPV服务器一样。拨号服务器使用的是点到点协议(PPP),也有一些旧的拨号服务器,在链路层使用串行线路网络协议(SLIP)。VPV服务器
则可以使用点到点隧道协议(PPTP)、第二层隧道协议(L2TP)或者IPSec隧道协议,在互联网之上建立一个可以提供安全传输"通道"
。使用Windows的远程访问服务器都支持以
下身份认证方式:


密码身份验证协议(PAP)

挑战握手验证协议(CHAP)

微软的挑战握手验证协议(MS-CHAP)

新版MS-CHAP的协议(MS-CHAP2)

可扩展的认证协议/传输层安全协议(EAP/TLS)
PAP
通常,大多数企业不会选择使用PAP,因为它以纯文本的方式通过电话或互联网发送密码。因此企业只有当远程访问客户端和远程访问服务器端无法使用其他安全认证方式时,才使
用PAP协议。出于对安全性的考虑,目前大多数的VPN/防火墙产品都不支持PAP协议。


CHAP
CHAP是RFC
1994文档中所定义的标准。它通过三次握手来验证身份。整个身份验证过程包含以下三个步骤:


第一步:认证服务器向客户端发出质询消息。
第二步:客户端响应质询消息,向服务器发送用MD-5单向哈希算法计算的返回值。
第三步:认证服务器也计算hash值。把自己计算的结果和客户端发来的返回值进行比较,如果两个值匹配,则连接建立成功。


由于它不会通过网络明文发送密码,因此CHAP认证比PAP认证更安全。CHAP协议被大多数第三方远程访问服务器所使用。

MS-CHAP/MS-CHAP2

MS-CHAP/MS-CHAP2
MS-CHAP是标准CHAP的微软版本。同样使用三次握手的过程,但不同的是,MS-CHAP是专门针对使用Windows操作系统的用户设计的,并且将加密技术和网络上常用的哈希算法结合起
来。MS-CHAP协议的第二代版本MS-CHAP2增加了一些新的特性,如:客户端和服务器端的双向认证,编码更强的密钥,等。因此,MS-CHAP2协议比MS-CHAP协议具有更高的安全性。


EAP/TLS
EAP/TLS协议采用了一些更高级的安全认证方法,如:智能卡、Kerberos登陆协议以及数字证书等技术,比上述几种"用户名/密码"的身份验证方式具有更高的安全性。EAP/TLS协
议是RFC 2716文档中所定义的标准。

在EAP/TLS协议的验证模式中,远程访问控制的服务器端充当授权中心的角色,也可以只是一个数据包的检查"关口",在这里,数据包首先被进行压缩处理,然后再发送给后台的
专门处理身份验证的服务器,如远程用户拨号认证系统(RADIUS)。


RADIUS认证
RADIUS有一个集中控制的认证数据库,除了认证外还可以提供授权和计费功能。授权功能用于准许基于他们身份认证的特殊服务,还可以对特定的用户加以限制。计费功能可以让
用户跟踪网络的使用情况,同时还可以计费、管理和用于安全方面。RADIUS在RFC
2865-2866文档中有详细定义。

拨号远程访问服务器、UPN服务器,以及无线接入点(WAPs)都支持RADIUS。除了以上列举的身份验证协议外,RADIUS还支持无线的受保护的EAP(PEAP)。


微软的RADIUS执行协议是因特网认证服务(IAS)协议,内置在Windows
2000服务器和Windows
服务器2003操作系统中。微软RADIUS系统的属性在RFC
2548文档中有详细定义。因特
网认证服务(IAS)协议整合了活动目录服务,并让使用活动目录服务的用户在远程访问中被信任。


扩展
随着企业规模的扩大,远程访问用户数量也在不断增大。因此,如何管理大量用户的身份验证就成了问题。找到一种跟踪用户远程使用情况的方法对大型企业来说特别有帮助。另
外,随着企业规模的增长,安全会越来越重要。

如果你选择EAP/TLS协议作为你的远程访问身份验证方法,那么,在确保大多数安全远程访问认证的同时,还要确保在网络需要扩展的时候,可以容易的执行RADIUS解决方案。


你可以采用一些远程访问策略来控制用户组,在多域环境中,IAS允许通过使用用户主体名称(UPN)来认证每一个用户。这对于那些网络结构复杂的大型企业尤其适合,因为无论
用户隶属于哪个域,他/她的UPN都一样。

Windows 2003 Server Enterprise
Edition的IAS对RADIUS客户端没有数量限制,因此,你可以按照自己的需要来配置RADIUS服务器群的数目。更重要的是,单个的RADIUS服务器可
以同时支持多个远程访问控制服务器,因此,就算你增加了拨号服务器或VPN服务器的数量,甚至是同时增加了两者的数量,这些服务器的用户仍然可以通过RADIUS服务器来进行集
中管理或授权。实际上,身份验证服务器与访问控制服务器是分离的,这样不仅可以分别确保两者的安全性,还比其他的身份验证方法具有更强的可扩展性。

Reply all
Reply to author
Forward
0 new messages