日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

當(dāng)網(wǎng)絡(luò)管理員開始配置基于IPSec的VPN時，需要密切關(guān)注IPSec標(biāo)準(zhǔn)中的身份驗(yàn)證，以便能夠支持遠(yuǎn)程的接入。在三種支持IPSec的IKE（Internet Key Exchange）規(guī)范驗(yàn)證類型中，只有基于數(shù)字鑒定的驗(yàn)證能夠支持遠(yuǎn)程用戶的安全接入,而數(shù)字鑒定需要企業(yè)網(wǎng)支持公共密鑰架構(gòu)(PKI,Public Key Infrastructure）。

實(shí)際上，能在其企業(yè)的IT基礎(chǔ)設(shè)施內(nèi)部擁有完整的PKI和數(shù)字鑒定的組織很少。但是，企業(yè)網(wǎng)絡(luò)擁有大量已安裝的用戶驗(yàn)證系統(tǒng)，它們是以其他一些技術(shù)為基礎(chǔ)的，如RSA的SecurID卡，或者是通過RADIUS服務(wù)器訪問的用戶/密碼數(shù)據(jù)庫。實(shí)際上，可以利用這些認(rèn)證機(jī)制實(shí)現(xiàn)IPsec。

CRACK用不對稱認(rèn)證

適當(dāng)改變IPSec的目的是使遠(yuǎn)程接入的用戶更容易使用基于IPsec的產(chǎn)品，這種改變最困難的領(lǐng)域在于終端用戶的驗(yàn)證。在XAUTH（eXtended Authentication）、混合驗(yàn)證（Hybrid Authentication）和CRACK（Challenge/Response Authentication of Cryptographic Key）這三個驗(yàn)證系統(tǒng)中，CRACK是最新的，它允許不對稱形式的驗(yàn)證。

通過CRACK協(xié)議對IKE添加一個新的驗(yàn)證方法，保留了IKE原有的安全性能。這是存在于CRACK和XAUTH和混合驗(yàn)證之間的主要差異。CRACK的一個重要目標(biāo)是不必為可用性而犧牲安全性。

CRACK驗(yàn)證

將對稱的VPN驗(yàn)證方法改為不對稱的驗(yàn)證方法的實(shí)現(xiàn)方法是，將PKI用于VPN服務(wù)器，而將傳統(tǒng)認(rèn)證方法(LAM )用于VPN客戶，這是CRACK的主要屬性。

CRACK認(rèn)證過程

當(dāng)VPN服務(wù)器和終端用戶開始其驗(yàn)證對話時，用戶表明他需要使用CRACK，如果VPN服務(wù)器支持CRACK，它就會通過出示其數(shù)字鑒定的驗(yàn)證來做出響應(yīng)。這種對話提供了VPN服務(wù)器到終端用戶的明確驗(yàn)證。

許多VPN廠商在他們的產(chǎn)品中提供了“微型PKI”，它能為服務(wù)器發(fā)放鑒定，或者能夠使用Windows 2000 Server的簡單PKI產(chǎn)品。

一旦服務(wù)器對用戶進(jìn)行了驗(yàn)證，那么對服務(wù)器進(jìn)行驗(yàn)證就是用戶的責(zé)任了。在CRACK體系中，用戶對服務(wù)器的鑒定采用LAM。CRACK可支持任何LAM，包括簡單的用戶名/密碼對、詢問/響應(yīng)標(biāo)記、時間標(biāo)記，如SecurID等。CRACK允許終端用戶和VPN服務(wù)器之間任意長的對話，這一點(diǎn)能夠支持一些重要的特征，例如，改變標(biāo)記卡上的個人識別碼等。

只有當(dāng)用戶進(jìn)行了完全的鑒定之后，才產(chǎn)生了IKE的安全聯(lián)合，然后，建立了VPN隧道。

CRACK可以使遠(yuǎn)程接入的用戶能夠使用LAM，它是第一個能夠保持IKE互驗(yàn)性能的提案。在遠(yuǎn)程接入VPN時，與傳統(tǒng)的IPSec VPN相比，網(wǎng)絡(luò)管理員對CRACK具有同樣的信心。

【編輯推薦】

1. 一樣的VPN但不一樣的安全防護(hù)
2. ERP遠(yuǎn)程安全接入得益于SSL VPN

網(wǎng)頁名稱：如何識別VPN網(wǎng)絡(luò)
瀏覽路徑：http://www.dlmjj.cn/article/coeiidi.html