| 自从IPSec(IP securi 易管理性等方面,给了企业 时,需要密切关注IPSec标 |
ty)标准的最终版本发行之后, 的网络管理员很大的信心。当网 准中的身份验证,以便能够支持 |
在IPSec VPN的安全性、可靠性和 络管理员开始配置基于IPSec的VPN 远程的接入。 |
| 在三种支持IPSec的IKE 的验证能够支持远程用户的 Key Infrastructure)。 |
(Internet Key Exchange)规 安全接入,而数字鉴定需要企业 |
范验证类型中,只有基于数字鉴定 网支持公共密钥架构(PKI,Public |
| 实际上,能在其企业的 业网络拥有大量已安装的用 ,或者是通过RADIUS服务器 IPsec。 |
IT基础设施内部拥有完整的PKI 户验证系统,它们是以其他一些 访问的用户/密码数据库。实际 |
和数字鉴定的组织很少。但是,企 技术为基础的,如RSA的SecurID卡 上,可以利用这些认证机制实现 |
| CRACK用不对称认证 |
| 适当改变IPSec的目的是使远程接入 难的领域在于终端用户的验证。在XAUTH Authentication)和CRACK(Challenge/R 这三个验证系统中,CRACK是最新的,它 |
的用户更容易使用基于IPsec的产品,这种改变最困 (eXtended Authentication)、混合验证(Hybrid esponse Authentication of Cryptographic Key) 允许不对称形式的验证。 |
| 通过CRACK协议对IKE添加一个新的验 CRACK和XAUTH和混合验证之间的主要差异 性。 |
证方法,保留了IKE原有的安全性能。这是存在于 。CRACK的一个重要目标是不必为可用性而牺牲安全 |
| CRACK验证 |
| 将对称的VPN验证方法 传统认证方法(LAM )用于VP |
改为不对称的验证方法的实现方 N客户,这是CRACK的主要属性。 |
法是,将PKI用于VPN服务器,而将 |
| CRACK认证过程 |
| 当VPN服务器和终端用户开始其验证 支持CRACK,它就会通过出示其数字鉴定 端用户的明确验证。 |
对话时,用户表明他需要使用CRACK,如果VPN服务器 的验证来做出响应。这种对话提供了VPN服务器到终 |
| 许多VPN厂商在他们的 用Windows 2000 Server的 |
产品中提供了“微型PKI”,它 简单PKI产品。 |
能为服务器发放鉴定,或者能够使 |
| 一旦服务器对用户进行 中,用户对服务器的鉴定采 响应标记、时间标记,如Se 一点能够支持一些重要的特 |
了验证,那么对服务器进行验证 用LAM。CRACK可支持任何LAM, curID等。CRACK允许终端用户和 征,例如,改变标记卡上的个人 |
就是用户的责任了。在CRACK体系 包括简单的用户名/密码对、询问/ VPN服务器之间任意长的对话,这 识别码等。 |
| 只有当用户进行了完全 |
的鉴定之后,才产生了IKE的安 |
全联合,然后,建立了VPN隧道。 |
| CRACK可以使远程接入的用户能够使 远程接入VPN时,与传统的IPSec VPN相比 |
用LAM,它是第一个能够保持IKE互验性能的提案。在 ,网络管理员对CRACK具有同样的信心。 |