VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)大阅兵

原创 2007年09月21日 16:22:00
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy
身份认证技术是VPN网络安全的第一道关卡。对于身份认证,是由身份认证协议来完成的。首先让大家对VPN的身份认证协议有一个感观的认知,把实践和理论结合起来。下图是VPN客户端中集成的身份认证协议。(修改客户端使用的认证协议就到这儿来改哦)


                                                                    图1

1、PAP:密码认证协议

客户端直接发送包含用户名/口令的认证请求,服务器端处理并作回应。

优点:简单。
缺点:明文传送,极容易被窃听。

2、SPAP:Shiva密码验证协议

Shiva公司开发,是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。

优点:安全性较PAP好。
缺点:单向加密、单向认证,虽然是对密码进行加密,但还是会被破解,安全性差,通过认证后不支持Microsoft点对点加密(MPPE)。

3、CHAP:挑战握手协议

先由服务器端给客户端发送一个随机码challenge,客户端根据challenge,对自己掌握的口令、challenge、会话ID进行单向散例,即md5(password1,challenge,ppp_id),然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2,进行同样的算法,即md5(password2,challenge,ppp_id),最后,比较加密的结果是否相同。如相同,则认证通过。

优点:安全性较SPAP有了很大改进,不用将密码发送到网络上。
缺点:安全性还不够强健,但也不错、单向加密、单向认证、通过认证后不支持Microsoft点对点加密(MPPE)。

4、MS-CHAP

微软版本的CHAP,和CHAP基本上一样,区别我也不太清楚。认证后支持MPPE,安全性要较CHAP好一点。

5、MS-CHAP V2

微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。

优点:双向加密、双向认证、安全性相当高。
缺点:不太清楚。

6、EAP:可扩展的认证协议

 EAP可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”,即EAP-TLS认证。

优点:安全性最好。
缺点:需要PKI(公钥基础设施)支持。(目前PKI还没有真正建立起来)

总结:协议是一个非常复杂的内容,不是三言两语就能说清楚。但是,只要知道了这些基本内容了,就足够我们在搭建VPN时使用了。如果想了解更多内容,请查看RFC。

相关文章推荐

详解eNSP下的PPP MP以及PAP/CHAP认证实验配置

这里是PPP MP、PAP认证、CHAP认证的详细配置解析,基于华为eNSP模拟器实验

VPN 身份认证协议

VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) 1、PAP:密码认证协议客户端直接发送包 含用户名/口令的认证请求,服务器端处理并作回应。优点:简单。 缺点:明文传送,极...

PAP认证和CHAP认证概述

PAP认证过程非常简单,是二次握手机制,而CHAP认证过程比较复杂,是三次握手机制。...

PAP认证与CHAP认证概述

一、PAP:(PasswordAuthenticationProtocol)口令认证协议; (1)认证过程简单,二次握手机制; (2)使用明文方式发送用户名和密码 (3)发起方为被认证方,可做无...

路由器配置PPP协议 CHAP验证 PAP验证

PPP协议是一种点——点串行通信协议。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能,还有其他。PPP提供了3类功能:成帧;链路控制协议LCP;网络控制协议NCP...

PAP和CHAP协议介绍

1. 前言 PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议,CHAP在RFC1994中定义,是一种挑战响应式协议,双方共享的口令信息不用在通信中传输;PAP在R...

PAP,CHAP协议数据包

  • 2017年11月17日 14:05
  • 587B
  • 下载

基于匿名身份认证的漫游通信协议

  • 2015年03月15日 21:18
  • 1.05MB
  • 下载

MSNP18协议分析(二)--- MSN登录身份认证

目录(?)[+] 一 连接服务器 连接到DS服务器连接到NS服务器断开服务器连接 二 身份验证 SSO认证方式登录验证生成登录是发送的p 三 小结 这一篇开始主要介绍M...

基于X.509证书和SSL协议的身份认证过程实现

from http://rangercyh.blog.51cto.com/1444712/430652 上周帮一个童鞋做一个数字认证的实验,要求是编程实现一个基于X.509证书认证的过程,...
  • hdyes
  • hdyes
  • 2017年05月10日 18:55
  • 189
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)大阅兵
举报原因:
原因补充:

(最多只允许输入30个字)