VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)大阅兵

原创 2007年09月21日 16:22:00
write by 洱海月 QQ:254034704
http://blog.csdn.net/networkcrazy
身份认证技术是VPN网络安全的第一道关卡。对于身份认证,是由身份认证协议来完成的。首先让大家对VPN的身份认证协议有一个感观的认知,把实践和理论结合起来。下图是VPN客户端中集成的身份认证协议。(修改客户端使用的认证协议就到这儿来改哦)


                                                                    图1

1、PAP:密码认证协议

客户端直接发送包含用户名/口令的认证请求,服务器端处理并作回应。

优点:简单。
缺点:明文传送,极容易被窃听。

2、SPAP:Shiva密码验证协议

Shiva公司开发,是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。

优点:安全性较PAP好。
缺点:单向加密、单向认证,虽然是对密码进行加密,但还是会被破解,安全性差,通过认证后不支持Microsoft点对点加密(MPPE)。

3、CHAP:挑战握手协议

先由服务器端给客户端发送一个随机码challenge,客户端根据challenge,对自己掌握的口令、challenge、会话ID进行单向散例,即md5(password1,challenge,ppp_id),然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2,进行同样的算法,即md5(password2,challenge,ppp_id),最后,比较加密的结果是否相同。如相同,则认证通过。

优点:安全性较SPAP有了很大改进,不用将密码发送到网络上。
缺点:安全性还不够强健,但也不错、单向加密、单向认证、通过认证后不支持Microsoft点对点加密(MPPE)。

4、MS-CHAP

微软版本的CHAP,和CHAP基本上一样,区别我也不太清楚。认证后支持MPPE,安全性要较CHAP好一点。

5、MS-CHAP V2

微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。

优点:双向加密、双向认证、安全性相当高。
缺点:不太清楚。

6、EAP:可扩展的认证协议

 EAP可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”,即EAP-TLS认证。

优点:安全性最好。
缺点:需要PKI(公钥基础设施)支持。(目前PKI还没有真正建立起来)

总结:协议是一个非常复杂的内容,不是三言两语就能说清楚。但是,只要知道了这些基本内容了,就足够我们在搭建VPN时使用了。如果想了解更多内容,请查看RFC。

FreeRadius: MS-CHAP v2

https://en.wikipedia.org/wiki/MS-CHAP MS-CHAP is the Microsoft version of the Challenge-Handsha...
  • chj90220
  • chj90220
  • 2016年12月28日 10:48
  • 850

lwip_ppp_MS-CHAP V2

  • 2011年09月13日 09:05
  • 22KB
  • 下载

MS-CHAPv2

Why MS-CHAPv2? The first obvious question is why we looked at MS-CHAPv2, given a lingering sense th...
  • stonesharp
  • stonesharp
  • 2015年06月01日 13:22
  • 787

PAP与CHAP认证简介

PAP(口令验证协议 Password Authentication Protocol)是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名...
  • freefalcon
  • freefalcon
  • 2006年11月02日 17:07
  • 7529

VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)大阅兵

write by 洱海月 QQ:254034704http://blog.csdn.net/networkcrazy身份认证技术是VPN网络安全的第一道关卡。对于身份认证,是由身份认证协议来完成的。首...
  • networkcrazy
  • networkcrazy
  • 2007年09月21日 16:22
  • 5702

PAP和CHAP协议介绍

1. 前言PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议,CHAP在RFC1994中定义,是一种挑战响应式协议,双方共享的口令信息不用在通信中传输;PAP在RFC...
  • oicq2008
  • oicq2008
  • 2009年08月14日 18:10
  • 4549

Windows VPN 身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)

 Windows VPN 身份认证协议 PAP--Password Authentication Protocol 密码认证协议CHAP--Challenge Handshake Authentica...
  • js333
  • js333
  • 2009年11月22日 20:37
  • 1248

VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)

身份认证技术是VPN网络安全的第一道关卡。对于身份认证,是由身份认证协议来完成的。首先让大家对VPN的身份认证协议有一个感观的认知,把实践和理论结合起来。        1、PAP:密码认证协议客户端...
  • chenlibin37
  • chenlibin37
  • 2010年01月10日 17:11
  • 1884

RADIUS协议指南

参考网址:http://www.tutorialspoint.com/radius/index.htm        RADIUS:Remote AuthenticationDial In User...
  • fan_hai_ping
  • fan_hai_ping
  • 2014年11月05日 22:21
  • 7770

多图:ISDN原理及实例分析

  ISDN 历史  ISDN (集成服务数字网络)是一种旨在利用标准模拟电话系统中使用的普通铜线取代模拟连接的数字电话标准。这个标准最初是作为国际电信联盟(ITU)1984年红皮书中的一个建议。不过...
  • WAST
  • WAST
  • 2007年09月27日 11:13
  • 2313
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP)大阅兵
举报原因:
原因补充:

(最多只允许输入30个字)