IKEv2协议支持EAP扩展认证协议,允许使用多种认证方法,如RFC3748定义的流程。IKEv2简化了协商过程,直接生成IPSec密钥,而IKEv1则分为主模式和野蛮模式两个阶段。通过EAP,响应方可作为中转,不参与具体认证过程,仅接收认证结果,增强了协议的灵活性和安全性。
IKEv2与EAP认证
EAP(Extensible Authentication Protocol)是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即若想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。采用EAP方式认证,可以方便的继承系统原有的认证机制。
IKEv2中支持采用EAP对协商的发起方(Initiator)进行第三方认证。响应方根据发起方消息中有无AUTH载荷来判断是否需要EAP认证。
如果没有AUTH(Authentication)载荷则表示发起方请求EAP认证,在响应方发回的Response消息选择了自己允许的EAP认证方法。发起方的下一个Request消息携带了对应于该EAP方法的认证信息,收到该消息后响应方向第三方的EAP认证服务器按照RFC 3748(Extensible Authen-tication Protocol)的规范进行认证。然后在Response消息中发回认证成功或失败的信息。
在实现中响应方可以完全不用知道具体的认证方法和过程,而仅充当发起方和EAP认证服务器的中转(pass through模式),由发起方和EAP认证服务器来完成认证的全过程而响应方只需要得到认证结果。这样可以支持很多的认证方式,包括很多高强度的认证算法而不用增加响应方的软件复杂度。
IKEv2和IKEv1的对比:
IKEv1将交换过程分为两个阶段,两种方式:主模式和野蛮(aggressive)模式。第一阶段建立IKE自身的安全关联,协商IKE加密和认证算法与密钥;第二阶段为IPSec提供安全关联的算法和密码协商。
IKEv2简化了协商过程,在次协商中可直接产生IPSec的密钥。
(IKE可以在公有网络上协商出只有通信双方才掌握的秘密,这还要归功于DH交换----IKE中最核心的算法)
扫一扫
1486
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
