如何識別VPN網(wǎng)絡(luò)
當網(wǎng)絡(luò)管理員開始配置基于IPSec的VPN時,需要密切關(guān)注IPSec標準中的身份驗證,以便能夠支持遠程的接入。在三種支持IPSec的IKE(Internet Key Exchange)規(guī)范驗證類型中,只有基于數(shù)字鑒定的驗證能夠支持遠程用戶的安全接入,而數(shù)字鑒定需要企業(yè)網(wǎng)支持公共密鑰架構(gòu)(PKI,Public Key Infrastructure)。
實際上,能在其企業(yè)的IT基礎(chǔ)設(shè)施內(nèi)部擁有完整的PKI和數(shù)字鑒定的組織很少。但是,企業(yè)網(wǎng)絡(luò)擁有大量已安裝的用戶驗證系統(tǒng),它們是以其他一些技術(shù)為基礎(chǔ)的,如RSA的SecurID卡,或者是通過RADIUS服務(wù)器訪問的用戶/密碼數(shù)據(jù)庫。實際上,可以利用這些認證機制實現(xiàn)IPsec。
CRACK用不對稱認證
適當改變IPSec的目的是使遠程接入的用戶更容易使用基于IPsec的產(chǎn)品,這種改變最困難的領(lǐng)域在于終端用戶的驗證。在XAUTH(eXtended Authentication)、混合驗證(Hybrid Authentication)和CRACK(Challenge/Response Authentication of Cryptographic Key)這三個驗證系統(tǒng)中,CRACK是最新的,它允許不對稱形式的驗證。
通過CRACK協(xié)議對IKE添加一個新的驗證方法,保留了IKE原有的安全性能。這是存在于CRACK和XAUTH和混合驗證之間的主要差異。CRACK的一個重要目標是不必為可用性而犧牲安全性。
CRACK驗證
將對稱的VPN驗證方法改為不對稱的驗證方法的實現(xiàn)方法是,將PKI用于VPN服務(wù)器,而將傳統(tǒng)認證方法(LAM )用于VPN客戶,這是CRACK的主要屬性。
CRACK認證過程
當VPN服務(wù)器和終端用戶開始其驗證對話時,用戶表明他需要使用CRACK,如果VPN服務(wù)器支持CRACK,它就會通過出示其數(shù)字鑒定的驗證來做出響應(yīng)。這種對話提供了VPN服務(wù)器到終端用戶的明確驗證。
許多VPN廠商在他們的產(chǎn)品中提供了“微型PKI”,它能為服務(wù)器發(fā)放鑒定,或者能夠使用Windows 2000 Server的簡單PKI產(chǎn)品。
一旦服務(wù)器對用戶進行了驗證,那么對服務(wù)器進行驗證就是用戶的責任了。在CRACK體系中,用戶對服務(wù)器的鑒定采用LAM。CRACK可支持任何LAM,包括簡單的用戶名/密碼對、詢問/響應(yīng)標記、時間標記,如SecurID等。CRACK允許終端用戶和VPN服務(wù)器之間任意長的對話,這一點能夠支持一些重要的特征,例如,改變標記卡上的個人識別碼等。
只有當用戶進行了完全的鑒定之后,才產(chǎn)生了IKE的安全聯(lián)合,然后,建立了VPN隧道。
CRACK可以使遠程接入的用戶能夠使用LAM,它是第一個能夠保持IKE互驗性能的提案。在遠程接入VPN時,與傳統(tǒng)的IPSec VPN相比,網(wǎng)絡(luò)管理員對CRACK具有同樣的信心。
【編輯推薦】
