目标 6.4:用户认证
目标 6.4:解释用户身份验证的方法
PKI(公钥基础设施)
[编辑 | 编辑源代码]公钥基础设施 (PKI) 是创建、管理、存储、分发和撤销数字证书所需的硬件、软件、人员、策略和程序的集合。PKI 是一种通过证书颁发机构 (CA) 将公钥与用户的身份相关联的安排。每个 CA 的用户身份必须是唯一的。绑定是通过注册和发行流程建立的,根据绑定具有的保证级别,可以由 CA 的软件执行,或在人工监督下执行。确保这种绑定的 PKI 角色称为注册机构 (RA)。对于每个用户,用户的身份、公钥及其相互关联将在 CA 发行的公钥证书中公开显示。
Kerberos 是一个计算机网络身份验证协议的名称,它允许在不安全的网络上通信的个人以安全的方式相互证明自己的身份,它也是由麻省理工学院 (MIT) 发布的一套免费软件,它实现了此协议。它的设计人员主要针对的是客户端-服务器模型,它提供相互认证——用户和服务器都验证对方的身份。Kerberos 协议消息受到保护,防止窃听或重放攻击。
远程身份验证拨号用户服务 (RADIUS) 是一个 AAA(身份验证、授权和计费)协议,用于网络访问或 IP 移动性等应用。它旨在同时在本地和漫游情况下工作。
IEEE 802.1x
[编辑 | 编辑源代码]CHAP 是点对点协议 (PPP) 服务器用来验证远程客户端身份的认证方案。CHAP 定期使用三向握手验证客户端的身份。这在建立初始链接时发生,并且可能在之后任何时间再次发生。验证基于共享密钥(例如客户端用户的密码)。
MS-CHAP 是挑战握手身份验证协议 CHAP 的 Microsoft 版本。
与 CHAP 相比,MS-CHAP
- 提供认证器控制的密码更改机制
- 提供认证器控制的身份验证重试机制
- 定义在“失败”数据包消息字段中返回的失败代码
MS-CHAPv2 通过在“响应”数据包上捎带对等方挑战并在“成功”数据包上捎带认证器响应,为对等方提供相互认证。
可扩展身份验证协议 (EAP) 是一个通用的身份验证框架,通常用于无线网络和点对点连接。它由 RFC 3748 定义。虽然 EAP 协议不限于无线局域网,可用于有线局域网身份验证,但它最常用于无线局域网。最近,WPA 和 WPA2 标准正式采用五种 EAP 类型作为其官方身份验证机制。
