您的位置: 网界网 > 周报全文 > 正文

[周报全文]CRACK: VPN认证新技术

2001年06月18日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:CRACK: VPN认证新技术

标签

在IP安全标准最终版本完成后的两年中,企业网络管理员已经对IPSec VPN的安全性、可靠性和可管理性有了信任感。当网络管理员开始部署基于IPSec的VPN时,若想完全地支持远程访问,就必须注意IPSec标准的几个重要方面。

在IPSec Internet Key Exchange (IPSec Internet密钥交换,IKE)规范支持的三种认证中,只有基于数字证书的认证才能为远程用户提供安全的访问。数字证书需要企业网提供几项额外的服务,这些服务通称为公共密钥基础设施(PKI)。

目前有三种为解决链接远程访问用户与诸如SecurID、RADIUS这类原有认证方法(LAM)的系统提交给了Internet工程任务组,其中包括eXtended Authentication (扩展认证,XAUTH)、Hybrid Authentication(混合认证) 和Challenge/Response Authentication of Cryptographic Keys(密钥问答认证,CRACK)。

这三种方法中最新的一种方法,即CRACK允许在IKE协议中直接进行非对称形式的认证。利用CRACK向IKE增加新的认证方法,使专为IKE精心设计的安全特性得到了保持。而这正是CRACK与其他IKE认证扩展方法之间的主要不同之处。CRACK的关键目标是不以牺牲安全性换取可用性。

在CRACK建议中,向IKE增加了第四种认证方式。当VPN服务器和最终用户开始认证对话时,用户表明他打算使用CRACK,如果VPN服务器支持CRACK的话,则通过提供基于数字证书的认证证书进行回答。

这种初始化对话向最终用户提供了VPN服务器强有力的认证。尽管CRACK的目标之一是避免部署PKI,但是只有VPN服务器(而非客户机)在CRACK中需要证书。许多VPN厂商在自己的产品中提供可以为服务器签发证书的“微型PKI”,或提供像内置于 Windows 2000 Server中的这类简单PKI产品。由于用户一般只有数量不多的VPN隧道服务器,因此在避免全面部署PKI困难的同时(+本站微信networkworldweixin),还可以保证基于证书的认证的好处。

一旦服务器向用户证实了它的身份,就需要用户向服务器证实自己的身份了。不过,用户不必使用证书,而是选择他所支持的LAM。这正是CRACK的关键特性:将VPN认证方式由对称认证变为非对称认证:在VPN服务器上使用PKI,在VPN客户机上使用LAM。

利用CRACK可以支持任何的LAM,包括简化用户名/口令对、提问/回答令牌或像SecurID这类基于时间的令牌。CRACK允许最终用户与VPN服务器之间进行任意长度的对话,因此可以支持像更换身份卡上的个人身份号这类重要特性。

只有在用户完全认证后,才建立IKE阶段1联系。然后像通常那样进行IKE阶段2,接着可以建立VPN隧道。CRACK使远程访问用户可以使用原有认证方式,它是第一种保持IKE相互认证强属性的建议。

在开发和批准IKE过程中多年来谨慎分析的结果依然有效,网络管理员对传统IPSec VPN安全性的信任在基于CRACK的远程访问VPN中得以保持。

IPSec安全协议簇中的变化是为了使基于IPSec的产品可以更容易地为远程访问用户所使用。变化的最棘手的问题之一在于对最终用户的认证。基于CRACK的远程访问认证在提供IPSec经过实际证明和分析的安全性的同时,提供了传统认证系统的方便性。 (译自美国《Network World》)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]