目標 6.4:使用者認證
目標 6.4:解釋使用者身份驗證的方法
PKI(公鑰基礎設施)
[編輯 | 編輯原始碼]公鑰基礎設施 (PKI) 是建立、管理、儲存、分發和撤銷數字證書所需的硬體、軟體、人員、策略和程式的集合。PKI 是一種透過證書頒發機構 (CA) 將公鑰與使用者的身份相關聯的安排。每個 CA 的使用者身份必須是唯一的。繫結是透過註冊和發行流程建立的,根據繫結具有的保證級別,可以由 CA 的軟體執行,或在人工監督下執行。確保這種繫結的 PKI 角色稱為註冊機構 (RA)。對於每個使用者,使用者的身份、公鑰及其相互關聯將在 CA 發行的公鑰證書中公開顯示。
Kerberos 是一個計算機網路身份驗證協議的名稱,它允許在不安全的網路上通訊的個人以安全的方式相互證明自己的身份,它也是由麻省理工學院 (MIT) 釋出的一套免費軟體,它實現了此協議。它的設計人員主要針對的是客戶端-伺服器模型,它提供相互認證——使用者和伺服器都驗證對方的身份。Kerberos 協議訊息受到保護,防止竊聽或重放攻擊。
遠端身份驗證撥號使用者服務 (RADIUS) 是一個 AAA(身份驗證、授權和計費)協議,用於網路訪問或 IP 移動性等應用。它旨在同時在本地和漫遊情況下工作。
IEEE 802.1x
[編輯 | 編輯原始碼]CHAP 是點對點協議 (PPP) 伺服器用來驗證遠端客戶端身份的認證方案。CHAP 定期使用三向握手驗證客戶端的身份。這在建立初始連結時發生,並且可能在之後任何時間再次發生。驗證基於共享金鑰(例如客戶端使用者的密碼)。
MS-CHAP 是挑戰握手身份驗證協議 CHAP 的 Microsoft 版本。
與 CHAP 相比,MS-CHAP
- 提供認證器控制的密碼更改機制
- 提供認證器控制的身份驗證重試機制
- 定義在“失敗”資料包訊息欄位中返回的失敗程式碼
MS-CHAPv2 透過在“響應”資料包上捎帶對等方挑戰並在“成功”資料包上捎帶認證器響應,為對等方提供相互認證。
可擴充套件身份驗證協議 (EAP) 是一個通用的身份驗證框架,通常用於無線網路和點對點連線。它由 RFC 3748 定義。雖然 EAP 協議不限於無線區域網,可用於有線區域網身份驗證,但它最常用於無線區域網。最近,WPA 和 WPA2 標準正式採用五種 EAP 型別作為其官方身份驗證機制。
