当网络管理员开始配置基于IPSec的VPN时,需要密切关注IPSec标准中的身份验证,以便能够支持远程的接入。在三种支持IPSec的IKE(Internet Key Exchange)规范验证类型中,只有基于数字鉴定的验证能够支持远程用户的安全接入,而数字鉴定需要企业网支持公共密钥架构(PKI,Public Key Infrastructure)。
实际上,能在其企业的IT基础设施内部拥有完整的PKI和数字鉴定的组织很少。但是,企业网络拥有大量已安装的用户验证系统,它们是以其他一些技术为基础的,如RSA的SecurID卡,或者是通过RADIUS服务器访问的用户/密码数据库。实际上,可以利用这些认证机制实现IPsec。
CRACK用不对称认证
适当改变IPSec的目的是使远程接入的用户更容易使用基于IPsec的产品,这种改变最困难的领域在于终端用户的验证。在XAUTH(eXtended Authentication)、混合验证(Hybrid Authentication)和CRACK(Challenge/Response Authentication of Cryptographic Key)这三个验证系统中,CRACK是最新的,它允许不对称形式的验证。
通过CRACK协议对IKE添加一个新的验证方法,保留了IKE原有的安全性能。这是存在于CRACK和XAUTH和混合验证之间的主要差异。CRACK的一个重要目标是不必为可用性而牺牲安全性。
CRACK验证
将对称的VPN验证方法改为不对称的验证方法的实现方法是,将PKI用于VPN服务器,而将传统认证方法(LAM )用于VPN客户,这是CRACK的主要属性。
CRACK认证过程
当VPN服务器和终端用户开始其验证对话时,用户表明他需要使用CRACK,如果VPN服务器支持CRACK,它就会通过出示其数字鉴定的验证来做出响应。这种对话提供了VPN服务器到终端用户的明确验证。
许多VPN厂商在他们的产品中提供了“微型PKI”,它能为服务器发放鉴定,或者能够使用Windows 2000 Server的简单PKI产品。
一旦服务器对用户进行了验证,那么对服务器进行验证就是用户的责任了。在CRACK体系中,用户对服务器的鉴定采用LAM。CRACK可支持任何LAM,包括简单的用户名/密码对、询问/响应标记、时间标记,如SecurID等。CRACK允许终端用户和VPN服务器之间任意长的对话,这一点能够支持一些重要的特征,例如,改变标记卡上的个人识别码等。
只有当用户进行了完全的鉴定之后,才产生了IKE的安全联合,然后,建立了VPN隧道。
CRACK可以使远程接入的用户能够使用LAM,它是第一个能够保持IKE互验性能的提案。在远程接入VPN时,与传统的IPSec VPN相比,网络管理员对CRACK具有同样的信心。
【编辑推荐】