Domain4-4 安全通信
协议安全机制
1.身份验证协议
密码身份验证协议(PAP):PAP以明文传输用户名和密码。
挑战握手身份验证协议(CHAP):CHAP使用无法重播的质询响应对话执行身份验证,定期对会话进行重新验证。由于CHAP 基于 MD5,已不再安全,替代协议是 MS-CHAPv2。标准
扩展身份验证协议(EAP):一个身份验证框架,而不是实际的协议,支持自定义身份验证方法。分类详情见无线网络。
- 轻量级可扩展身份验证(LEAP):思科专有的 TKIP 替代方案,现在已不再安全。
- 受保护的可扩展身份验证协议(PEAP):利用数字证书实现 TLS 加密和单向身份验证。
- 传输层安全(EAP-TLS):利用数字证书提供 TLS 加密和双向身份验证。证书
- 用户识别模块(EAP-SIM):基于 SIM 卡,实现全球移动通信系统(GSM)网络认证移动设备。
- 通过安全隧道进行灵活身份验证(EAP-FAST):用以替代 LEAP,已被弃用。
- EAP-MD5 使用 MD5 散列密码,已被弃用。
- 受保护的一次性密码(EAP-POTP):支持在多因素身份验证中使用 OTP 令牌,用于单向和双向身份验证。
- 隧道传输层安全性(EAP-TTLS):EAP-TLS 的扩展,它在身份验证之前在终端之间创建类似 VPN 的隧道。这确保了即使是客户端的用户名也不会以明文形式传输。
- 互联网秘钥交换(EAP-IKEv2):基于 IPSec 的 IKEv2 协议,提供双向身份验证、会话密钥建立,并支持使用密码、对称密钥或非对称密钥对进行身份验证。VPN
- 灵活的带外身份验证(EAP-NOOB):适用于缺乏预先配置的身份验证凭据和尚未在任何服务器上注册的设备,利用 OOB 通道(二维码、NFC 等)完成验证,常用于 IoT 设备。
