| 出版日期:2000-05-08 总期号:919 本年期号:31 |
|
 |
win2k 远程访问的认证协议
张猛 windows 2000 (以下简称win2k)服务器决定是否允许一个win2k 远程访问客户建立联接,是在对客户凭据进行检测之后决定的。只有客户凭据得到认证,客户的联接请求被授权,才能够建立联接。用户使用认证协议向服务器发送加密或未加密的凭据,而是否加密也正是由使用的协议决定的。 授权是确认允许联接请求的一环,它发生在认证过程之后,而认证本身并不保证联接是否成功。win2k 可能会对客户进行认证,但是如果操作系统不能授权给客户,就会拒绝联接。例如,当客户拨号进入win2k ras 远程访问服务器时,服务器的安全子系统就会检验客户的凭据以进行认证,win2k 使用客户的用户账号属性以及远程访问策略对这个联接请求进行授权。如果认证和授权都获得成功, win2k 才会允许客户建立联接。win2k支持的认证协议包括口令认证协议(pap) 、shiva 口令认证协议(spap)、请求(challenge)握手认证协议(chap)、微软请求(challenge)握手认证协议(ms-chap) 和可扩展认证协议(eap)。 口令认证协议 pap 是最基本的安全认证协议,它使用明文口令。一般来说,只有在联接不支持加密口令的非windows操作系统时(例如,拨号联接一个不能进行更高级别认证的isp),才考虑使用这个协议。在拨号到slip服务器时,也要使用pap。slip服务器不支持加密口令,但是目前slip服务器在国内的公共应用中并不多见。因为所有的人都能使用协议分析器(比如微软的网络监视器)截取认证数据包,而这些分析器能够轻易地读出未加密的口令。也就是说,pap会把口令轻易地暴露在黑客面前,因此,一般不建议使用pap协议。使用pap的另一个不利之处是:如果口令过期,pap协议不具备在认证期间修改口令的能力。 shiva 口令认证协议 spap是pap协议的专有版本,它使用可加密机制,提供了比pap协议的明文方式稍强一点的安全性。它的典型用途是用spap把shiva客户联接到运行ras远程访问服务的win2k服务器上。也可以使用spap把win2k专业版客户联接到shiva lan rover上。 若认证数据包被截取,虽然不能读出spap口令,但是这个认证协议很容易遭受回放攻击(例如,入侵者可以记录认证交换过程,然后重放相关信息,从而欺诈服务器)。回放攻击之所以行得通,在于spap总是使用相同的逆向加密方法在线路上发送口令。与pap一样,spap也不能在认证过程中修改口令。 请求握手认证协议 chap 是一种被广泛接受的工业标准,它使用mdt哈希方案来加密认证过程。哈希方案杂凑信息的方法每次都不同,因此不存在被截取回放的可能。chap不在线路上发送真正的口令,而是使用带有单向md5哈希过程的请求—响应机制。 chap 使用三路握手来提供加密认证。首先,验证方向客户发送一个请求字符串;然后,客户方以对请求字符串所做的一路加密值做为响应;最后,认证方对发回的值进行校验,并接受认证。chap 就这样周期性地校验客户的身份。每次它发送信息时,都变化请求值,以避免遭受回放攻击。 使用chap的win2k 服务器可以同其它不支持chap的ras远程访问服务器或客户以明文交换数据。不过要牢记,一个配置为要求加密认证的客户去联接只要求明文口令的服务器时,无法成功联接。 微软请求握手认证协议 ms-chap 是微软专门的chap协议。win2k 支持ms-chap 1和ms-chap 2两种版本, 并且在缺省状态下,这两个版本都是激活的。使用ms-chap的好处之一就是:与pap和spap不同,ms-chap可以加密数据,可以使用微软的点对点加密方法(mppe)对通过点对点协议(ppp)或pptp建立的联接传输的数据进行加密。 ms-chap 1 缺省地支持lan manager 认证。可以通过修改注册表,禁止老版本操作系统(如windows nt 3.5x或windows 9x)使用ms-chap 1上的lan manager 认证。 ms-chap 1的一个缺点是:它只支持单向认证。因此,客户机没法确认它所联接的ras远程访问服务器是否可信。ms-chap 2 则克服了这种局限,它允许相互认证,客户机和服务器从而可以对彼此进行验证。ms-chap 2 还支持更强大的加密,并且与ms-chap 1不同,它不再向后兼容而支持比较弱的lan manager 认证。 这两种ms-chap(版本1和版本2)是win2k中支持在认证过程中修改口令的仅有的两个协议。另外,要联接win95服务器,还需要从微软获得一种特别版本的ms-chap。win95 不支持在拨号联接上使用ms-chap 2,它只有在dun(拨号网络)1.3的性能和安全性升级之后,才支持在vpn上使用ms-chap 2。 如果把联接配置成只使用ms-chap 2,而要拨入的服务器又不支持ms-chap 2,那么联接就会失败。如果不这么做,ras远程接入服务器会尝试用较低级别的认证协议进行认证。 可扩展认证协议 eap是ppp协议的扩展,它为ras远程访问用户提供了附加的认证方法,例如智能卡、kerberos 5以及证书。与ms-chap类似,eap 是一种双向的认证协议,即客户和服务器能够彼此确认身份。eap 为第三方供应商开发其认证方案(例如视网膜扫描、语音识别、指纹识别等)提供了方便。 |
||||||||||||||||
