身份验证的身份验证
PAP 口令验证协议 是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用
户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易
的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被
第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
CHAP CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。CHAP 在响应时
使用质询-响应机制和单向 MD5 散列。用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发
送到网络上。
MS-CHAP 同CHAP相似,微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证,它在响应时使用质
询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。
MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的
初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2 作为唯一的身份验
证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断
开。
VPN服务端和VPN客户端之间一定要采用相同的身份验证,比如VPN服务端选择了MS-CHAP2,
那么相应的VPN客户端也要选择MS-CHAP2,否则无法连接。PAP口令验证协议。由于是明文的。极为不安全,一般
不采取这个方式!