哪种最适合 六大身份认证大比拼(三)

　　四、设备式认证：CHAP认证

　　应更强大的记忆式密码认证系统的需要——能适用在公共网络中——Internet Engineering Task Force公布了一个声称为“CHAP” (Challenge Handshake Authentication Protocol)的协议的标准和使用指导。利用这一协议，专门设计的应用程序和网络设备就可以发出密码写成的挑战/应答对话，来确定彼此的身份。

　　对用户来说，CHAP认证通常是自动的和一目了然的。事实上，CHAP的主要作用不是进行用户认证，而是主要用来帮助“黑匣子”进行信息传播。CHAP在现代网关装置中比较常见，例如路由器和一般服务器，它们在允许网络连接之前，都要询问和鉴定CHAP加密的记忆式密码。

　　CHAP认证几乎和所有的路由器以及一般服务器设备兼容，因此可以安装在几乎所有的Internet网关上。它也与大部分的PPP客户端软件兼容，其中包括Microsoft Windows提供的一些主流PPP客户端。然而，它与大多数的“legacy”应用不能兼容，其中包括绝大多数的主机设备和微机的登录系统。

　　在Internet上传输时，CHAP表现出了足够强大的抗攻击性。然而，当CHAP全自动和透明时，它就不能够准确鉴别人类用户的身份了。(任何可以访问这台PC的人都可以打开它的开关，路由器将允许他进入这个网络中。)而且，即使要求输入记忆式密码而且这个密码还被CHAP加密，它也仍然存在被身后的人(如果这个未授权的人能够观察到用户输入密码的手指动作)轻松窥视到的致命弱点。因此，通常认可的计算机操作在承认记忆式密码的地方也允许使用CHAP认证，也可以在单独使用记忆式密码不能满足条件5(网络暴露)时使用CHAP认证。然而，即使是最好的CHAP配置也不能够解决条件3的所列问题，因为使用记忆式密码时通常是不能远离身边其他电脑工作者的。

　　

CHAP认证
密码是：	一些只有用户才知道的东西。
使用CHAP的好处：	在Internet上安全传送。   与路由器和一般服务器设备兼容。   可以安装在几乎所有Internet网关上。   与大多数的PPP客户端软件兼容。
弊端：	不能够确定人类用户的身份。   不能与大多数的主机和微机的登录系统兼容。
安全性：	一般。
兼容性：	好。
易使用和易管理：	一般。

衡量CHAP
1．密码只有相应的用户知道并且不以明文的形式在任何地点留下纪录？	好
2．使用环境不允许储存和重现密码？	好
3．密码不易被身边的用户窃取？	差
4．密码肯定不会在其他的计算机上使用？	中等
5．密码在传输的过程中不会暴露？	好

 

　　五：工作站级方式：智能卡认证

　　“智能卡”是一个小的、类似信用卡的卡片。由于它带有集成块，所以这种卡可以植入实际的智能。认证应用中的智能卡含有机密的认证信息。

　　目前智能卡还不能够兼容很多类型的PC和网络工作站(这些都是现代商务必须依靠的)。当与一个电子读卡器和电源相结合时，它们就仅仅是真正的“smart enough”。读卡器连接到一个端口、槽口或插座上，然后就可以连接到一台网络计算机上了。

　　一个小型的、责任明确的用户组在专业的、高价值的或高风险的应用中选择智能卡是明智的;常规的软件应用可以购买、安装、配置智能卡读卡器。遗憾的是，添加一个智能卡读卡器会使这个方案的成本大大增加，在大数量的用户中配置是不可行的。目前还没有人能想出一个方法使得读卡器便宜得能为每一个计算机用户配置一个。而且计算机用户们也不情愿一天要好几次离开他们办公室的椅子，去使用一个部门共享的读卡器，即使这样的确降低了公司的成本。

　　

使用智能卡
因子（Key）是：	一些只有用户才拥有的东西。
使用智能卡的好处：	比单一记忆式密码更安全。
弊端：	价格昂贵。   兼容性是一个棘手的问题。   主要适用于小型的、用户化的系统。
安全性：	好。
兼容性：	差。
易使用和易管理：	差。

衡量智能卡
1．密码只有相应的用户知道并且不以明文的形式在任何地点留下纪录？	好
2．使用环境不允许储存和重现密码？	好
3．密码不易被身边的用户窃取？	中等
4．密码肯定不会在其他的计算机上使用？	好
5．密码在传输的过程中不会暴露？	好

来源：IT专家网 编辑：yangzhenxing88

【投稿】【打印】【关闭】