简化VPN身份认证

自从IPSec（IP security)标准的最终版本发行之后，在IPSec VPN的安全性、可靠性和易管理性等方面，给了企业的网络管理员很大的信心。当网络管理员开始配置基于IPSec的VPN时，需要密切关注IPSec标准中的身份验证，以便能够支持远程的接入。

在三种支持IPSec的IKE（Internet Key Exchange）规范验证类型中，只有基于数字鉴定的验证能够支持远程用户的安全接入,而数字鉴定需要企业网支持公共密钥架构(PKI,Public Key Infrastructure）。

实际上，能在其企业的IT基础设施内部拥有完整的PKI和数字鉴定的组织很少。但是，企业网络拥有大量已安装的用户验证系统，它们是以其他一些技术为基础的，如RSA的SecurID卡，或者是通过RADIUS服务器访问的用户/密码数据库。实际上，可以利用这些认证机制实现IPsec。

CRACK用不对称认证
适当改变IPSec的目的是使远程接入的用户更容易使用基于IPsec的产品，这种改变最困难的领域在于终端用户的验证。在XAUTH（eXtended Authentication）、混合验证（Hybrid Authentication）和CRACK（Challenge/Response Authentication of Cryptographic Key）这三个验证系统中，CRACK是最新的，它允许不对称形式的验证。

通过CRACK协议对IKE添加一个新的验证方法，保留了IKE原有的安全性能。这是存在于CRACK和XAUTH和混合验证之间的主要差异。CRACK的一个重要目标是不必为可用性而牺牲安全性。

CRACK验证
将对称的VPN验证方法改为不对称的验证方法的实现方法是，将PKI用于VPN服务器，而将传统认证方法(LAM )用于VPN客户，这是CRACK的主要属性。

CRACK认证过程
当VPN服务器和终端用户开始其验证对话时，用户表明他需要使用CRACK，如果VPN服务器支持CRACK，它就会通过出示其数字鉴定的验证来做出响应。这种对话提供了VPN服务器到终端用户的明确验证。

许多VPN厂商在他们的产品中提供了“微型PKI”，它能为服务器发放鉴定，或者能够使用Windows 2000 Server的简单PKI产品。

一旦服务器对用户进行了验证，那么对服务器进行验证就是用户的责任了。在CRACK体系中，用户对服务器的鉴定采用LAM。CRACK可支持任何LAM，包括简单的用户名/密码对、询问/响应标记、时间标记，如SecurID等。CRACK允许终端用户和VPN服务器之间任意长的对话，这一点能够支持一些重要的特征，例如，改变标记卡上的个人识别码等。

只有当用户进行了完全的鉴定之后，才产生了IKE的安全联合，然后，建立了VPN隧道。

CRACK可以使远程接入的用户能够使用LAM，它是第一个能够保持IKE互验性能的提案。在远程接入VPN时，与传统的IPSec VPN相比，网络管理员对CRACK具有同样的信心。
(作者:杨阿昭)