RFC7619 -- IKEv2中的NULL身份验证方法

摘要

  本文为IKEv2指定NULL身份验证方法和ID_NULL标识有效负载ID类型。这允许两个IKE对等体建立单侧认证或相互不认证的IKE会话。 适用于那些对等方不愿意或无法进行自身身份验证或识别的情形。这可确保IKEv2可用于机会安全(也称为机会加密),以抵御普遍监控攻击,而无需牺牲匿名性???。

1. 简介

  虽然对等方使用的身份验证方法可能不同,但是没有方法可以让一方或双方保持未经身份验证和匿名。 本文档扩展了身份验证方法,以支持未经身份验证的匿名IKE会话。

  在某些情况下,相互认证是不需要的,多余的或不可能的。 以下三个示例说明了这些未经身份验证的用例:  

  • 用户想要建立到服务器的匿名安全连接。 在这种情况下,用户应该能够对服务器进行身份验证,而无需使用自己的身份向服务器进行身份验证。 此案例使用响应者的单方身份验证。
  • 周期性地从暂停状态唤醒的传感器想要将测量值(例如,温度)发送到收集服务器。 传感器必须由服务器进行身份验证,以确保测量的真实性,但传感器不需要对服务器进行身份验证。 此案例使用发起方的单方身份验证。
  • 没有任何信任关系的两个对等体希望抵御[RFC7258]中描述的普遍存在的普遍监视攻击。 如果没有信任关系,对等方就无法相互进行身份验证。 机会安全[RFC7435]指出,未经身份验证的加密通信优于明文通信。 对等方希望使用IKE来设置未经身份验证的加密连接,以防止普遍存在的监控攻击。 能够并且愿意发送数据包的攻击者仍然可以发起中间人(MITM)攻击以获取未加密通信的副本。 此案例使用完全未经身份验证的密钥交换。

2. NULL认证方法

  在IKEv2中,每个对等体独立地选择方法以向另一方验证自身。 对等体可以选择通过使用NULL认证方法来避免认证。 如果主机的本地策略要求对其对等体的身份进行(非空)身份验证,并且该主机收到包含NULL身份验证方法类型的AUTH有效负载,则必须返回AUTHENTICATION_FAILED通知。 如果发起方使用可扩展身份验证协议(EAP),则响应者不得使用NULL身份验证方法(符合[RFC7296]第2.16节)。

2.1 身份验证有效负载

原文地址:https://www.cnblogs.com/collapsar/p/10192448.html

时间: 2024-10-04 02:08:30

RFC7619 -- IKEv2中的NULL身份验证方法的相关文章

「深入 Exchange 2013」02 CAS的身份验证方法

在上一篇咱们聊了一下CAS的架构,这一章就来聊聊CAS的验证方法 很多管理员从未纠结过客户端的验证问题,因为Exchange的默认设置在单一环境中完全够用了.当拓扑变得更复杂,环境中开始出现一些其他版本的Exchange时候,就得重视起这个玩意. 选择验证方法的重要性在于,其他的服务器都指望着着CAS角色发送过来的请求符合特定的验证方法.如果用户的邮箱处于Exchange2013的MBX上,那么CAS可以直接将请求代理给HTTP代理终结点,如果处于Exchange2007的或者是Exchange

基于 Token 的身份验证方法

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录.大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端

ASP.NET 中通过Form身份验证 来模拟Windows 域服务身份验证的方法

This step-by-step article demonstrates how an ASP.NET   application can use Forms authentication to permit users to authenticate   against the Active Directory by using the Lightweight Directory Access Protocol   (LDAP). After the user is authenticat

asp.net core中使用cookie身份验证

配置 在 Startup.ConfigureServices 方法中,创建具有 AddAuthentication 和 AddCookie 方法的身份验证中间件服务: services.AddAuthentication(Microsoft.AspNetCore.Authentication.Cookies.CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { // Cookie settings o

IIS服务中五种身份验证

转载:http://os.51cto.com/art/201005/202380.htm 作为微软最经典的Web服务之一的IIS服务有大致上五种Web身份认证方法.身份认证时保障IIS服务安全的根本,所以熟练并且灵活的掌握IIS服务身份认证方法是十分重要的. [51CTO独家特稿]微软IIS服务是一项经典的Web服务,可以为广大用户提供信息发布和资源共享功能.身份认证是保证IIS服务安全的基础机制,IIS支持以下5种 Web 身份认证方法: 推荐专题:IIS服务“讲武堂” 一.匿名身份认证 如果

window10家庭版解决IIS中万维网服务的安全性中无Windows身份验证

首先在左下角输入cmd搜索->命令提示符->以管理员身份运行->然后复制下面一段命令: dism /online /norestart /add-package:%SystemRoot%\servicing\Packages\Microsoft-Windows-IIS-WebServer-AddOn-2-Package~31bf3856ad364e35~amd64~~10.0.16299.15.mum 然后回车. 注意:如果显示下面的问题: 尝试打开时出错 - C:\Windows\se

ASP.NET中的Forms身份验证模式

Forms身份验证:通过应用程序设置的登录界面进行用户身份验证,若验证成功则调转到验证之前请求的url. 原理图: 原文地址:https://www.cnblogs.com/JDotNet/p/3451263.html

使用JWT 进行基于 Token 的身份验证方法

一般weby应用服务都使用有状态的session来存储用户状态以便认证有权限的用户进行的操作.但服务器在做横向扩展时,这种有状态的session解决方案就受到了限制.所以在一些通常的大型web应用场景越来越多在采用没有状态的token来进行用户签权处理. 需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时access_token进行资源访问.这里我们将使用 JWT 1,基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要.该密

Model中设置表单验证方法

Model类里面定义$_validate属性支持的验证因子格式: 格式:array(验证字段,验证规则,错误提示,验证条件,附加规则,验证时间). 验证条件: (1)Model::EXISTS_TO_VAILIDATE 或者0 存在字段就验证 (默认)   (2)Model::MUST_TO_VALIDATE 或者1 必须验证    (3)Model::VALUE_TO_VAILIDATE或者2 值不为空的时候验证   另外还有其他的验证规则语法:配合验证规则可使用 (1)regex 使用正则进