如何选择远程访问身份认证方案

MS-CHAP/MS-CHAP2
MS-CHAP是标准CHAP的微软版本。同样使用三次握手的过程，但不同的是，MS-CHAP是专门针对使用Windows操作系统的用户设计的，并且将加密技术和网络上常用的哈希算法结合起 来。MS-CHAP协议的第二代版本MS-CHAP2增加了一些新的特性，如：客户端和服务器端的双向认证，编码更强的密钥，等。因此，MS-CHAP2协议比MS-CHAP协议具有更高的安全性。

EAP/TLS
EAP/TLS协议采用了一些更高级的安全认证方法，如：智能卡、Kerberos登陆协议以及数字证书等技术，比上述几种“用户名/密码”的身份验证方式具有更高的安全性。EAP/TLS协 议是RFC 2716文档中所定义的标准。

在EAP/TLS协议的验证模式中，远程访问控制的服务器端充当授权中心的角色，也可以只是一个数据包的检查“关口”，在这里，数据包首先被进行压缩处理，然后再发送给后台的 专门处理身份验证的服务器，如远程用户拨号认证系统（RADIUS）。

RADIUS认证
RADIUS有一个集中控制的认证数据库，除了认证外还可以提供授权和计费功能。授权功能用于准许基于他们身份认证的特殊服务，还可以对特定的用户加以限制。计费功能可以让 用户跟踪网络的使用情况，同时还可以计费、管理和用于安全方面。RADIUS在RFC 2865—2866文档中有详细定义。

拨号远程访问服务器、UPN服务器，以及无线接入点（WAPs）都支持RADIUS。除了以上列举的身份验证协议外，RADIUS还支持无线的受保护的EAP（PEAP）。

微软的RADIUS执行协议是因特网认证服务（IAS）协议，内置在Windows 2000服务器和Windows 服务器2003操作系统中。微软RADIUS系统的属性在RFC 2548文档中有详细定义。因特 网认证服务（IAS）协议整合了活动目录服务，并让使用活动目录服务的用户在远程访问中被信任。

扩展
随着企业规模的扩大，远程访问用户数量也在不断增大。因此，如何管理大量用户的身份验证就成了问题。找到一种跟踪用户远程使用情况的方法对大型企业来说特别有帮助。另 外，随着企业规模的增长，安全会越来越重要。

如果你选择EAP/TLS协议作为你的远程访问身份验证方法，那么，在确保大多数安全远程访问认证的同时，还要确保在网络需要扩展的时候，可以容易的执行RADIUS解决方案。

你可以采用一些远程访问策略来控制用户组，在多域环境中，IAS允许通过使用用户主体名称（UPN）来认证每一个用户。这对于那些网络结构复杂的大型企业尤其适合，因为无论 用户隶属于哪个域，他/她的UPN都一样。

Windows 2003 Server Enterprise Edition的IAS对RADIUS客户端没有数量限制，因此，你可以按照自己的需要来配置RADIUS服务器群的数目。更重要的是，单个的RADIUS服务器可 以同时支持多个远程访问控制服务器，因此，就算你增加了拨号服务器或VPN服务器的数量，甚至是同时增加了两者的数量，这些服务器的用户仍然可以通过RADIUS服务器来进行集 中管理或授权。实际上，身份验证服务器与访问控制服务器是分离的，这样不仅可以分别确保两者的安全性，还比其他的身份验证方法具有更强的可扩展性。