VPN 采用的非 PKI 體系認證方式主要有哪幾種

VPN采用的非PKI體系認證方式主要有以下幾種：

• 密碼認證協議：客戶端直接發送含用戶名/口令的認證請求，服務器端處理并回應。優點是易于實現，缺點是用明文傳送不安全。

• Shiva密碼認證協議：SPAP是一種由Shiva公司開發的受Shiva遠程訪問服務器支持的簡單加密密碼身份驗證協議。其安全性比PAP好，缺點是單向加密、單向認證，安全性較差，經過加密的密碼仍可能被破解，通過認證后不支持Microsoft點對點加密（MPPE）。

• 詢問握手認證協議：服務器端先給客戶端發送一個隨機碼challenge，客戶端根據challenge對自己掌握的口令、challenge和會話ID調用MD5函數進行單向散列，然后將此結果發送給服務器端。服務器端從數據庫中取出庫存口令password2，并同樣處理，最后比較加密結果，若相同，則認證通過。該方法的安全性相對SPAP有很大改進，不用將密碼發送到網上。

• 微軟詢問握手認證協議：它是由微軟公司針對Windows系統設計的，利用（Microsoft Point-to-Point Encryption，MPPE）加密方法將用戶的密碼和數據同時加密后再發送。

• 微軟詢問握手認證協議第2版：可提供雙向身份驗證和初始數據密鑰，發送和接收分別使用不同的密鑰。若將VPN連接配置為用MS-CHAP v2作為唯一的身份驗證方法，則客戶端和服務器端都要證明身份，若所連接的服務器不提供身份驗證，則連接將被斷開。

• 擴展身份認證協議：可增加對許多身份驗證方案的支持，包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。最安全的認證方法是和智能卡一起使用“可擴展身份驗證協議—傳輸層安全協議”，即EAP-TLS認證。

回答所涉及的環境：聯想天逸510S、Windows 10。