什么是psk
什么是psk
PSK是預(yù)共享密鑰,是用于驗(yàn)證 L2TP/IPSec 連接的 Unicode 字符串??梢耘渲寐酚珊瓦h(yuǎn)程訪問(wèn)來(lái)驗(yàn)證支持預(yù)共享密鑰的 連接,以下是由學(xué)習(xí)啦小編整理關(guān)于什么是psk的內(nèi)容,希望大家喜歡!
psk的簡(jiǎn)介
預(yù)共享密鑰模式(pre-shared key,PSK, 又稱(chēng)為個(gè)人模式)是設(shè)計(jì)給負(fù)擔(dān)不起 802.1X 驗(yàn)證服務(wù)器的成本和復(fù)雜度的家庭和小型公司網(wǎng)絡(luò)用的,每一個(gè)使用者必須輸入密語(yǔ)來(lái)取用網(wǎng)絡(luò),而密語(yǔ)可以是 8 到 63 個(gè)ASCII字符、或是 64 個(gè)16位數(shù)字(256位元)。使用者可以自行斟酌要不要把密語(yǔ)存在電腦里以省去重復(fù)鍵入的麻煩,但密語(yǔ)一定要存在 Wi-Fi 取用點(diǎn)里。
安全性是利用密鑰導(dǎo)出函數(shù)來(lái)增強(qiáng)的,然而使用者采用的典型的弱密語(yǔ)會(huì)被密碼破解攻擊。WPA 和 WPA2 可以用至少 5 個(gè)Diceware詞或是 14 個(gè)完全隨機(jī)字母當(dāng)密語(yǔ)來(lái)?yè)魯∶艽a破解攻擊,不過(guò)若是想要有最大強(qiáng)度的話,應(yīng)該采用 8 個(gè) Diceware 詞或 22 個(gè)隨機(jī)字母。密語(yǔ)應(yīng)該要定期更換,在有人使用網(wǎng)絡(luò)的權(quán)利被撤消、或是設(shè)定好要使用網(wǎng)絡(luò)的裝置遺失或被攻破時(shí),也要立刻更換。
WPA-PSK加密方式尚有一漏洞,攻擊者可利用spoonwpa等工具,搜索到合法用戶(hù)的網(wǎng)卡地址,并偽裝該地址對(duì)路由器進(jìn)行攻擊,迫使合法用戶(hù)掉線重新連接,在此過(guò)程中獲得一個(gè)有效的握手包,并對(duì)握手包批量猜密碼,如果猜密的字典中有合法用戶(hù)設(shè)置的密碼,即可被破解。建議用戶(hù)在加密時(shí)盡可能使用無(wú)規(guī)律的字母與數(shù)字,以提高網(wǎng)絡(luò)的安全性。
psk的優(yōu)缺點(diǎn)
預(yù)共享密鑰驗(yàn)證不需要在公鑰結(jié)構(gòu) (PKI) 方面上進(jìn)行硬件投資與配置,只在使用計(jì)算機(jī)證書(shū)進(jìn)行 L2TP/IPSec 驗(yàn)證時(shí)需要用到它。在遠(yuǎn)程訪問(wèn)服務(wù)器上配置預(yù)共享密鑰很簡(jiǎn)單,在遠(yuǎn)程訪問(wèn)客戶(hù)端上配置它也相對(duì)容易。如果預(yù)共享密鑰是以放在“連接管理器”配置文件內(nèi)的方式發(fā)行,則對(duì)用戶(hù)可以是透明的。如果您要建立 PKI 或者在管理 Active Directory 域,則可以配置“路由和遠(yuǎn)程訪問(wèn)”以接受使用計(jì)算機(jī)證書(shū)或預(yù)共享密鑰的 L2TP/IPSec 連接。
但是,單個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器對(duì)需要預(yù)共享密鑰進(jìn)行身份驗(yàn)證的所有 L2TP/IPSec 連接只使用一個(gè)預(yù)共享密鑰。因此,必須對(duì)使用預(yù)共享密鑰連接到遠(yuǎn)程訪問(wèn)服務(wù)器的所有 L2TP/IPSec 客戶(hù)端發(fā)行相同的預(yù)共享密鑰。除非預(yù)共享密鑰是以放在“連接管理器”配置文件內(nèi)的方式分發(fā),否則每個(gè)用戶(hù)必須手動(dòng)輸入預(yù)共享密鑰。此限制進(jìn)一步降低了部署安全性,增加了發(fā)生錯(cuò)誤的機(jī)率。而且,如果遠(yuǎn)程訪問(wèn)服務(wù)器上的預(yù)共享密鑰發(fā)生更改,則手工配置預(yù)共享密鑰的客戶(hù)端將無(wú)法連接到該服務(wù)器上,除非客戶(hù)端上的預(yù)共享密鑰也進(jìn)行更改。如果預(yù)共享密鑰是以放在“連接管理器”配置文件內(nèi)的方式分發(fā)給客戶(hù)端的,則必須重新發(fā)行包括新預(yù)共享密鑰的配置文件,并在客戶(hù)端計(jì)算機(jī)上進(jìn)行重新安裝。與證書(shū)不同,預(yù)共享密鑰的起源和歷史都無(wú)法確定。由于這些原因,使用預(yù)共享密鑰驗(yàn)證 L2TP/IPSec 連接被認(rèn)為是一種安全性相對(duì)較差的身份驗(yàn)證方法。如果需要一種長(zhǎng)期、可靠的身份驗(yàn)證方法,則應(yīng)考慮使用 PKI。
psk的問(wèn)題
預(yù)共享密鑰是在遠(yuǎn)程訪問(wèn)服務(wù)器和 L2TP/IPSec 客戶(hù)端上都要配置的字符序列。預(yù)共享密鑰可以是至多 256 個(gè) Unicode 字符任意組合的任意非空字符串。當(dāng)選擇預(yù)共享密鑰時(shí),請(qǐng)考慮到使用“新建連接”向?qū)?chuàng)建 客戶(hù)端連接的用戶(hù)必須手動(dòng)鍵入預(yù)共享密鑰。為提供足夠的安全性,密鑰通常很長(zhǎng)也很復(fù)雜,這對(duì)大部分用戶(hù)來(lái)說(shuō)很難準(zhǔn)確地鍵入。如果 客戶(hù)端出現(xiàn)的預(yù)共享密鑰與遠(yuǎn)程訪問(wèn)服務(wù)器上配置的預(yù)共享密鑰有任何不同,客戶(hù)端身份驗(yàn)證將失敗。
首次存儲(chǔ)預(yù)共享密鑰時(shí),遠(yuǎn)程訪問(wèn)服務(wù)器和 客戶(hù)端會(huì)嘗試將 Unicode 字符串轉(zhuǎn)化為 ASCII。如果嘗試成功,則將使用 ASCII 版本的字符串進(jìn)行身份驗(yàn)證。該策略確保預(yù)共享密鑰不會(huì)在傳輸過(guò)程中被與 Unicode 標(biāo)準(zhǔn)不兼容的任何設(shè)備(如其他公司的路由器)所破壞。如果預(yù)共享密鑰無(wú)法存儲(chǔ)為 ASCII,則使用 Unicode 字符串。如果 Unicode 預(yù)共享密鑰必須由與 Unicode 標(biāo)準(zhǔn)不兼容的任何設(shè)備所處理,則連接嘗試無(wú)疑會(huì)失敗。
psk的工具包
通過(guò)使用“連接管理器管理工具包 (CMAK)”向?qū)?,可以為用?hù)創(chuàng)建自定義的連接??墒褂?CMAK 向?qū)?chuàng)建包含預(yù)共享密鑰的 連接配置文件。因?yàn)榕渲梦募亲越鈮嚎s的,所以用戶(hù)不必鍵入預(yù)共享密鑰,甚至不必知道存在預(yù)共享密鑰。通過(guò)用個(gè)人識(shí)別碼 (PIN) 加密預(yù)共享密鑰,可進(jìn)一步增加“連接管理器”配置文件分發(fā)的安全性。通過(guò)這種方法,用戶(hù)不僅看不到而且也不必鍵入預(yù)共享密鑰,您可以分別分發(fā)配置文件和 PIN,以減少未經(jīng)授權(quán)的用戶(hù)可能對(duì)網(wǎng)絡(luò)的訪問(wèn)。
看過(guò)“psk優(yōu)缺點(diǎn)”的人還看了:
4.支組詞有哪些