有時(shí)候我也經(jīng)常分不清什么事鑒權(quán)， 什么事加密。仔細(xì)想想， 想通了， 跟大家分享。

舉例， 兩個(gè)國(guó)民黨甲和乙特務(wù)需要傳遞一個(gè)機(jī)密國(guó)寶，想要盜出大陸， 他倆從沒(méi)有見(jiàn)過(guò)面。特務(wù)甲把這個(gè)國(guó)寶所在一個(gè)盒子了， 上了一把鎖， 通過(guò)中間人給了特務(wù)乙一把鑰匙，并約定了接頭的時(shí)間和地點(diǎn)。某天他們見(jiàn)面了， 特務(wù)甲說(shuō)“天王蓋地虎”，特務(wù)乙說(shuō)“寶塔鎮(zhèn)河妖”，甲又說(shuō)“磨合磨合”。這就完成了接頭， 然后甲把裝著國(guó)寶的帶鎖的盒子給了乙， 接頭完成。他們之間特務(wù)的對(duì)話，就是一個(gè)鑒權(quán)的過(guò)程， 他要認(rèn)定， 你是不是我要發(fā)東西的人， 確認(rèn)之后， 鑒權(quán)完成。而之后甲把帶鎖的盒子給乙， 乙拿鑰匙打開(kāi)鎖的過(guò)程就是加密與解密的過(guò)程。這里就可以看出鑒權(quán)與加密的區(qū)別，鑒權(quán)的目的， 是非了區(qū)分對(duì)方是非是自己要找的人或物。加密是與對(duì)方事先商量好一種策略， 使信息能夠被傳遞， 而且不被外人偷聽(tīng)或盜取。

具體體現(xiàn)在wlan領(lǐng)域中，WEP, WPA為加密模式， 也就是說(shuō)它不需要鑒權(quán)， 無(wú)論是誰(shuí)， 只要你有密碼，那， 我就給你提供接通服， 不分?jǐn)澄摇Ｈ绻闶菙橙耍?那你就要有破解密碼的本事了， 否則即使我發(fā)給敵方東西， 敵方也解不開(kāi)。

wep是以數(shù)字為基礎(chǔ)進(jìn)行加密， 也就是說(shuō)密碼由數(shù)字組成。wpa是以字母數(shù)字等為基礎(chǔ)加密，為什么wpa比wep安全呢? 數(shù)字只有10個(gè)， 字母加數(shù)字可多了去了。

802.1x是一種鑒權(quán)認(rèn)證標(biāo)準(zhǔn)， 其中最嚴(yán)格的如eap-tls協(xié)議。必須要對(duì)端提供認(rèn)證證書(shū)，來(lái)證明你是和我一伙的。舉例， 有天你正在家里睡覺(jué)， 忽然有人敲門(mén)， 你一開(kāi)門(mén)， 看到一帶紅袖標(biāo)的老太太大喊“查暫住證!”這里要提到另一個(gè)概念， 雙向認(rèn)證， 憑什么你來(lái)查暫住證啊?你是警察嗎? 請(qǐng)你先出示警察證。對(duì)方老太太看沒(méi)辦法， 搬來(lái)了警察， 亮出了警察證， 你一看， 是真的， 這時(shí)你回去把已經(jīng)辦好的暫住證拿了出來(lái)， 對(duì)方看了幾眼， 認(rèn)為沒(méi)問(wèn)題走掉了，這就是一個(gè)雙向認(rèn)證的過(guò)程， 誰(shuí)說(shuō)什么都沒(méi)有用， 一定要有證件在手， 否則面談。

這個(gè)證書(shū)在tls里就表現(xiàn)為cert。MD5, MSCHAP1, MSCHAP2,GTC,PAP這些都是加密方式， 并不認(rèn)證用戶。TLS, PEAP, TTLS是認(rèn)證方式， 他們的作用就是鑒定用戶真假， 但并不加密數(shù)據(jù)。TLS-安全傳輸層協(xié)議 就是根據(jù)雙方數(shù)字證書(shū)來(lái)建立安全的傳輸， 因?yàn)殡p方證書(shū)在手， 所以非常的安全。PEAP與TTLS是簡(jiǎn)化版的tls，簡(jiǎn)化掉了證書(shū)的驗(yàn)證，也就是說(shuō)不再需要提供證書(shū)。但是必須提供用戶名和密碼。

為什么會(huì)出現(xiàn)peap與ttls?

tls確實(shí)非常安全， 無(wú)以傳輸倫比， 可是有著致命的問(wèn)題。

為了安全性， 犧牲掉了易用性， 一個(gè)東西太安全了， 以至于沒(méi)有幾個(gè)人會(huì)用，導(dǎo)致維護(hù)費(fèi)用居高不下， 那么也就沒(méi)有了推廣利用的價(jià)值。以現(xiàn)在流行的ADSL為例， 他們采用的是chap，也就是用戶名密碼認(rèn)證。如果改為tls認(rèn)證， 那么你辦理adsl的時(shí)候就需要帶個(gè)u盤(pán)， 把證書(shū)拷回家， 以后每次上網(wǎng)的時(shí)候都需要把你的u盤(pán)給掛上， 而且證書(shū)過(guò)一段時(shí)間就會(huì)失效， 讓你隔三差五的往營(yíng)業(yè)廳跑，用戶瘋了， 運(yùn)營(yíng)商也瘋了。這個(gè)例子只是想表明， 并不是所有東西都越安全越好， 安全是以成本為代價(jià)的。例如網(wǎng)上銀行，網(wǎng)上購(gòu)物， 需要非常的安全， 那么這就證實(shí)數(shù)字證書(shū)以及tls大顯伸手的地方。

為了簡(jiǎn)化流程， 增強(qiáng)易用性，順應(yīng)潮流 peap，ttls誕生了，他們的安全性不及tls,可是非常易用， 非常容易推廣，所以目前peap, ttls比tls 使用的多得多， 成本也較低。

ttls為什么叫隧道傳輸協(xié)議?

無(wú)線客戶端連接無(wú)線路由器的開(kāi)始的時(shí)候， 理論上在沒(méi)有認(rèn)證客戶端是不是非法用戶前， 無(wú)線路由器不應(yīng)該讓客戶端接入任何一部分網(wǎng)絡(luò)， 但是為了實(shí)現(xiàn)認(rèn)證， 路由器臨時(shí)建立一條從無(wú)線客戶端到認(rèn)證服務(wù)器的通路， 也就是說(shuō)， 你只能先接到認(rèn)證服務(wù)器， 如果認(rèn)證通過(guò)， 那么恭喜你， 你可以介入到其他網(wǎng)絡(luò)的部分， 如果不能夠通過(guò)熱認(rèn)證， 那么客戶端那里也無(wú)法訪問(wèn)， 全部被限制。因此ttls是通過(guò)了一條隧道通路， 故稱之為隧道傳輸協(xié)議。

peap與ttls原理是一樣的， 二者是競(jìng)爭(zhēng)關(guān)系， 是不同的廠家聯(lián)盟提出的隧道技術(shù)標(biāo)準(zhǔn)而已， 本質(zhì)是一樣的。微軟更推崇peap.

再簡(jiǎn)單介紹一下MD5, MSCHAP1, MSCHAP2,GTC,PAP,MD5,采用哈希算法， 以512位為單位進(jìn)行加密驗(yàn)證。MSCHAP1, MSCHAP2是微軟版本的多次握手加密認(rèn)證。GTC， PAP最簡(jiǎn)單的以固定的詞組為單位進(jìn)行加密， 易被破解。有人問(wèn)既然peap和ttls都是需要密碼的， 那么和MD5, MSCHAP1, MSCHAP2,GTC,PAP有什么區(qū)別?MD5, MSCHAP1, MSCHAP2,GTC,PAP是統(tǒng)一的密碼加密， 所有人都是一樣的密碼。peap和 ttls是針對(duì)不同的用戶， 核對(duì)不同的密碼。

請(qǐng)問(wèn)認(rèn)證和鑒權(quán)有什么本質(zhì)區(qū)別?

個(gè)人理解，認(rèn)證偏向于身份的確認(rèn)，即是不是這個(gè)人，而鑒權(quán)偏向于對(duì)象權(quán)限的認(rèn)定，即這個(gè)人是否有這個(gè)權(quán)限，所以適用的場(chǎng)所肯定是不一樣的