有時候我也經(jīng)常分不清什么事鑒權(quán)， 什么事加密。仔細(xì)想想， 想通了， 跟大家分享。

舉例， 兩個國民黨甲和乙特務(wù)需要傳遞一個機(jī)密國寶，想要盜出大陸， 他倆從沒有見過面。特務(wù)甲把這個國寶所在一個盒子了， 上了一把鎖， 通過中間人給了特務(wù)乙一把鑰匙，并約定了接頭的時間和地點(diǎn)。某天他們見面了， 特務(wù)甲說“天王蓋地虎”，特務(wù)乙說“寶塔鎮(zhèn)河妖”，甲又說“磨合磨合”。這就完成了接頭， 然后甲把裝著國寶的帶鎖的盒子給了乙， 接頭完成。他們之間特務(wù)的對話，就是一個鑒權(quán)的過程， 他要認(rèn)定， 你是不是我要發(fā)東西的人， 確認(rèn)之后， 鑒權(quán)完成。而之后甲把帶鎖的盒子給乙， 乙拿鑰匙打開鎖的過程就是加密與解密的過程。這里就可以看出鑒權(quán)與加密的區(qū)別，鑒權(quán)的目的， 是非了區(qū)分對方是非是自己要找的人或物。加密是與對方事先商量好一種策略， 使信息能夠被傳遞， 而且不被外人偷聽或盜取。

具體體現(xiàn)在wlan領(lǐng)域中，WEP, WPA為加密模式， 也就是說它不需要鑒權(quán)， 無論是誰， 只要你有密碼，那， 我就給你提供接通服， 不分?jǐn)澄?。如果你是敵人? 那你就要有破解密碼的本事了， 否則即使我發(fā)給敵方東西， 敵方也解不開。

wep是以數(shù)字為基礎(chǔ)進(jìn)行加密， 也就是說密碼由數(shù)字組成。wpa是以字母數(shù)字等為基礎(chǔ)加密，為什么wpa比wep安全呢? 數(shù)字只有10個， 字母加數(shù)字可多了去了。

802.1x是一種鑒權(quán)認(rèn)證標(biāo)準(zhǔn)， 其中最嚴(yán)格的如eap-tls協(xié)議。必須要對端提供認(rèn)證證書，來證明你是和我一伙的。舉例， 有天你正在家里睡覺， 忽然有人敲門， 你一開門， 看到一帶紅袖標(biāo)的老太太大喊“查暫住證!”這里要提到另一個概念， 雙向認(rèn)證， 憑什么你來查暫住證啊?你是警察嗎? 請你先出示警察證。對方老太太看沒辦法， 搬來了警察， 亮出了警察證， 你一看， 是真的， 這時你回去把已經(jīng)辦好的暫住證拿了出來， 對方看了幾眼， 認(rèn)為沒問題走掉了，這就是一個雙向認(rèn)證的過程， 誰說什么都沒有用， 一定要有證件在手， 否則面談。

這個證書在tls里就表現(xiàn)為cert。MD5, MSCHAP1, MSCHAP2,GTC,PAP這些都是加密方式， 并不認(rèn)證用戶。TLS, PEAP, TTLS是認(rèn)證方式， 他們的作用就是鑒定用戶真假， 但并不加密數(shù)據(jù)。TLS-安全傳輸層協(xié)議 就是根據(jù)雙方數(shù)字證書來建立安全的傳輸， 因?yàn)殡p方證書在手， 所以非常的安全。PEAP與TTLS是簡化版的tls，簡化掉了證書的驗(yàn)證，也就是說不再需要提供證書。但是必須提供用戶名和密碼。

為什么會出現(xiàn)peap與ttls?

tls確實(shí)非常安全， 無以傳輸倫比， 可是有著致命的問題。

為了安全性， 犧牲掉了易用性， 一個東西太安全了， 以至于沒有幾個人會用，導(dǎo)致維護(hù)費(fèi)用居高不下， 那么也就沒有了推廣利用的價值。以現(xiàn)在流行的ADSL為例， 他們采用的是chap，也就是用戶名密碼認(rèn)證。如果改為tls認(rèn)證， 那么你辦理adsl的時候就需要帶個u盤， 把證書拷回家， 以后每次上網(wǎng)的時候都需要把你的u盤給掛上， 而且證書過一段時間就會失效， 讓你隔三差五的往營業(yè)廳跑，用戶瘋了， 運(yùn)營商也瘋了。這個例子只是想表明， 并不是所有東西都越安全越好， 安全是以成本為代價的。例如網(wǎng)上銀行，網(wǎng)上購物， 需要非常的安全， 那么這就證實(shí)數(shù)字證書以及tls大顯伸手的地方。

為了簡化流程， 增強(qiáng)易用性，順應(yīng)潮流 peap，ttls誕生了，他們的安全性不及tls,可是非常易用， 非常容易推廣，所以目前peap, ttls比tls 使用的多得多， 成本也較低。

ttls為什么叫隧道傳輸協(xié)議?

無線客戶端連接無線路由器的開始的時候， 理論上在沒有認(rèn)證客戶端是不是非法用戶前， 無線路由器不應(yīng)該讓客戶端接入任何一部分網(wǎng)絡(luò)， 但是為了實(shí)現(xiàn)認(rèn)證， 路由器臨時建立一條從無線客戶端到認(rèn)證服務(wù)器的通路， 也就是說， 你只能先接到認(rèn)證服務(wù)器， 如果認(rèn)證通過， 那么恭喜你， 你可以介入到其他網(wǎng)絡(luò)的部分， 如果不能夠通過熱認(rèn)證， 那么客戶端那里也無法訪問， 全部被限制。因此ttls是通過了一條隧道通路， 故稱之為隧道傳輸協(xié)議。

peap與ttls原理是一樣的， 二者是競爭關(guān)系， 是不同的廠家聯(lián)盟提出的隧道技術(shù)標(biāo)準(zhǔn)而已， 本質(zhì)是一樣的。微軟更推崇peap.

再簡單介紹一下MD5, MSCHAP1, MSCHAP2,GTC,PAP,MD5,采用哈希算法， 以512位為單位進(jìn)行加密驗(yàn)證。MSCHAP1, MSCHAP2是微軟版本的多次握手加密認(rèn)證。GTC， PAP最簡單的以固定的詞組為單位進(jìn)行加密， 易被破解。有人問既然peap和ttls都是需要密碼的， 那么和MD5, MSCHAP1, MSCHAP2,GTC,PAP有什么區(qū)別?MD5, MSCHAP1, MSCHAP2,GTC,PAP是統(tǒng)一的密碼加密， 所有人都是一樣的密碼。peap和 ttls是針對不同的用戶， 核對不同的密碼。

請問認(rèn)證和鑒權(quán)有什么本質(zhì)區(qū)別?

個人理解，認(rèn)證偏向于身份的確認(rèn)，即是不是這個人，而鑒權(quán)偏向于對象權(quán)限的認(rèn)定，即這個人是否有這個權(quán)限，所以適用的場所肯定是不一樣的

Authentication: The act of verifying the identity of an entity(subject).

Authorization: The act of determining whether a requesting entity(subject) will be allowed access to a resource(object).