远程访问场景中的IKEv2

Question

有人能解释为什么在远程访问场景中，基于IKEv2 EAP密码的用户auth与IKEv2 PUBKEY网关auth相结合比在用户端使用相同密码和网关端使用相同证书的混合IKEv2 PSK/PUBKEY auth更可取吗？

Answer 1

EAP比PSK更受欢迎的原因有几个：

• PSK要求使用(相对)低熵密码，这是(相对)很容易强暴.
• PSK要求将密码存储在服务器上，这可能会导致密钥盗用。
• EAP允许客户端在每个方向使用不同的凭据进行身份验证，因此服务器可以使用完全类型的凭据对客户端进行身份验证，而不是客户端用于对服务器进行身份验证。
• EAP允许客户端使用自己的数字证书进行身份验证，这比密码安全得多。用户只需在本地设备上使用他们的密码解锁他们的证书(或证书存储)。
• IKEv2支持纯EAP身份验证，理论上允许使用任何形式的附加身份验证机制.