- Mạng VPN mở rộng (Extranet VPN)
2.5.5.1 Xác nhận ngườidùng
Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn truy xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm thiểu sự truy xuất trái phép các tài nguyên mạng.
Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết hợp với nhau:
Đăng nhập ID và password: Người sử dụng dùng ID và password để xác nhận truy cập từ các nút VPN.
S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm mã hóa (hiện tại
là MD4) được áp dụng đối với password. Kết quả được lưu lại trên server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên kết quả vừa nhận được. Nếu kết quả nó đưa ra trùng lặp với giá trị được lưu trước đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm password counter.
Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu. RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP).
Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu (token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng (có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên phần mềm.