認證協議
1. 什麼是挑戰-握手驗證協議(CHAP)
CHAP是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發送一個挑戰口令(challenge),其中包括會話ID和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用MD5單向哈希演算法(one-way hashing algorithm)返回用戶名和加密的挑戰口令,會話ID以及用戶口令,其中用戶名以非哈希方式發送。
CHAP對PAP進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希演算法對口令進行加密。因為伺服器端存有客戶的明文口令,所以伺服器可以重復客戶端進行的操作,並將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊(replay attack)。在整個連接過程中,CHAP將不定時的向客戶端重復發送挑戰口令,從而避免第3方冒充遠程客戶(remote client impersonation)進行攻擊
2. S/KEY協議的認證過程是怎樣的
1. 客戶向需要身份認證的伺服器提出連接請求;
2. 伺服器返回應答,帶兩個參數seed、seq;
3. 客戶輸入口令,系統將口令與seed連接,做sed次Hash計算(MD4或MD5),產生一次性口令,傳給伺服器;
4.伺服器端必須存儲有一個文件(UNIX系統中位於/etc/skeykeys),它存儲每一個用戶上次登錄的一次性口令,伺服器收到用戶傳過來的一次性口令後,再進行一次Hash運算,與先前存儲的口令比較,匹配則通過身份認證,並用這次一次性口令覆蓋原先的口令。下次客戶登錄時,伺服器將送出seq』=seq-1,這樣,如果用戶確實是原來的那個真實客戶,那 么口令的匹配應該沒有問題。
3. PPP協議及認證
現在ADSL是採用PPP來實現用戶身份認證
PPP:點對點協議(PPP:Point to Point Protocol)
你要用ADSL上網就要用PPPoe協議
而PPPoE是:乙太網上的PPP
PPoE:PPP over Ethernet
點對點協議(PPP)
為在點對點連接上傳輸多協議數據包提供了一個標准方法。PPP 最初設計是為兩個對等節點之間的 IP 流量傳輸提供一種封裝協議。在 TCP-IP 協議集中它是一種用來同步調制連接的數據鏈路層協議(OSI 模式中的第二層),替代了原來非標準的第二層協議,即 SLIP。除了 IP 以外 PPP 還可以攜帶其它協議,包括 DECnet 和 Novell 的 Internet 網包交換(IPX)。
PPP 主要由以下幾部分組成:
封裝:一種封裝多協議數據報的方法。PPP 封裝提供了不同網路層協議同時在同一鏈路傳輸的多路復用技術。PPP 封裝精心設計,能保持對大多數常用硬體的兼容性。
鏈路控制協議:PPP 提供的 LCP 功能全面,適用於大多數環境。LCP 用於就封裝格式選項自動達成一致,處理數據包大小限制,探測環路鏈路和其他普通的配置錯誤,以及終止鏈路。LCP 提供的其他可選功能有:認證鏈路中對等單元的身份,決定鏈路功能正常或鏈路失敗情況。
網路控制協議:一種擴展鏈路控制協議,用於建立、配置、測試和管理數據鏈路連接。
配置:使用鏈路控制協議的簡單和自製機制。該機制也應用於其它控制協議,例如:網路控制協議(NCP)。
為了建立點對點鏈路通信,PPP 鏈路的每一端,必須首先發送 LCP 包以便設定和測試數據鏈路。在鏈路建立,LCP 所需的可選功能被選定之後,PPP 必須發送 NCP 包以便選擇和設定一個或更多的網路層協議。一旦每個被選擇的網路層協議都被設定好了,來自每個網路層協議的數據報就能在鏈路上發送了。
鏈路將保持通信設定不變,直到有 LCP 和 NCP 數據包關閉鏈路,或者是發生一些外部事件的時候(如,休止狀態的定時器期滿或者網路管理員干涉)。
應 用:假設同樣是在Windows 98,並且已經創建好「撥號連接」。那麼可以通過下面的方法來設置PPP協議:首先,打開「撥號連接」屬性,同樣選擇「伺服器類型」選項卡;然後,選擇默認的「PPP:Internet,Windows NT Server,Windows 98」,在高級選項中可以設置該協議其它功能選項;最後,單擊「確定」按鈕即可。
PPPOE 使得一個網路上的計算機可以通過簡單橋接訪問設備連接到遠端接入設備。在這個模型下,每個用戶主機利用自身的 ppp 堆棧,並且用戶使用熟悉的界面。訪問控制、計費、服務類型等都可以針對每個用戶來進行,而不是每個站點。
為了提供乙太網上的點到點連接,每一個 PPP 會話必須知道遠程通信對方的乙太網地址,同時建立一個唯一的會話標識符。PPPoE 包含一個(乙太網地址)發現協議來提供這個功能。
PPPoE 過程分為兩個不同的階段,即 Discovery (地址發現)階段和 PPP 會話階段。當某個主機希望發起一個 PPPoE 會話時,它必須首先執行 Discovery 來確定對方的乙太網 MAC 地址並建立起一個 PPPoE 會話標識符(SESSION_ID)。雖然 PPP 定義的是端到端的對等關系,Discovery 卻是一種客戶端 - 伺服器關系。在 Discovery 過程中,主機(作為客戶端)發現某個訪問集中器(Access Concentrator,作為伺服器),根據網路的拓撲結構,可能主機能夠發現多個訪問集中器。 Discovery 階段允許主機發現所有的訪問集中器並從中選擇一個。當 Discovery 階段成功完成之後,主機和所選擇的訪問集中器兩者都具備了用於在乙太網上建立點到點連接所需的所有信息。
Discovery 階段保持無狀態(stateless)直到建立起一個 PPP 會話。一旦 PPP 會話建立,主機和訪問集中器兩者都必須為一個 PPP 虛擬介面分配資源
4. ccnp認證的主要協議
選擇協議
(IS-IS:Intermediate System to Intermediate System Routing Protocol)
中間系統到中間系統的路由選擇協議(IS-IS)是由 ISO 提出的一種路由選擇協議。它是一種鏈路狀態協議。在該協議中,IS(路由器)負責交換基於鏈路開銷的路由信息並決定網路拓撲結構。IS-IS 類似於 TCP/IP 網路的開放最短路徑優先(OSPF)協議。
ISO 網路包含了終端系統、中間系統、區域(Area)和域(Domain)。終端系統指用戶設備,中間系統指路由器。路由器形成的本地組稱之為「區域」,多個區域組成一個「域」。IS-IS 被設計來提供域內或一個區域內的路由。IS-IS與 CLNP、ES-IS 和 IDRP協議相結合,為整個網路提供完整的路由選擇。
IS-IS路由使用兩層路由體系。Level 1路由器只知道它們本區域中的拓撲,包括所有的路由器和主機,而不知道區域以外的路由器以及目的地。Level 1路由器將去往其它區域的所有流量都轉發給本區域內的一台 L2 路由器,該路由器知道 level 2 的拓樸,而不需要知道任何 level 1 的拓樸,除非 level 2 路由器也是該區域里的 level 1 路由器。
適合傳送 IP 網路信息的 IS-IS 稱之為綜合 IS-IS (Integrated IS-IS)。在當前路由選擇協議中, Integrated IS-IS 具有最重要的一個特徵:它支持 VLSM 和快速收斂。另外它具有可伸縮性,能夠支持大規模網路。 IGP(interior Gateway Protocols)內部網關協議
內部網關協議(IGP)是一種專用於一個自治網路系統(比如:某個當地社區范圍內的一個自治網路系統)中網關間交換數據流轉通道信息的協議。網路IP協議或者其他的網路協議常常通過這些通道信息來決斷怎樣傳送數據流。目前最常用的兩種內部網關協議分別是:路由信息協議(RIP)和最短路徑優先路由協議,IGP有RIP、OSPF、IGRP、EIGRP、IS-IS等協議。(OSPF)。 IPv6是Internet Protocol Version 6的縮寫,其中Internet Protocol譯為「互聯網協議」。
IPv6是IETF(互聯網工程任務組,Internet Engineering Task Force)設計的用於替代現行版本IP協議(IPv4)的下一代IP協議。
全球網際網路所採用的協議族是TCP/IP協議族。IP是TCP/IP協議族中網路層的協議,是TCP/IP協議族的核心協議。
IP協議的版本號是4(簡稱為IPv4),它的下一個版本就是IPv6。IPv6正處在不斷發展和完善的過程中。 STP(Spanning Tree Protocol)是生成樹協議的英文縮寫。該協議可應用於環路網路,通過一定的演算法實現路徑冗餘,同時將環路網路修剪成無環路的樹型網路,從而避免報文在環路網路中的增生和無限循環。
STP的基本原理是,通過在交換機之間傳遞一種特殊的協議報文(在IEEE 802.1D中這種協議報文被稱為「配置消息」)來確定網路的拓撲結構。配置消息中包含了足夠的信息來保證交換機完成生成樹計算。
生成樹協議最主要的應用是為了避免區域網中的網路環回,解決成環乙太網網路的「廣播風暴」問題,從某種意義上說是一種網路保護技術,可以消除由於失誤或者意外帶來的循環連接。 PVST: Per-VLAN Spanning Tree(每VLAN生成樹)
PVST是解決在虛擬區域網上處理生成樹的CISCO特有解決方案.PVST為每個虛擬區域網運行單獨的生成樹實例.一般情況下PVST要求在交換機之間的中繼鏈路上運行CISCO的ISL.
每VLAN生成樹(PVST)為每個在網路中配置的VLAN維護一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼當被其它VLANs的阻塞時將一些VLANs轉發。盡管PVST對待每個VLAN作為一個單獨的網路,它有能力(在第2層)通過一些在主幹和其它在另一個主幹中的不引起生成樹循環的Vlans中的一些VLANs來負載平衡通信。 HSRP:熱備份路由器協議(HSRP:Hot Standby Router Protocol)
熱備份路由器協議(HSRP)的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、並允許主機使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說,當源主機不能動態知道第一跳路由器的 IP 地址時,HSRP 協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器,對應一個虛擬路由器。HSRP 協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。 虛擬路由器冗餘協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一台。控制虛擬路由器IP 地址的 VRRP 路由器稱為主路由器,它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。
使用 VRRP ,可以通過手動或 DHCP 設定一個虛擬 IP 地址作為默認路由器。虛擬 IP 地址在路由器間共享,其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用,這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址(這個備份路由器就成為了主路由器)。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虛擬路由冗餘協議)是一種容錯協議。通常,一個網路內的所有主機都設置一條預設路由(如圖3-1所示,10.100.10.1),這樣,主機發出的目的地址不在本網段的報文將被通過預設路由發往路由器RouterA,從而實現了主機與外部網路的通信。當路由器RouterA 壞掉時,本網段內所有以RouterA 為預設路由下一跳的主機將斷掉與外部的通信。VRRP 就是為解決上述問題而提出的,它為具有多播或廣播能力的區域網(如:乙太網)設計
(MPLS:Multi-Protocol Label Switching) 多協議標簽交換(MPLS)是一種用於快速數據包交換和路由的體系,它為網路數據流量提供了目標、路由、轉發和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機制。MPLS 獨立於第二和第三層協議,諸如 ATM 和 IP。它提供了一種方式,將 IP地址映射為簡單的具有固定長度的標簽,用於不同的包轉發和包交換技術。它是現有路由和交換協議的介面,如 IP、ATM、幀中繼、資源預留協議(RSVP)、開放最短路徑優先(OSPF)等等。
MPLS 主要設計來解決網路問題,如網路速度、可擴展性、服務質量(QOS)管理以及流量工程,同時也為下一代 IP 中樞網路解決寬頻管理及服務請求等問題。 QOS的英文全稱為Quality of Service,中文名為服務質量。QOS是網路的一種安全機制, 是用來解決網路延遲和阻塞等問題的一種技術。
在正常情況下,如果網路只用於特定的無時間限制的應用系統,並不需要QOS,比如Web應用,或E-mail設置等。但是對關鍵應用和多媒體應用就十分必要。當網路過載或擁塞時,QOS 能確保重要業務量不受延遲或丟棄,同時保證網路的高效運行。
5. Wi-Fi網路的WAPI協議的認證實體包括哪些
Wi-Fi網路的WAPI協議的認證實體包括:鑒別請求者系統、鑒別器系統、鑒別服務系統。了解更多服務優惠點擊下方的「官方網址」客服221為你解答。
6. 計算機網路的認證協議
網路身份認證協議VIeID
全稱:(Virtual identity electronic identification) 通用賬戶協議,是俗稱的網路身份證。它是一種互聯網身份認證協議,其具有唯一性和信息不可否認性。其概念與OpenID相似,並具有開放、分散、自由等特性。
7. 安全認證協議SSL與TLS的詳細介紹與區別
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網路連接進行加密。
安全傳輸層協議(TLS)用於在兩個通信應用程序之間提供保密性和數據完整性。該協議由兩層組成: TLS 記錄協議(TLS Record)和 TLS 握手協議(TLS Handshake)。
8. 認證授權協議有哪些
802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入埠(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接到交換機埠上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基於區域網的擴展認證協議)數據通過設備連接的交換機埠;認證通過以後,正常的數據可以順利地通過乙太網埠。
基於乙太網埠認證的802.1x協議有如下特點:IEEE802.1x協議為二層協議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本;借用了在RAS系統中常用的EAP(擴展認證協議),可以提供良好的擴展性和適應性,實現對傳統PPP認證架構的兼容;802.1x的認證體系結構中採用了"可控埠"和"不可控埠"的邏輯功能,從而可以實現業務與認證的分離,由RADIUS和交換機利用不可控的邏輯埠共同完成對用戶的認證與控制,業務報文直接承載在正常的二層報文上通過可控埠進行交換,通過認證之後的數據包是無需封裝的純數據包;可以使用現有的後台認證系統降低部署的成本,並有豐富的業務支持;可以映射不同的用戶認證等級到不同的VLAN;可以使交換埠和無線LAN具有安全的認證接入功能。
9. 什麼是Kerberos身份驗證協議
Kerberos這一名詞來源於希臘神話「三個頭的狗——地獄之門守護者」系統設計上採用客戶端/伺服器結構與DES加密技術,並且能夠進行相互認證,即客戶端和伺服器端均可對對方進行身份認證。可以用於防止竊聽、防止replay攻擊、保護數據完整性等場合,是一種應用對稱密鑰體制進行密鑰管理的系統。
Kerberos 是一種網路認證協議,其設計目標是通過密鑰系統為客戶機 / 伺服器應用程序提供強大的認證服務。該認證過程的實現不依賴於主機操作系統的認證,無需基於主機地址的信任,不要求網路上所有主機的物理安全,並假定網路上傳送的數據包可以被任意地讀取、修改和插入數據。在以上情況下, Kerberos 作為一種可信任的第三方認證服務,是通過傳統的密碼技術(如:共享密鑰)執行認證服務的。
認證過程具體如下:客戶機向認證伺服器(AS)發送請求,要求得到某伺服器的證書,然後 AS 的響應包含這些用客戶端密鑰加密的證書。證書的構成為: 1) 伺服器 「ticket」 ; 2) 一個臨時加密密鑰(又稱為會話密鑰 「session key」) 。客戶機將 ticket (包括用伺服器密鑰加密的客戶機身份和一份會話密鑰的拷貝)傳送到伺服器上。會話密鑰可以(現已經由客戶機和伺服器共享)用來認證客戶機或認證伺服器,也可用來為通信雙方以後的通訊提供加密服務,或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務。
10. 802.1x認證與 802.11a/b/g/n無線協議 有什麼不同
802.11a/b/g/n,其實指的是無線網路協議,細分為802.11a、802.11b、802.11g、802.11n等。這幾種不同的無線協議、都是由802.11演變而來的。802.11是IEEE最初制定的一個無線區域網標准,主要用於解決辦公室區域網和校園網中用戶與用戶終端的無線接入、802.11a工作在5.4G頻段、最高速率54兆、主要用在遠距離的無線連接、802.11b工作在2.4G頻段、最高速率11兆、逐步被淘汰、802.11g工作在2.4G頻段、最高速率54兆、802.11n最新無線標准、目前還不成熟、最高速率能到300兆
而認證就不一樣了。用戶或客戶機,又稱為端點(end station)在連接到接入點(AP)或寬頻無線路由器和訪問無線區域網(WLAN)之前,需要先經過認證。
就好比你上QQ要輸入密碼一樣,這個是協議的認證 ,而其他的A/B/G/N是協議而已