认证协议
1. 什么是挑战-握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击
2. S/KEY协议的认证过程是怎样的
1. 客户向需要身份认证的服务器提出连接请求;
2. 服务器返回应答,带两个参数seed、seq;
3. 客户输入口令,系统将口令与seed连接,做sed次Hash计算(MD4或MD5),产生一次性口令,传给服务器;
4.服务器端必须存储有一个文件(UNIX系统中位于/etc/skeykeys),它存储每一个用户上次登录的一次性口令,服务器收到用户传过来的一次性口令后,再进行一次Hash运算,与先前存储的口令比较,匹配则通过身份认证,并用这次一次性口令覆盖原先的口令。下次客户登录时,服务器将送出seq’=seq-1,这样,如果用户确实是原来的那个真实客户,那 么口令的匹配应该没有问题。
3. PPP协议及认证
现在ADSL是采用PPP来实现用户身份认证
PPP:点对点协议(PPP:Point to Point Protocol)
你要用ADSL上网就要用PPPoe协议
而PPPoE是:以太网上的PPP
PPoE:PPP over Ethernet
点对点协议(PPP)
为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI 模式中的第二层),替代了原来非标准的第二层协议,即 SLIP。除了 IP 以外 PPP 还可以携带其它协议,包括 DECnet 和 Novell 的 Internet 网包交换(IPX)。
PPP 主要由以下几部分组成:
封装:一种封装多协议数据报的方法。PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。PPP 封装精心设计,能保持对大多数常用硬件的兼容性。
链路控制协议:PPP 提供的 LCP 功能全面,适用于大多数环境。LCP 用于就封装格式选项自动达成一致,处理数据包大小限制,探测环路链路和其他普通的配置错误,以及终止链路。LCP 提供的其他可选功能有:认证链路中对等单元的身份,决定链路功能正常或链路失败情况。
网络控制协议:一种扩展链路控制协议,用于建立、配置、测试和管理数据链路连接。
配置:使用链路控制协议的简单和自制机制。该机制也应用于其它控制协议,例如:网络控制协议(NCP)。
为了建立点对点链路通信,PPP 链路的每一端,必须首先发送 LCP 包以便设定和测试数据链路。在链路建立,LCP 所需的可选功能被选定之后,PPP 必须发送 NCP 包以便选择和设定一个或更多的网络层协议。一旦每个被选择的网络层协议都被设定好了,来自每个网络层协议的数据报就能在链路上发送了。
链路将保持通信设定不变,直到有 LCP 和 NCP 数据包关闭链路,或者是发生一些外部事件的时候(如,休止状态的定时器期满或者网络管理员干涉)。
应 用:假设同样是在Windows 98,并且已经创建好“拨号连接”。那么可以通过下面的方法来设置PPP协议:首先,打开“拨号连接”属性,同样选择“服务器类型”选项卡;然后,选择默认的“PPP:Internet,Windows NT Server,Windows 98”,在高级选项中可以设置该协议其它功能选项;最后,单击“确定”按钮即可。
PPPOE 使得一个网络上的计算机可以通过简单桥接访问设备连接到远端接入设备。在这个模型下,每个用户主机利用自身的 ppp 堆栈,并且用户使用熟悉的界面。访问控制、计费、服务类型等都可以针对每个用户来进行,而不是每个站点。
为了提供以太网上的点到点连接,每一个 PPP 会话必须知道远程通信对方的以太网地址,同时建立一个唯一的会话标识符。PPPoE 包含一个(以太网地址)发现协议来提供这个功能。
PPPoE 过程分为两个不同的阶段,即 Discovery (地址发现)阶段和 PPP 会话阶段。当某个主机希望发起一个 PPPoE 会话时,它必须首先执行 Discovery 来确定对方的以太网 MAC 地址并建立起一个 PPPoE 会话标识符(SESSION_ID)。虽然 PPP 定义的是端到端的对等关系,Discovery 却是一种客户端 - 服务器关系。在 Discovery 过程中,主机(作为客户端)发现某个访问集中器(Access Concentrator,作为服务器),根据网络的拓扑结构,可能主机能够发现多个访问集中器。 Discovery 阶段允许主机发现所有的访问集中器并从中选择一个。当 Discovery 阶段成功完成之后,主机和所选择的访问集中器两者都具备了用于在以太网上建立点到点连接所需的所有信息。
Discovery 阶段保持无状态(stateless)直到建立起一个 PPP 会话。一旦 PPP 会话建立,主机和访问集中器两者都必须为一个 PPP 虚拟接口分配资源
4. ccnp认证的主要协议
选择协议
(IS-IS:Intermediate System to Intermediate System Routing Protocol)
中间系统到中间系统的路由选择协议(IS-IS)是由 ISO 提出的一种路由选择协议。它是一种链路状态协议。在该协议中,IS(路由器)负责交换基于链路开销的路由信息并决定网络拓扑结构。IS-IS 类似于 TCP/IP 网络的开放最短路径优先(OSPF)协议。
ISO 网络包含了终端系统、中间系统、区域(Area)和域(Domain)。终端系统指用户设备,中间系统指路由器。路由器形成的本地组称之为“区域”,多个区域组成一个“域”。IS-IS 被设计来提供域内或一个区域内的路由。IS-IS与 CLNP、ES-IS 和 IDRP协议相结合,为整个网络提供完整的路由选择。
IS-IS路由使用两层路由体系。Level 1路由器只知道它们本区域中的拓扑,包括所有的路由器和主机,而不知道区域以外的路由器以及目的地。Level 1路由器将去往其它区域的所有流量都转发给本区域内的一台 L2 路由器,该路由器知道 level 2 的拓朴,而不需要知道任何 level 1 的拓朴,除非 level 2 路由器也是该区域里的 level 1 路由器。
适合传送 IP 网络信息的 IS-IS 称之为综合 IS-IS (Integrated IS-IS)。在当前路由选择协议中, Integrated IS-IS 具有最重要的一个特征:它支持 VLSM 和快速收敛。另外它具有可伸缩性,能够支持大规模网络。 IGP(interior Gateway Protocols)内部网关协议
内部网关协议(IGP)是一种专用于一个自治网络系统(比如:某个当地社区范围内的一个自治网络系统)中网关间交换数据流转通道信息的协议。网络IP协议或者其他的网络协议常常通过这些通道信息来决断怎样传送数据流。目前最常用的两种内部网关协议分别是:路由信息协议(RIP)和最短路径优先路由协议,IGP有RIP、OSPF、IGRP、EIGRP、IS-IS等协议。(OSPF)。 IPv6是Internet Protocol Version 6的缩写,其中Internet Protocol译为“互联网协议”。
IPv6是IETF(互联网工程任务组,Internet Engineering Task Force)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。
全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。
IP协议的版本号是4(简称为IPv4),它的下一个版本就是IPv6。IPv6正处在不断发展和完善的过程中。 STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
STP的基本原理是,通过在交换机之间传递一种特殊的协议报文(在IEEE 802.1D中这种协议报文被称为“配置消息”)来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。
生成树协议最主要的应用是为了避免局域网中的网络环回,解决成环以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接。 PVST: Per-VLAN Spanning Tree(每VLAN生成树)
PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案.PVST为每个虚拟局域网运行单独的生成树实例.一般情况下PVST要求在交换机之间的中继链路上运行CISCO的ISL.
每VLAN生成树(PVST)为每个在网络中配置的VLAN维护一个生成树实例。它使用ISL中继和允许一个VLAN中继当被其它VLANs的阻塞时将一些VLANs转发。尽管PVST对待每个VLAN作为一个单独的网络,它有能力(在第2层)通过一些在主干和其它在另一个主干中的不引起生成树循环的Vlans中的一些VLANs来负载平衡通信。 HSRP:热备份路由器协议(HSRP:Hot Standby Router Protocol)
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计
(MPLS:Multi-Protocol Label Switching) 多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS 独立于第二和第三层协议,诸如 ATM 和 IP。它提供了一种方式,将 IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。它是现有路由和交换协议的接口,如 IP、ATM、帧中继、资源预留协议(RSVP)、开放最短路径优先(OSPF)等等。
MPLS 主要设计来解决网路问题,如网路速度、可扩展性、服务质量(QOS)管理以及流量工程,同时也为下一代 IP 中枢网络解决宽带管理及服务请求等问题。 QOS的英文全称为Quality of Service,中文名为服务质量。QOS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。
在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QOS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QOS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
5. Wi-Fi网络的WAPI协议的认证实体包括哪些
Wi-Fi网络的WAPI协议的认证实体包括:鉴别请求者系统、鉴别器系统、鉴别服务系统。了解更多服务优惠点击下方的“官方网址”客服221为你解答。
6. 计算机网络的认证协议
网络身份认证协议VIeID
全称:(Virtual identity electronic identification) 通用账户协议,是俗称的网络身份证。它是一种互联网身份认证协议,其具有唯一性和信息不可否认性。其概念与OpenID相似,并具有开放、分散、自由等特性。
7. 安全认证协议SSL与TLS的详细介绍与区别
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
8. 认证授权协议有哪些
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
9. 什么是Kerberos身份验证协议
Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1) 服务器 “ticket” ; 2) 一个临时加密密钥(又称为会话密钥 “session key”) 。客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
10. 802.1x认证与 802.11a/b/g/n无线协议 有什么不同
802.11a/b/g/n,其实指的是无线网络协议,细分为802.11a、802.11b、802.11g、802.11n等。这几种不同的无线协议、都是由802.11演变而来的。802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中用户与用户终端的无线接入、802.11a工作在5.4G频段、最高速率54兆、主要用在远距离的无线连接、802.11b工作在2.4G频段、最高速率11兆、逐步被淘汰、802.11g工作在2.4G频段、最高速率54兆、802.11n最新无线标准、目前还不成熟、最高速率能到300兆
而认证就不一样了。用户或客户机,又称为端点(end station)在连接到接入点(AP)或宽带无线路由器和访问无线局域网(WLAN)之前,需要先经过认证。
就好比你上QQ要输入密码一样,这个是协议的认证 ,而其他的A/B/G/N是协议而已