鑒權協議
❶ 什麼是Kerberos身份驗證協議
Kerberos這一名詞來源於希臘神話「三個頭的狗——地獄之門守護者」系統設計上採用客戶端/伺服器結構與DES加密技術,並且能夠進行相互認證,即客戶端和伺服器端均可對對方進行身份認證。可以用於防止竊聽、防止replay攻擊、保護數據完整性等場合,是一種應用對稱密鑰體制進行密鑰管理的系統。
Kerberos 是一種網路認證協議,其設計目標是通過密鑰系統為客戶機 / 伺服器應用程序提供強大的認證服務。該認證過程的實現不依賴於主機操作系統的認證,無需基於主機地址的信任,不要求網路上所有主機的物理安全,並假定網路上傳送的數據包可以被任意地讀取、修改和插入數據。在以上情況下, Kerberos 作為一種可信任的第三方認證服務,是通過傳統的密碼技術(如:共享密鑰)執行認證服務的。
認證過程具體如下:客戶機向認證伺服器(AS)發送請求,要求得到某伺服器的證書,然後 AS 的響應包含這些用客戶端密鑰加密的證書。證書的構成為: 1) 伺服器 「ticket」 ; 2) 一個臨時加密密鑰(又稱為會話密鑰 「session key」) 。客戶機將 ticket (包括用伺服器密鑰加密的客戶機身份和一份會話密鑰的拷貝)傳送到伺服器上。會話密鑰可以(現已經由客戶機和伺服器共享)用來認證客戶機或認證伺服器,也可用來為通信雙方以後的通訊提供加密服務,或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務。
❷ 在遠程訪問伺服器上禁止使用選定的身份驗證協議 是什麼意思
賬號密碼錯 ,檢查賬號密碼重新輸入,注意大小寫。
寬頻欠費 , 需要充值繳回費,繳費之後重答啟貓和路由器。
埠綁定, 需要撥打客服電話,後台解綁。
❸ EAP協議的結構
EAP 是一組以插件模塊的形式為任何 EAP 類型提供結構支持的內部組件。為了成功進行身份驗證,遠程訪問客戶端和驗證程序必須安裝相同的 EAP 身份驗證模塊。ISA 伺服器支持兩種 EAP 類型:MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一種必需的 EAP 類型,其使用與基於 PPP 的 CHAP 相同的質詢/握手協議,但是質詢和響應是作為 EAP 消息發送的。MD5-Challenge 的典型用法是通過使用用戶名和密碼安全系統對遠程 VPN 客戶端的憑據進行身份驗證。您還可以使用 MD5-Challenge 來測試 EAP 的互操作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基於證書的安全環境中使用的 EAP 類型。如果您將智能卡用於遠程訪問身份驗證,則必須使用 EAP-TLS 身份驗證方法。EAP-TLS 的消息交換可以提供遠程 VPN 客戶端和驗證程序之間的相互身份驗證、加密方法的協商和加密密鑰的確定。EAP-TLS 提供了最強大的身份驗證和密鑰確定方法。
EAP-RADIUS
EAP-RADIUS 並不是一種 EAP 類型,但是可以通過驗證程序將任何 EAP 類型的 EAP 消息傳遞到 RADIUS 伺服器,以便進行身份驗證。例如,將 ISA 伺服器配置為用於 RADIUS 身份驗證時,將封裝在遠程 VPN 客戶端和 ISA 伺服器之間發送的 EAP 消息,並在遠程訪問伺服器和 RADIUS 伺服器之間將格式設置為 RADIUS 消息。
EAP-RADIUS 用在將 RADIUS 作為身份驗證提供程序的環境中。使用 EAP-RADIUS 的優勢在於不需要在每個遠程訪問伺服器上安裝 EAP 類型,只需要在 RADIUS 伺服器上安裝即可。在 Internet 驗證服務 (IAS) 中,只需要在 ISA 伺服器上安裝 EAP 類型。
EAP協議幀結構
802.1x協議在實現整個認證的過程中,其三個關鍵部分(客戶端、認證系統、認證伺服器)之間是通過不同的通信協議進行交互的,其中認證系統和認證伺服器之間是EAP報文。
EAP幀結構如下表所示: 欄位 位元組 Code 1 Identifier 2 Length 3-4 Data 5-N EAP幀格式中各欄位含義如下: 欄位 佔用位元組數 描述 Code 1個位元組 表示EAP幀四種類型:1.Request;2.Response
3.Success;4.Failure Identifier 1個位元組 用於匹配Request和Response。Identifier的值和系統埠一起單獨標識一個認證過程 Length 2個位元組 表示EAP幀的總長度 Data 0或更多位元組 表示EAP數據 其中Code的取值如下:
1:Request
2:Response
3:Success
4:Failure
參考:EAPoL協議
802.1x協議定義了一種報文封裝格式,這種報文稱為EAPoL(EAP over LANs區域網上的擴展認證協議)報文,主要用於在客戶端和認證系統之間傳送EAP協議報文,以允許EAP協議報文在LAN上傳送。
標准EAPoL幀結構如下表所示: 欄位 位元組PAE Ethernet Type 1-2 Protocol Version 3 Packet Type 4 Packet Body Length 5-6 Packet Body 7-N EAPoL幀格式中各欄位含義如下: 欄位 佔用位元組 描述 PAE Ethernet Type 2個位元組 表示協議類型,802.1x分配的協議類型為888E Protocol Version 1個位元組 表示EAPOL 幀的發送方所支持的協議版本號。本規范使用值為0000 0001 Packet Type 1個位元組 表示傳送的幀類型,如下幾種幀類型:
a) EAP-Packet.值為 0000 0000
b)EAPOL-Start.值為0000 0001
b) EAPOL-Logoff.值為0000 0010 Packet Body Length 2個位元組 表示Packet Body的長度 Packet Body 0/多位元組 如果Packet Type為EAP-Packet,取相應值。對於其他幀類型,該值為空。 EAPOL幀在二層傳送時,必須要有目標MAC地址,當客戶端和認證系統彼此之間不知道發送的目標時,其目標MAC地址使用由802.1x協議分配的組播地址01-80-c2-00-00-03。
❹ 電腦里設置身份驗證協議在哪個位置
一、基於秘密信息的身份認證方法
1、口令核對
口令核對是系統為每一個合法用戶建立一個用戶名/口令對,當用戶登錄系統或使用某項功能時,提示用戶輸入自己的用戶名和口令,系統通過核對用戶輸入的用戶名、口令與系統內已有的合法用戶的用戶名/口令對(這些用戶名/口令對在系統內是加密存儲的)是否匹配,如與某一項用戶名/口令對匹配,則該用戶的身份得到了認證。
缺點:其安全性僅僅基於用戶口令的保密性,而用戶口令一般較短且是靜態數據,容易猜測,且易被攻擊,採用窺探、字典攻擊、窮舉嘗試、網路數據流竊聽、重放攻擊等很容易攻破該認證系統。
2、單向認證
如果通信的雙方只需要一方被另一方鑒別身份,這樣的認證過程就是一種單向認證,即前面所述口令核對法就算是一種單向認證,只是這咱簡單的單向認證還沒有與密鈅分發相結合。
與密鈅分發相結合的單向認證主要有兩類方案:一類採用對密鈅加密體制,需要一個可信賴的第三方―――通常稱為KDC(密鈅分發中心)或AS (認證伺服器),同這個第三方來實現通信雙方的身份認證和密鈅分發如DES演算法,優點運算量小、速度快、安全度高,但其密鈅的秘密分發難度大;另一類採用非對稱密鈅加密體制,加密和解密使用不同的密鈅SK,無需第三方參與,典型的公鈅加密演算法有RSA。認證優點能適應網路的開放性要求,密鈅管理簡單,並且可方便地實現數字簽名和身份認證等功能,是目前電子商務等技術的核心基礎。其缺點是演算法復雜。
3、雙向認證
雙向認證中,通信雙方需要互相鑒別各自的身分,然後交換會話密鈅,典型方案是Needham/Schroeder協議。優點保密性高但會遇到消息重放攻擊。
4、身份的零知識證明
通常的身份認證都要求傳輸口令或身份信息,但如果能夠不傳輸這些信息身份也得到認證就好了。零知識證明就是這樣一種技術:被認證方A掌握某些秘密信息,A想設法讓認證方B相信他確實掌握那些信息,但又不想讓認證方B知道那些信息。
如著名的Feige-Fiat-shamir零知識身份認證協議的一個簡化方案。
假設可信賴仲裁選定一個隨機模數n,n為兩個大素乘積,實際中至少為512位或長達1024位。仲裁方產生隨機數V,使X2=V mod n,即V為模n的剩餘,且有V-1mod n存在。以V作為證明者的公鈅,而後計算最小的整數s:s=sqrt(v-1)mod n作為被認證方的私鈅。實施身份證明的協議如下:被認證方A取隨機數r,這里r<m,計算x=r2 mod m,把X送給認證方B;若b=1,則A將Y=RS送給B;若b=0,則B驗證x=r2 mod m,從而證實A知道sqrt(x);若b=1,則B驗證x=y2.v mod m,從而證實A知道S。
這是一輪鑒定,A和B可將此協議重復t次,直到A相信B知道S為止。
二、基於物理安全性的身份認證方法
盡管前面提到的身份認證方法在原理上有很多不同,但他們有一個共同的特點,就是只依賴於用戶知道的某個秘密的信息。與此對照,另一類身份認證方案是依賴於用戶特有的某些生物學信息或用戶持有的硬體。
基於生物學的方案包括基於指紋識別的身份認證、基於聲音識別身份認證以及基於虹膜識別的身份認證等技術。該技術採用計算機的強大功能和網路技術進行圖像處理和模式識別,具有很好的安全性、可靠性和有效性,與傳統的身份確認手段相比,無疑產生了質的飛躍。近幾年來,全球的生物識別技術已從研究階段轉向應用階段,對該技術的研究和應用如火如茶,前景十分廣闊。
三、身份認證的應用
1、Kerberos是MIT為分布式網路設計的可信第三方認證協議。網路上的Kerberos服務起著可信仲裁者的作用,它可提供安全的網路認證,允許個人訪問網路中不同的機器。Kerberos基於對稱密碼技術(採用DES進行數據加密,但也可用其他演算法替代),它與網路上的每個實體分別共享一個不同的密鈅,是否知道該密鈅便是身份的證明。其設計目標是通過密鈅系統為客戶/伺服器應用程序提供強大的認證服務。該認證過程的實現不依賴於主機操作系統的認證,無需基於主機地址的信任,不要求網路上所有主機的物理安全,並假定網路上傳送的數據包可以被任意地讀取、修改和插入數據。
Kerberos也存在一些問題: Kerberos服務伺服器的損壞將使得整個安全系統無法工作;AS在傳輸用戶與TGS間的會話密鈅時是以用戶密鈅加密的,而用戶密鈅是由用戶口令生成的,因此可能受到口令猜測的攻擊;Kerberos 使用了時間戳,因此存在時間同步問題;要將Kerberos用於某一應用系統,則該系統的客戶端和伺服器端軟體都要作一定的修改。
2、HTTP中的身份認證
HTTP提供了一個基於口令的基本認證方法,目前,所有的Web伺服器都可以通過「基本身份認證」支持訪問控制。當用戶請求某個頁面或運行某個CGI程序時,被訪問訪問對象所在目錄下有訪問控制文件(如NCSA用.haaccess文件)規定那些用戶可以訪問該目錄,Web伺服器讀取該訪問控制文件,從中獲得訪問控制信息並要求客戶提交用戶名和口令對經過一定的編碼(一般是Base64方式),付給服務方,在檢驗了用戶身份和口令後,服務方才發送回所請求的頁面或執行EGI程序。所以,HTTP採用的是一種明文傳輸的口令核對方式(傳輸過程中盡管進行了編碼,但並沒有加密),缺少安全性。用戶可以先把使用SSI建立加密信道後再採用基本身份認證方式進行身份認證,而是基於IP地址的身份認證。
3、IP中的身份認證
IP協議由於在網路層,無法理解更高層的信息,所以IP協議中的身份認證實際不可能是基於用戶的身份認證,而是基於IP地址的身份認證。
四、身份認證技術討論
在計算機網路中身份認證還有其他實現途徑,如數字簽名技術。傳送的報文用數字簽名來證明其真實性,簡單實例就是直接利用RSA演算法和發送方的秘密密鈅。
由於數字簽名有一項功能是保證信息發出者的身份真實性,即信息確實是所聲稱的簽名人簽名的,別人不能仿造,這和身份認證的情形有些相似;身份認證的核心是要確認某人確實是他所聲稱的身份。那麼,我想應該能借用數字簽名機制實現身份認證,但這可能有一個困難,如果不預先進行密鈅分發(即使是公鈅,也要有一個機制將真實的公鈅信息傳遞給每一個用戶)。可能數字簽名也無從實現。
五、結語
在實際應用中,認證方案的選擇應當從系統需求和認證機制的安全性能兩個方面來綜合考慮,安全性能最高的不一定是最好的。如何減少身份認證機制和信息認證機制中的計算量和通信量,而同時又能提供較高的安全性能,也是信息安全領域的研究人員進一步需要研究的課題。
參考文獻:
[1]美D.E.R.丹寧.密碼學與數據安全,科學出版社.1991.11
[2]Derdk Atkins 等著.嚴偉等譯.internet 網路安全專業參考手冊.機械工業出版社.1998.
❺ 遠程訪問伺服器上禁止使用選定的身份驗證協議怎麼回事
賬號密碼錯 ,檢查賬號密碼重新輸入,注意大小寫。
寬頻欠費 , 需要充值繳費回,繳費之後重啟答貓和路由器。
埠綁定, 需要撥打客服電話,後台解綁。
遠程訪問是集成的「路由和遠程訪問」服務的一部分,用來為遠程辦公人員、外出人員,以及監視和管理多個部門辦公室伺服器的系統管理員提供遠程網路。
有運行 Windows 的計算機和網路連接的用戶可以撥號遠程訪問他們的網路來獲得服務,例如文件和列印機共享、電子郵件、計劃及 SQL 資料庫訪問。
通常需要進行遠程訪問的人有兩類,一類是系統管理員,另一類是普通的用戶。
系統管理員通常需要遠程訪問企業內網的網路設備或伺服器,進行遠程配置管理操作。
目前的產品發展來看,大部分企業級的網路設備或伺服器,通常都提供遠程配置管理的介面或功能,管理員可以通過telnet、SSH、web GUI乃至遠程管理軟體終端等方式,從企業網路的WAN側進入內網進行管理維護。
❻ 安全系統不能與伺服器DNS/server2k.byxy.zc建立一個安全連接,沒有可用的身份驗證協議
你說的是遠程登錄么?
那可能是SEVER的遠程功能沒開啟
在我的電腦屬性里開啟
並選擇好用戶,
再在"服務"里開啟telnet服務
❼ 什麼是Kerberos身份驗證協議
kerberos是由MIT開發的提供網路認證服務的系統。它可用來為網路上的各種server提供認版證服務權,使得口令不再是以明文方式在網路上傳輸,並且聯接之間通訊是加密的。它和PKI認證的原理不一樣,PKI使用公鑰體制(不對稱密碼體制),kerberos基於私鑰體制(對稱密碼體制)。Kerberos稱為可信的第三方驗證協議,意味著它運行在獨立於任何客戶機或伺服器的伺服器之上。此名稱來自看守地獄入口的三頭犬。
Kerberos伺服器稱為AS(驗證伺服器)。當客戶端需要訪問某個伺服器時,客戶端訪問Kerberos伺服器以獲取票證。擁有票證意味著具有訪問許可權。這一點首先假設客戶端和伺服器都信任「第三方」Kerberos驗證伺服器
❽ 急需知曉啊,拜託知道的人發發慈悲。其中的身份驗證類型,APN類型和apn協議該選擇什麼啊
1 1、在確保手機沒有欠費,且手機已經開通了功能的情況;
2、核實操作步驟是否正確
1)系統設置--sim卡管理-勾選你要使用sim卡;
2)查看是否有打開數據連接,待機屏幕底端按住往下拉,可以找到數據連接圖標,看是否為灰色,選擇要使用的sim卡上網,或者在系統設置--無線和網路-移動網路-數據使用情況(勾選);
3、核實是否使用其它SIM卡切換過網路,嘗試更換接入點,系統設置--無線和網路-移動網路-接入點名稱,是否有運營商的接入點。若有的話請直接選擇切換;若沒有的話,建議可以自行添接入點(系統設置--無線和網路-移動網路-接入點名稱--點擊菜單鍵--新建接入點)或者網上下載「海卓HiAPN」軟體一鍵設置。(設置添加後重新啟動手機)
下載地址:http://as..com/a/item?docid=3861443061&f=web_alad_1
4、嘗試在系統設置--無線和網路-移動網路-網路運營商中進行選擇後,觀察使用。
5、嘗試重置接入點為默認設置:打開系統設置--無線和網路-移動網路-接入點名稱,點擊菜單鍵,選擇重置為默認設置,然後重啟下手機看是否能上網;
6、建議將該張SIM卡插在其他手機上是否可以上網,或者換張sim卡,以排除sim卡自身的問題導致無法聯網;
7、建議你換個網路環境試下,不排除是網路繁忙導致無法上網。(同一環境下其他的手機是否可以正常使用)
8、若多次嘗試且設置正確,仍無法正常上網,建議到附近聯想授權服務站點針對網路模塊進行檢測。
站點查詢:http://appserver.lenovo.com.cn/LenovoMap/LenovoMap_Service.aspx
手機上網接入點設置可參考以下方式:http://bbs.lenovomobile.com/forum.php?mod=viewthread&tid=44271&extra=
如果我們提供的技術方案有效,請您選擇採納為有效答案以便供其它用戶參考,感謝。
❾ 寬頻連接中的「使用可擴展的身份驗證協議」是什麼
可擴展身份抄驗證協議 (EAP) 允許使用憑據和襲信息的任意身份驗證方法,從而擴展了點對點協議 (PPP) 的任意長度的交換。 EAP 的開發中使用安全設備如智能卡、 令牌卡和加密計算器) 的身份驗證方法的要求的響應。 EAP 提供行業標準的體系結構支持 PPP 內的其他身份驗證方法。
EAP 允許進行遠程訪問客戶端和身份驗證者之間開放式對話。 對話包括身份驗證者的身份驗證信息的請求和遠程訪問客戶端的響應。 例如,當與安全令牌卡一起使用 EAP,身份驗證器可以分別查詢遠程訪問客戶端的名稱、 PIN 和卡記號值。 隨著每個查詢是詢問和回答,遠程訪問客戶端通過身份驗證的另一個級別。 當已得到滿意的解答所有問題時,遠程訪問客戶端進行身份驗證。
Windows Server 2008 包括 EAP 基礎結構、 兩種 EAP 類型,並能夠將 EAP 消息傳遞給 RADIUS 伺服器 (EAP 半徑)