鉴权协议
❶ 什么是Kerberos身份验证协议
Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1) 服务器 “ticket” ; 2) 一个临时加密密钥(又称为会话密钥 “session key”) 。客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
❷ 在远程访问服务器上禁止使用选定的身份验证协议 是什么意思
账号密码错 ,检查账号密码重新输入,注意大小写。
宽带欠费 , 需要充值缴回费,缴费之后重答启猫和路由器。
端口绑定, 需要拨打客服电话,后台解绑。
❸ EAP协议的结构
EAP 是一组以插件模块的形式为任何 EAP 类型提供结构支持的内部组件。为了成功进行身份验证,远程访问客户端和验证程序必须安装相同的 EAP 身份验证模块。ISA 服务器支持两种 EAP 类型:MD5-Challenge 和 EAP-TLS。
MD5-Challenge
Message Digest 5 Challenge (MD5-Challenge) 是一种必需的 EAP 类型,其使用与基于 PPP 的 CHAP 相同的质询/握手协议,但是质询和响应是作为 EAP 消息发送的。MD5-Challenge 的典型用法是通过使用用户名和密码安全系统对远程 VPN 客户端的凭据进行身份验证。您还可以使用 MD5-Challenge 来测试 EAP 的互操作性。
EAP-TLS
EAP-Transport Level Security (EAP-TLS) 是在基于证书的安全环境中使用的 EAP 类型。如果您将智能卡用于远程访问身份验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 的消息交换可以提供远程 VPN 客户端和验证程序之间的相互身份验证、加密方法的协商和加密密钥的确定。EAP-TLS 提供了最强大的身份验证和密钥确定方法。
EAP-RADIUS
EAP-RADIUS 并不是一种 EAP 类型,但是可以通过验证程序将任何 EAP 类型的 EAP 消息传递到 RADIUS 服务器,以便进行身份验证。例如,将 ISA 服务器配置为用于 RADIUS 身份验证时,将封装在远程 VPN 客户端和 ISA 服务器之间发送的 EAP 消息,并在远程访问服务器和 RADIUS 服务器之间将格式设置为 RADIUS 消息。
EAP-RADIUS 用在将 RADIUS 作为身份验证提供程序的环境中。使用 EAP-RADIUS 的优势在于不需要在每个远程访问服务器上安装 EAP 类型,只需要在 RADIUS 服务器上安装即可。在 Internet 验证服务 (IAS) 中,只需要在 ISA 服务器上安装 EAP 类型。
EAP协议帧结构
802.1x协议在实现整个认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过不同的通信协议进行交互的,其中认证系统和认证服务器之间是EAP报文。
EAP帧结构如下表所示: 字段 字节 Code 1 Identifier 2 Length 3-4 Data 5-N EAP帧格式中各字段含义如下: 字段 占用字节数 描述 Code 1个字节 表示EAP帧四种类型:1.Request;2.Response
3.Success;4.Failure Identifier 1个字节 用于匹配Request和Response。Identifier的值和系统端口一起单独标识一个认证过程 Length 2个字节 表示EAP帧的总长度 Data 0或更多字节 表示EAP数据 其中Code的取值如下:
1:Request
2:Response
3:Success
4:Failure
参考:EAPoL协议
802.1x协议定义了一种报文封装格式,这种报文称为EAPoL(EAP over LANs局域网上的扩展认证协议)报文,主要用于在客户端和认证系统之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。
标准EAPoL帧结构如下表所示: 字段 字节PAE Ethernet Type 1-2 Protocol Version 3 Packet Type 4 Packet Body Length 5-6 Packet Body 7-N EAPoL帧格式中各字段含义如下: 字段 占用字节 描述 PAE Ethernet Type 2个字节 表示协议类型,802.1x分配的协议类型为888E Protocol Version 1个字节 表示EAPOL 帧的发送方所支持的协议版本号。本规范使用值为0000 0001 Packet Type 1个字节 表示传送的帧类型,如下几种帧类型:
a) EAP-Packet.值为 0000 0000
b)EAPOL-Start.值为0000 0001
b) EAPOL-Logoff.值为0000 0010 Packet Body Length 2个字节 表示Packet Body的长度 Packet Body 0/多字节 如果Packet Type为EAP-Packet,取相应值。对于其他帧类型,该值为空。 EAPOL帧在二层传送时,必须要有目标MAC地址,当客户端和认证系统彼此之间不知道发送的目标时,其目标MAC地址使用由802.1x协议分配的组播地址01-80-c2-00-00-03。
❹ 电脑里设置身份验证协议在哪个位置
一、基于秘密信息的身份认证方法
1、口令核对
口令核对是系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名、口令与系统内已有的合法用户的用户名/口令对(这些用户名/口令对在系统内是加密存储的)是否匹配,如与某一项用户名/口令对匹配,则该用户的身份得到了认证。
缺点:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且是静态数据,容易猜测,且易被攻击,采用窥探、字典攻击、穷举尝试、网络数据流窃听、重放攻击等很容易攻破该认证系统。
2、单向认证
如果通信的双方只需要一方被另一方鉴别身份,这样的认证过程就是一种单向认证,即前面所述口令核对法就算是一种单向认证,只是这咱简单的单向认证还没有与密鈅分发相结合。
与密鈅分发相结合的单向认证主要有两类方案:一类采用对密鈅加密体制,需要一个可信赖的第三方―――通常称为KDC(密鈅分发中心)或AS (认证服务器),同这个第三方来实现通信双方的身份认证和密鈅分发如DES算法,优点运算量小、速度快、安全度高,但其密鈅的秘密分发难度大;另一类采用非对称密鈅加密体制,加密和解密使用不同的密鈅SK,无需第三方参与,典型的公鈅加密算法有RSA。认证优点能适应网络的开放性要求,密鈅管理简单,并且可方便地实现数字签名和身份认证等功能,是目前电子商务等技术的核心基础。其缺点是算法复杂。
3、双向认证
双向认证中,通信双方需要互相鉴别各自的身分,然后交换会话密鈅,典型方案是Needham/Schroeder协议。优点保密性高但会遇到消息重放攻击。
4、身份的零知识证明
通常的身份认证都要求传输口令或身份信息,但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术:被认证方A掌握某些秘密信息,A想设法让认证方B相信他确实掌握那些信息,但又不想让认证方B知道那些信息。
如著名的Feige-Fiat-shamir零知识身份认证协议的一个简化方案。
假设可信赖仲裁选定一个随机模数n,n为两个大素乘积,实际中至少为512位或长达1024位。仲裁方产生随机数V,使X2=V mod n,即V为模n的剩余,且有V-1mod n存在。以V作为证明者的公鈅,而后计算最小的整数s:s=sqrt(v-1)mod n作为被认证方的私鈅。实施身份证明的协议如下:被认证方A取随机数r,这里r<m,计算x=r2 mod m,把X送给认证方B;若b=1,则A将Y=RS送给B;若b=0,则B验证x=r2 mod m,从而证实A知道sqrt(x);若b=1,则B验证x=y2.v mod m,从而证实A知道S。
这是一轮鉴定,A和B可将此协议重复t次,直到A相信B知道S为止。
二、基于物理安全性的身份认证方法
尽管前面提到的身份认证方法在原理上有很多不同,但他们有一个共同的特点,就是只依赖于用户知道的某个秘密的信息。与此对照,另一类身份认证方案是依赖于用户特有的某些生物学信息或用户持有的硬件。
基于生物学的方案包括基于指纹识别的身份认证、基于声音识别身份认证以及基于虹膜识别的身份认证等技术。该技术采用计算机的强大功能和网络技术进行图像处理和模式识别,具有很好的安全性、可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃。近几年来,全球的生物识别技术已从研究阶段转向应用阶段,对该技术的研究和应用如火如茶,前景十分广阔。
三、身份认证的应用
1、Kerberos是MIT为分布式网络设计的可信第三方认证协议。网络上的Kerberos服务起着可信仲裁者的作用,它可提供安全的网络认证,允许个人访问网络中不同的机器。Kerberos基于对称密码技术(采用DES进行数据加密,但也可用其他算法替代),它与网络上的每个实体分别共享一个不同的密鈅,是否知道该密鈅便是身份的证明。其设计目标是通过密鈅系统为客户/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
Kerberos也存在一些问题: Kerberos服务服务器的损坏将使得整个安全系统无法工作;AS在传输用户与TGS间的会话密鈅时是以用户密鈅加密的,而用户密鈅是由用户口令生成的,因此可能受到口令猜测的攻击;Kerberos 使用了时间戳,因此存在时间同步问题;要将Kerberos用于某一应用系统,则该系统的客户端和服务器端软件都要作一定的修改。
2、HTTP中的身份认证
HTTP提供了一个基于口令的基本认证方法,目前,所有的Web服务器都可以通过“基本身份认证”支持访问控制。当用户请求某个页面或运行某个CGI程序时,被访问访问对象所在目录下有访问控制文件(如NCSA用.haaccess文件)规定那些用户可以访问该目录,Web服务器读取该访问控制文件,从中获得访问控制信息并要求客户提交用户名和口令对经过一定的编码(一般是Base64方式),付给服务方,在检验了用户身份和口令后,服务方才发送回所请求的页面或执行EGI程序。所以,HTTP采用的是一种明文传输的口令核对方式(传输过程中尽管进行了编码,但并没有加密),缺少安全性。用户可以先把使用SSI建立加密信道后再采用基本身份认证方式进行身份认证,而是基于IP地址的身份认证。
3、IP中的身份认证
IP协议由于在网络层,无法理解更高层的信息,所以IP协议中的身份认证实际不可能是基于用户的身份认证,而是基于IP地址的身份认证。
四、身份认证技术讨论
在计算机网络中身份认证还有其他实现途径,如数字签名技术。传送的报文用数字签名来证明其真实性,简单实例就是直接利用RSA算法和发送方的秘密密鈅。
由于数字签名有一项功能是保证信息发出者的身份真实性,即信息确实是所声称的签名人签名的,别人不能仿造,这和身份认证的情形有些相似;身份认证的核心是要确认某人确实是他所声称的身份。那么,我想应该能借用数字签名机制实现身份认证,但这可能有一个困难,如果不预先进行密鈅分发(即使是公鈅,也要有一个机制将真实的公鈅信息传递给每一个用户)。可能数字签名也无从实现。
五、结语
在实际应用中,认证方案的选择应当从系统需求和认证机制的安全性能两个方面来综合考虑,安全性能最高的不一定是最好的。如何减少身份认证机制和信息认证机制中的计算量和通信量,而同时又能提供较高的安全性能,也是信息安全领域的研究人员进一步需要研究的课题。
参考文献:
[1]美D.E.R.丹宁.密码学与数据安全,科学出版社.1991.11
[2]Derdk Atkins 等著.严伟等译.internet 网络安全专业参考手册.机械工业出版社.1998.
❺ 远程访问服务器上禁止使用选定的身份验证协议怎么回事
账号密码错 ,检查账号密码重新输入,注意大小写。
宽带欠费 , 需要充值缴费回,缴费之后重启答猫和路由器。
端口绑定, 需要拨打客服电话,后台解绑。
远程访问是集成的“路由和远程访问”服务的一部分,用来为远程办公人员、外出人员,以及监视和管理多个部门办公室服务器的系统管理员提供远程网络。
有运行 Windows 的计算机和网络连接的用户可以拨号远程访问他们的网络来获得服务,例如文件和打印机共享、电子邮件、计划及 SQL 数据库访问。
通常需要进行远程访问的人有两类,一类是系统管理员,另一类是普通的用户。
系统管理员通常需要远程访问企业内网的网络设备或服务器,进行远程配置管理操作。
目前的产品发展来看,大部分企业级的网络设备或服务器,通常都提供远程配置管理的接口或功能,管理员可以通过telnet、SSH、web GUI乃至远程管理软件终端等方式,从企业网络的WAN侧进入内网进行管理维护。
❻ 安全系统不能与服务器DNS/server2k.byxy.zc建立一个安全连接,没有可用的身份验证协议
你说的是远程登录么?
那可能是SEVER的远程功能没开启
在我的电脑属性里开启
并选择好用户,
再在"服务"里开启telnet服务
❼ 什么是Kerberos身份验证协议
kerberos是由MIT开发的提供网络认证服务的系统。它可用来为网络上的各种server提供认版证服务权,使得口令不再是以明文方式在网络上传输,并且联接之间通讯是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制),kerberos基于私钥体制(对称密码体制)。Kerberos称为可信的第三方验证协议,意味着它运行在独立于任何客户机或服务器的服务器之上。此名称来自看守地狱入口的三头犬。
Kerberos服务器称为AS(验证服务器)。当客户端需要访问某个服务器时,客户端访问Kerberos服务器以获取票证。拥有票证意味着具有访问权限。这一点首先假设客户端和服务器都信任“第三方”Kerberos验证服务器
❽ 急需知晓啊,拜托知道的人发发慈悲。其中的身份验证类型,APN类型和apn协议该选择什么啊
1 1、在确保手机没有欠费,且手机已经开通了功能的情况;
2、核实操作步骤是否正确
1)系统设置--sim卡管理-勾选你要使用sim卡;
2)查看是否有打开数据连接,待机屏幕底端按住往下拉,可以找到数据连接图标,看是否为灰色,选择要使用的sim卡上网,或者在系统设置--无线和网络-移动网络-数据使用情况(勾选);
3、核实是否使用其它SIM卡切换过网络,尝试更换接入点,系统设置--无线和网络-移动网络-接入点名称,是否有运营商的接入点。若有的话请直接选择切换;若没有的话,建议可以自行添接入点(系统设置--无线和网络-移动网络-接入点名称--点击菜单键--新建接入点)或者网上下载“海卓HiAPN”软件一键设置。(设置添加后重新启动手机)
下载地址:http://as..com/a/item?docid=3861443061&f=web_alad_1
4、尝试在系统设置--无线和网络-移动网络-网络运营商中进行选择后,观察使用。
5、尝试重置接入点为默认设置:打开系统设置--无线和网络-移动网络-接入点名称,点击菜单键,选择重置为默认设置,然后重启下手机看是否能上网;
6、建议将该张SIM卡插在其他手机上是否可以上网,或者换张sim卡,以排除sim卡自身的问题导致无法联网;
7、建议你换个网络环境试下,不排除是网络繁忙导致无法上网。(同一环境下其他的手机是否可以正常使用)
8、若多次尝试且设置正确,仍无法正常上网,建议到附近联想授权服务站点针对网络模块进行检测。
站点查询:http://appserver.lenovo.com.cn/LenovoMap/LenovoMap_Service.aspx
手机上网接入点设置可参考以下方式:http://bbs.lenovomobile.com/forum.php?mod=viewthread&tid=44271&extra=
如果我们提供的技术方案有效,请您选择采纳为有效答案以便供其它用户参考,感谢。
❾ 宽带连接中的“使用可扩展的身份验证协议”是什么
可扩展身份抄验证协议 (EAP) 允许使用凭据和袭信息的任意身份验证方法,从而扩展了点对点协议 (PPP) 的任意长度的交换。 EAP 的开发中使用安全设备如智能卡、 令牌卡和加密计算器) 的身份验证方法的要求的响应。 EAP 提供行业标准的体系结构支持 PPP 内的其他身份验证方法。
EAP 允许进行远程访问客户端和身份验证者之间开放式对话。 对话包括身份验证者的身份验证信息的请求和远程访问客户端的响应。 例如,当与安全令牌卡一起使用 EAP,身份验证器可以分别查询远程访问客户端的名称、 PIN 和卡记号值。 随着每个查询是询问和回答,远程访问客户端通过身份验证的另一个级别。 当已得到满意的解答所有问题时,远程访问客户端进行身份验证。
Windows Server 2008 包括 EAP 基础结构、 两种 EAP 类型,并能够将 EAP 消息传递给 RADIUS 服务器 (EAP 半径)