【正文】 認(rèn)證協(xié)議許多協(xié)議在向用戶或設(shè)備授權(quán)訪問和訪問權(quán)限之前需要認(rèn)證校驗(yàn)，通常要用到認(rèn)證相關(guān)的機(jī)制，前面討論了常用的認(rèn)證機(jī)制，本節(jié)介紹使用這些認(rèn)證機(jī)制的協(xié)議，這些協(xié)議包括 RADIUS、TACACS、Kerberos、LDAP 等。后來經(jīng)過多次改進(jìn)，形成了一個通用的 AAA 協(xié)議。RADIUS 協(xié)議通過 UDP 協(xié)議進(jìn)行通信，RADIUS 服務(wù)器的 1812 端口負(fù)責(zé)認(rèn)證，1813 端口負(fù)責(zé)計費(fèi)工作。TACACS+允許任意長度和內(nèi)容的認(rèn)證交換，與 RADIUS 一樣，具有很強(qiáng)的擴(kuò)展性，并且客戶端可以使用任何認(rèn)證機(jī)制。Kerberos 基于對稱密碼技術(shù)，網(wǎng)絡(luò)上的每個實(shí)體持有不同的密鑰，是否知道該密鑰便是身份的證明。AS 為客戶和服務(wù)器提供證明自己身份的票據(jù)以及雙方安全通信的會話密鑰。 LDAP 協(xié)議LDAP（Lightweight Directory Access Protocol）是基于 標(biāo)準(zhǔn)的，但是比 簡單，并且可以根據(jù)需要定制。LDAP 協(xié)議嚴(yán)格來說并不屬于單純認(rèn)證協(xié)議，對用戶進(jìn)行授權(quán)認(rèn)證是 LDAP 協(xié)議的一個典型應(yīng)用。所以 LDAP 協(xié)議非常適合數(shù)據(jù)庫相對穩(wěn)定，而查詢速度要求比較高的認(rèn)證場合。為保證通信中指令集不包含網(wǎng)絡(luò)攻擊指令、其他非法字符集或嵌入機(jī)密數(shù)據(jù)向外泄露。 媒體流加密對于視頻流的實(shí)時加密流程與信令流類似，同樣需要進(jìn)行交換標(biāo)識，以讀取密碼生成密鑰。用一些事情，總會看清一些人。4. 歲月是無情的，假如你丟給它的是一片空白，它還給你的也是一片空白。7 。你必須努力，當(dāng)有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。既糾結(jié)了自己，又打擾了別人。2. 若不是心寬似海，哪有人生風(fēng)平浪靜。 信令加密業(yè)務(wù)數(shù)據(jù)加密是指每個控制命令或者參數(shù)設(shè)置命令都必須進(jìn)行加密處理，采取加密業(yè)務(wù)信令通道的辦法來保證信息的安全性，保證數(shù)據(jù)鑒別、防篡改、防窺視、鑒別來源、防止非法訪問、防偽造。.. .. .. ..視頻流和視頻控制信令應(yīng)以不同的物理通道進(jìn)行傳輸，視頻控制信令通過信令流傳輸，視頻流通過媒體流傳輸。目錄服務(wù)其實(shí)也是一種數(shù)據(jù)庫系統(tǒng)，只是這種數(shù)據(jù)庫是一種樹形結(jié)構(gòu)，而不是通常使用的關(guān)系數(shù)據(jù)庫。LDAP 是一個目錄服務(wù)協(xié)議，目前存在眾多版本的 LDAP，而最常見的則是 V2 和 V3 兩個版本，它們分別于 1995 年和 1997 年首次發(fā)布。除客戶第一次獲得的初始票據(jù)是由 Kerberos 認(rèn)證服務(wù)器簽發(fā)外，其他票據(jù)都是由 TGS 簽發(fā)的，一個票據(jù)可以使用多次直至期限。Kerberos 常見的有兩個版本：第 4 版和第 5 版，目前使用的標(biāo)準(zhǔn)版本是版本 5。 Kerberos 認(rèn)證協(xié)議在一個分布式環(huán)境中，采用上述兩種認(rèn)證協(xié)議時，如果發(fā)生賬號改動的情況，每臺機(jī)器上的都要進(jìn)行相應(yīng)的賬號修改，工作量非常大。 TACACS 認(rèn)證協(xié)議TACACS（Terminal Access Controller Access Control System）最先是由BBN 為 MILNET 開發(fā)的一種基于 UDP 的訪問控制協(xié)議，一些廠商對協(xié)議進(jìn)行了擴(kuò)展，最終形成了一種新的 AAA 協(xié)議，其中 CISCO 公司對 TACACS 協(xié)議多次進(jìn)行增強(qiáng)擴(kuò)展，目前成為 TACACS+協(xié)議，H3C 在 TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)，形成了H3C 擴(kuò)展的 TACACS 協(xié)議?？梢圆捎蒙鲜鋈魏我环N認(rèn)證機(jī)制。LDAP 提供一種輕量級的目錄服務(wù)，嚴(yán)格來說不能算作一種認(rèn)證協(xié)議，而對用戶進(jìn)行認(rèn)證授權(quán)只是 LDAP 的一種應(yīng)用。常用的辦法是找一個值得信賴而且獨(dú)立的第三方認(rèn)證機(jī)構(gòu)充當(dāng)認(rèn)證中心（Certificate Authority，CA） ，來確認(rèn)聲稱擁有公開密鑰的人的真正身份。公鑰認(rèn)證機(jī)制中每個用戶被分配給一對密鑰，稱之為公鑰和私鑰，其中私鑰由用戶保管，而公鑰則向所有人公開。無線網(wǎng)絡(luò)中常用的方法包括 EAPTLS、 EAPSIM、 EAPAKA、 PEAP、LEAP 和EAPTTLS。EAP 提供一些公共的功能，并且允許協(xié)商所希望的認(rèn)證機(jī)制。一個典型的認(rèn)證過程如下圖所示：認(rèn)證過程為：1) 客戶向認(rèn)證服務(wù)器發(fā)出請求，要求進(jìn)行身份認(rèn)證；2) 認(rèn)證服務(wù)器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進(jìn)一步處理；3) 認(rèn)證服務(wù)器內(nèi)部產(chǎn)生一個隨機(jī)數(shù)，作為“挑戰(zhàn)”碼，發(fā)送給客戶；4) 客戶將用戶名字和隨機(jī)數(shù)合并，使用單向 Hash 函數(shù)（例如 MD5 算法）生成一個字節(jié)串作為應(yīng)答；5) 認(rèn)證服務(wù)器將應(yīng)答串與自己的計算結(jié)果比較，若二者相同，則通過一次認(rèn)證；否則，認(rèn)證失??；6) 認(rèn)證服務(wù)器通知客戶認(rèn)證成功或失敗。動態(tài)口令機(jī)制每次都采用不同的不確定因子來生成認(rèn)證數(shù)據(jù)，從而每次提交的認(rèn)證數(shù)據(jù)都不相同，提高了認(rèn)證過程的安全性。但它是一種單因素的認(rèn)證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充；同時易被攻擊，采用窺探、字典攻擊、窮舉嘗試、網(wǎng)絡(luò)數(shù)據(jù)流竊聽、重放攻擊等很容易攻破該認(rèn)證系統(tǒng)。身份認(rèn)證系統(tǒng)所采用的方法考慮因素越多，認(rèn)證的可靠性就越高。目前使用比較多的是用戶與系統(tǒng)間的身份認(rèn)證，它只需單向進(jìn)行，只由系統(tǒng)對用戶進(jìn)行身份驗(yàn)證。在一個數(shù)字化的工作體系中，應(yīng)該有一個統(tǒng)一的身份認(rèn)證系統(tǒng)供各應(yīng)用系統(tǒng)使用，但授權(quán)控制可以由各應(yīng)用系統(tǒng)自己管理。 用戶身份認(rèn)證所謂身份認(rèn)證，就是判斷一個用戶是否為合法用戶的處理過程。.. .. .. ..個人數(shù)字證書，主要用于標(biāo)識數(shù)字證書自然人所有人的身份，包含了個人的身份信息及其公鑰，如用戶姓名、證件號碼、身份類型等，可用于個人在網(wǎng)上進(jìn)行合同簽定、定單、錄入審核、操作權(quán)限、支付信息等活動。同樣，為證實(shí)發(fā)件人的身份，發(fā)送者要用自己的私鑰對信件進(jìn)行簽名；收件人可使用發(fā)送者的公鑰對簽名進(jìn)行驗(yàn)證，以確認(rèn)發(fā)送者的身份。公鑰公之于眾，誰都可以使用。在因特網(wǎng)、公司內(nèi)部網(wǎng)或外部網(wǎng)中，使用數(shù)字證書實(shí)現(xiàn)身份識別和電子信息加密。證書的格式和驗(yàn)證方法普遍遵循 國際標(biāo)準(zhǔn)。在 CA 判明申請者的身份后，便為他分配一個公鑰，并且 CA 將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給申請者。它要制定政策和具體步驟來驗(yàn)證、識別用戶身份，并對用戶證書進(jìn)行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。CA 機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。大家都以使用公鑰進(jìn)行加密，但是只有私鑰的持有者才能解密。 ?解密：通過解密算法和私鑰對密文進(jìn)行解密，得到明文。?使得商業(yè)機(jī)密或技術(shù)成果泄露或者被散播。.. .. .. .. 信息安全后果在現(xiàn)代網(wǎng)絡(luò)信息社會環(huán)境下．由于存在各種各樣的安全威脅，比如病毒、誤操作、設(shè)備故障和黑客攻擊等，從而可能會造成重要數(shù)據(jù)文件的丟失。簡單的說拒絕服務(wù)攻擊就是想辦法將被攻擊的計算機(jī)資源或網(wǎng)絡(luò)帶寬資源耗盡．導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓．而停止提供正常的服務(wù)。在越來越依賴網(wǎng)絡(luò)的今天．由于病毒導(dǎo)致的系統(tǒng)破壞將帶來巨大的損失。當(dāng)用戶在這個偽裝的界面上鍵入登錄信息后．黑客程序會將用戶輸入的信息傳送到攻擊者主機(jī)．然后關(guān)閉界面給出提示錯誤．要求用戶重新登錄。獲取了領(lǐng)導(dǎo)的賬號和密碼，從而可以利用這些密碼．查閱只能由領(lǐng)導(dǎo)查閱的秘密文件等。 竊聽攻擊網(wǎng)絡(luò)竊聽是最直接的獲取數(shù)據(jù)的手段．如果在共享的網(wǎng)絡(luò)通道上，用沒有加密的明文傳輸敏感數(shù)據(jù)．這些信息很可能被竊聽和監(jiān)視。正常情況下，程序開放完成后需要去掉各個模塊的后門，不過有時由于疏忽或者其他原因，比如說如保留后門便于日后訪問、測試或維護(hù)．后門沒.. .. .. ..有去掉，一些別有用心的人就會利用專門的掃描工具發(fā)現(xiàn)并利用這些后門，然后進(jìn)入系統(tǒng)并發(fā)動攻擊。如果系統(tǒng)管理人員沒有對網(wǎng)絡(luò)和操作系統(tǒng)的漏洞及時打補(bǔ)?。肭终呔涂梢院苋菀桌眠@些公開的漏洞，侵入系統(tǒng)．從而對整個網(wǎng)絡(luò)帶來災(zāi)難性的后果。弱口令問題普遍存在，主要的解決方式是建立