免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

一般情況下，我們討論P(yáng)AP和CHAP都是討論的NAS和用戶之間的驗(yàn)證方式。當(dāng)用戶上網(wǎng)時(shí)，NAS決定對(duì)用戶采用何種驗(yàn)證方法。下面分別在本地驗(yàn)證和Radius驗(yàn)證兩種情況下介紹用戶與NAS之間的PAP和CHAP驗(yàn)證方式。
1）NAS本地認(rèn)證
PAP 驗(yàn)證（Password Authentication Protocol：密碼驗(yàn)證協(xié)議）：用戶以明文的形式把用戶名和密碼傳遞給NAS。 NAS根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫，如果存在相同的用戶名和密碼表明驗(yàn)證通過，否則表明驗(yàn)證未通過。
CHAP 驗(yàn)證（Challenge Handshake Authentication Protocol：挑戰(zhàn)握手驗(yàn)證協(xié)議）：當(dāng)用戶請(qǐng)求上網(wǎng)時(shí)，服務(wù)器產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼（challenge）給用戶（同時(shí)還有一個(gè)ID號(hào)，本地路由器的 host name）。用戶端得到這個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對(duì)傳來的各域進(jìn)行加密，生成一個(gè)Secret Password傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與Secret Password作比較，如果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗。
Secret Password = MD5（Chap ID + Password + challenge）
Radius認(rèn)證
2）RADIUS認(rèn)證
如果用戶配置了RADIUS驗(yàn)證而不是本地驗(yàn)證，過程略有不同。
PAP驗(yàn)證：用戶以明文的形式把用戶名和他的密碼傳遞給NAS，NAS把用戶名和加密過的密碼放到驗(yàn)證請(qǐng)求包的相應(yīng)屬性中傳遞給RADIUS服務(wù)器。RADIUS服務(wù)器對(duì)NAS上傳的賬號(hào)進(jìn)行驗(yàn)證并返回結(jié)果來決定是否允許用戶上網(wǎng)。
Secret password =Password XOR MD5（Challenge ＋ Key）
(Challenge就是Radius報(bào)文中的Authenticator)
CHAP驗(yàn)證：當(dāng)用戶請(qǐng)求上網(wǎng)時(shí)，NAS產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼給用戶（同時(shí)還有一個(gè)ID號(hào)，本地路由器的 host name）。用戶端得到這個(gè)包后使用自己獨(dú)有的設(shè)備或軟件對(duì)傳來的各域進(jìn)行加密，生成一個(gè)Secret Password傳給NAS。NAS把傳回來的CHAP ID和Secret Password分別作為用戶名和密碼，并把原來的16字節(jié)隨機(jī)碼傳給RADIUS服務(wù)器。RADIUS根據(jù)用戶名在服務(wù)器端查找數(shù)據(jù)庫，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)傳來的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與傳來的Password作比較，如果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗。另外如果驗(yàn)證成功，RADIUS服務(wù)器同樣可以生成一個(gè)16字節(jié)的隨機(jī)碼對(duì)用戶進(jìn)行挑戰(zhàn)詢問（魔術(shù)字），該部分內(nèi)容由于應(yīng)用較少，此處略。
Secret password = MD5（Chap ID + Password + challenge）
從上面的過程看得出來，如果NAS到用戶端都是一個(gè)用戶一個(gè)PVC，或者一個(gè)用戶一個(gè)VLAN，這時(shí)，BAS到用戶端（MODEM）設(shè)置為PAP和CHAP都是無所謂的。但是如果BAS到用戶端如果不是一個(gè)獨(dú)立的鏈路，例如是一個(gè)VLAN下來到很多用戶，這時(shí)，最好設(shè)置為CHAP。因?yàn)閷?duì)用戶的用戶名和密碼，CHAP是加密傳送，而PAP是明文傳送的的。但是，現(xiàn)在有些MODEM或系統(tǒng)不支持CHAP，也有NAS不支持，這時(shí)就沒有選擇了。

先由服務(wù)器端給客戶端發(fā)送一個(gè)隨機(jī)碼challenge，客戶端根據(jù)challenge，對(duì)自己掌握的口令、challenge、會(huì)話ID進(jìn)行單向散例,即md5(password1,challenge,ppp_id)，然后把這個(gè)結(jié)果發(fā)送給服務(wù)器端。服務(wù)器端從數(shù)據(jù)庫中取出庫存口令password2,進(jìn)行同樣的算法，即md5(password2,challenge,ppp_id),最后，比較加密的結(jié)果是否相同。如相同,則認(rèn)證通過。

優(yōu)點(diǎn)：安全性較SPAP有了很大改進(jìn)，不用將密碼發(fā)送到網(wǎng)絡(luò)上。
缺點(diǎn)：安全性還不夠強(qiáng)健，但也不錯(cuò)、單向加密、單向認(rèn)證、通過認(rèn)證后不支持Microsoft點(diǎn)對(duì)點(diǎn)加密(MPPE)。

4、MS-CHAP

微軟版本的CHAP，和CHAP基本上一樣，區(qū)別我也不太清楚。認(rèn)證后支持MPPE，安全性要較CHAP好一點(diǎn)。

5、MS-CHAP V2

微軟版本的CHAP第二版，它提供了雙向身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用 MS-CHAP v2作為唯一的身份驗(yàn)證方法，那么客戶端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對(duì)自己身份的驗(yàn)證，則連接將被斷開。

優(yōu)點(diǎn)：雙向加密、雙向認(rèn)證、安全性相當(dāng)高。
缺點(diǎn)：不太清楚。

6、EAP：可擴(kuò)展的認(rèn)證協(xié)議

EAP可以增加對(duì)許多身份驗(yàn)證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗(yàn)證、證書及其他身份驗(yàn)證。最安全的認(rèn)證方法就是和智能卡一起使用的“可擴(kuò)展身份驗(yàn)證協(xié)議—傳輸層安全協(xié)議”，即EAP-TLS認(rèn)證。

優(yōu)點(diǎn)：安全性最好。
缺點(diǎn)：需要PKI（公鑰基礎(chǔ)設(shè)施）支持。（目前PKI還沒有真正建立起來）

總結(jié)：協(xié)議是一個(gè)非常復(fù)雜的內(nèi)容，不是三言兩語就能說清楚。但是，只要知道了這些基本內(nèi)容了，就足夠我們?cè)诖罱╒PN時(shí)使用了。如果想了解更多內(nèi)容，請(qǐng)查看RFC。

 

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。