PKI实验指导

实验一：安全web通信

【实验目的】

● 了解PKI体系

● 了解用户进行证书申请和CA颁发证书过程

● 掌握认证服务的安装及配置方法

● 掌握使用数字证书配置安全站点的方法

● 掌握使用数字证书发送签名邮件和加密邮件的方法

【实验人数】

每组3人

【系统环境】

Windows

【网络环境】

交换网络结构

【实验步骤】

本练习主机A、B、C为一组，D、E、F为一组。实验角色说明如下：

实验主机 实验角色

主机A、D CA（证书颁发机构）

主机B、E 服务器

主机C、F 客户端

1． 无认证（服务器和客户端均不需要身份认证）

通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。

客户端启动协议分析器，选择“文件”｜“新建捕获窗口”，然后单击工具栏中的开始按钮开始捕获；

客户端在IE浏览器地址栏中输入http://服务器IP，访问服务器Web服务。

成功访问到服务器Web主页面后，单击协议分析器捕获窗口工具栏中的刷新按钮，在“会话分析”视图中依次展开“会话分类树”｜“HTTP会话”｜“本机IP与同组主机IP 地址间的会话”,在端口会话中选择源或目的端口为80的会话，在右侧会话视图中选择名为“GET”的单次会话，并切换至“协议解析”视图。

通过协议分析器对HTTP会话的解析中可以确定，在无认证模式下，服务器与客户端的Web通信过程是以明文实现的。

2． 单向认证（仅服务器需要身份认证）

(1) CA（主机A）安装证书服务

主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，然后单击“下一步”。

在接下来的安装过程中依次要确定如下信息：

● CA类型（选择独立根CA）

● CA的公用名称（userGXCA，其中G为组编号（1-32），X为主机编号(A-F)，如第2组主机D，其使用的用户名应为user2D）

● 证书数据库设置（默认）

在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为C:\ExpNIS\Encrypt-Lab\Tools\WindowsCA\i386即可（若安装过程中出现提示信息，请忽略该提示继续安装）。

「注」 若安装过程中出现“Windows文件保护”提示，单击“取消”按钮，选择“是”继续；在证书服务安装过程中若网络中存在主机重名，则安装过程会提示错误；安装证书服务之后，计算机将不能再重新命

名，不能加入到某个域或从某个域中删除；要使用证书服务的Web组件，需要先安装IIS（本系统中已安装IIS）。

在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。

(2) 服务器（主机B）证书申请

「注」 服务器向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。

● 提交服务器证书申请

服务器在“开始”|“程序”｜“管理工具”中打开“Internet信息服务（IIS）管理器”，通过“Internet信息服务（IIS）管理器”左侧树状结构中的“Internet信息服务”|“计算机名（本地计算机）”|“网站”|“默认网站”打开默认网站，然后右键单击“默认网站”，单击”属性”。

在“默认网站 属性”的“目录安全性”页签中单击“安全通信”中的“服务器证书”，此时出现“Web服务器证书向导”，单击“下一步”。

在“选择此网站使用的方法”中，选择“新建证书”，单击“下一步”。

选择“现在准备证书请求，但稍后发送”，单击“下一步”。

填入有关证书申请的相关信息，单击“下一步”。

在“证书请求文件名”中，指定证书请求文件的文件名和存储的位置（默认c:\certreq.txt）。单击“下一步”直到“完成”。

● 通过Web服务向CA申请证书

服务器在IE浏览器地址栏中输入“http://CA的IP/certsrv/”并确认。

服务器依次单击“申请一个证书”|“高级证书申请”|“使用base64编码...提交一个申请”进入“提交一个证书申请或续订申请”页面。

打开证书请求文件certreq.txt，将其内容全部复制粘贴到提交证书申请页面的“保存的申请”文本框中，然后单击“提交”，并通告CA已提交证书申请，等待CA颁发证书。

● CA为服务器颁发证书

在服务器提交了证书申请后，CA在“管理工具”｜“证书颁发机构”中单击左侧树状结构中的“挂起的申请”项，会看到服务器提交的证书申请。右键单击服务器提交的证书申请，选择“所有任务”｜“颁发”，为服务器颁发证书（这时“挂起的申请”目录中的申请立刻转移到“颁发的证书”目录中，双击查看为服务器颁发的证书）。（下图角色A按照自己的内容截图至实验报告）

通告服务器查看证书。

(3) 服务器（主机B）安装证书

● 服务器下载、安装由CA颁发的证书

通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“保存的申请证书”，进入“证书已颁发”页面，分别点击“下载证书”和“下载证书链”，将证书和证书链文件下载到本地。

在“默认网站”｜“属性”的“目录安全性”页签中单击“服务器证书”按钮，此时出现“Web服务器证书向导”，单击“下一步”。

选择“处理挂起的请求并安装证书”，单击“下一步”。

在“路径和文件名”中选择存储到本地计算机的证书文件，单击“下一步”。

在“SSL端口”文本框中填入“443”，单击“下一步”直到“完成”。(下图角色B按照自己的内容截图至实验报告)

此时服务器证书已安装完毕，可以单击“目录安全性”页签中单击“查看证书”按钮，查看证书的内容（实验报告1.处填写问题）。

● 服务器下载、安装CA根证书

右键单击certnew.p7b证书文件，在弹出菜单中选择“安装证书”，进入“证书导入向导”页面，单击“下一步”按钮，在“证书存储”中选择“将所有的证书放入下列存储”，浏览选择“受信任的根证书颁发机构”｜“本地计算机”。

单击“下一步”按钮，直到完成。再次查看服务器证书。（实验报告2.处填写问题）。

(4) Web通信

服务器在“默认网站”｜“属性”的“目录安全性”页签“安全通信”中单击“编辑”按钮,选中“要求安全通道SSL”，并且“忽略客户端证书”（不需要客户端身份认证），单击“确定”按钮使设置生效。

客户端重启IE浏览器，在地址栏输入http://服务器IP/并确认，此时访问的Web页面如下。

客户端启动协议分析器，设置过滤条件：仅捕获客户端与服务器间的会话通信，并开始捕获数据。

客户端在IE浏览器地址栏中输入“https://服务器IP/”并确认，访问服务器Web服务。此时会出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”。

出现“安全警报”对话框询问“是否继续？”，单击“是”。此时客户端即可以访问服务器Web页面了。访问成功后，停止协议分析器捕获，并在会话分类树中找到含有客户端与

服务器IP地址的会话。（下图角色C按照自己的内容截图至实验报告）

在协议解析页面可观察到，服务器与客户端的Web通信过程是以密文实现的。

3． 双向认证（服务器和客户端均需身份认证）

(1) 服务器要求客户端身份认证

服务器在“默认网站”｜“属性”的“目录安全性”页签中单击“编辑”按钮，选中“要求安全通道SSL”，并且“要求客户端证书”，单击“确定”按钮使设置生效。 (2) 客户端访问服务器

客户端在IE浏览器地址栏中输入“https://服务器IP”访问服务器Web服务。此时弹出“安全警报”对话框，提示“即将通过安全连接查看网页”，单击“确定”，又弹出“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，但是没有数字证书可供选择。单击“确定”，页面出现提示“该页要求客户证书”。

(3) 客户端（主机C）证书申请

「注」 客户端向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。

● 登录CA服务主页面

客户端在确认CA已经启动了“证书颁发机构”服务后，通过IE浏览器访问http://CA的IP/certsrv/，可以看到CA证书服务的主页面。

● 客户端提交证书申请

在主页面“选择一个任务”中单击“申请一个证书”，进入下一页面。

在证书类型页面中选择“Web浏览器证书”，进入下一页面。

在“Web浏览器证书 - 识别信息”页面中按信息项目填写自己的相关信息。

上述信息填写完毕后，单击“提交”按钮提交识别信息，当页面显示“证书挂起”信息时，说明CA已经收到用户的证书申请，但是用户必须等待管理员颁发证书。

单击页面右上角的“主页”回到证书服务主页面。在“选择一个任务”中单击“查看挂起的证书申请的状态”进入下一页面，会看到“Web浏览器证书(提交申请时间)”。单击自己的证书申请，这时会看到证书的状态依然是挂起状态。

接下来请CA为客户端颁发证书。

● CA为客户端颁发证书

通告客户端查看证书。

● 客户端下载、安装证书链

客户端重新访问CA证书服务主页面，单击“查看挂起的证书申请的状态”，然后单击自己的证书申请。此时页面显示“证书已颁发”。单击“安装此证书”，对于弹出的“安全性警告”对话框选择“是”，这时页面显示信息“您的新证书已经成功安装”。

(4) 客户端查看颁发证书

客户端单击IE浏览器的“工具”｜“Internet选项”｜“内容”｜“证书”，会在“个人”页签中看到同组主机CA颁发给自己的证书。

(5)客户端再次通过https访问服务器

客户端重新运行IE浏览器并在地址栏中输入“https://服务器IP/bbs”并确认，访问服务器的Web服务。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，又出现“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，选择相应的数字证书，单击“确定”。出现“安全信息”提示“是否显示不安全的内容”，单击“否”。此时，客户端即可以访问服务器的Web服务。

身份认证与访问控制技术

第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种：用户物件认证；有关信息确认或体貌特征识别。 1. 身份认证的概念 认证（Authentication）是指对主客体身份进行确认的过程。 身份认证（Identity Authentication）是指网络用户在进入系统或访问受限系统资源时，系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段，也是计算机系统安全中的一项重要内容。从鉴别对象上，分为消息认证和用户身份认证两种。 （1）消息认证：用于保证信息的完整性和不可否认性。 （2）身份认证：鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份，验证是对访问者身份的合法性进行确认。 从认证关系上，身份认证也可分为用户与主机间的认证和主机之间的认证， 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态

短信密码和动态口令牌（卡）两种方式，口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素（两种认证方法） 认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即CA认证过程，如表5-1所示。 表5-1 证书的类型与作用 注：数字证书标准有：X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书，并提供各种证书服务，包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面： （1）管理和维护客户的证书和证书作废表 （CRL）。 （2）维护整个认证过程的安全。 （3）提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成

身份认证技术

身份认证技术百科名片 动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。 身份认证方法 在真实世界，对用户的身份认证基本方法可以分为这三种：(1) 根据你所知道的信息来证明你的身份(what you know ，你知道什么) ；(2) 根据你所拥有的东西来证明你的身份(what you have ，你有什么) ；(3) 直接根据独一无二的身体特征来证明你的身份(who you are ，你是谁) ，比如指纹、面貌等。在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。 以下罗列几种常见的认证形式： 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制如论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。 智能卡（IC卡） 一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。它利用what you have方法。 短信密码 短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点：（1）安全性由于手机与客户绑定比较紧密，短信密码生成与使用场景是物理隔绝的，因此密码在通路上被截取几率降至最低。（2）普及性只要会接收短信即可使用，大大降低短信密码技术的使用门槛，学习成本几乎为0，所以在市场接受度上面不会存在阻力。（3）易收费由于移动互联网用户天然养成了付费的习惯，这和PC时代互联网截然不同的理念，而且收费通道非常的发达，如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务，每月通过SP收费不会有阻力，因此也可增加收益。（4）易维护由于短信网关技术非常成熟，大大降低短信密码系统上马的复杂度和风险，短信密码业务后期

浅析身份认证技术

浙江财经大学东方学院学年论文论文题目：浅析身份认证技术 学生姓名戚佳佳指导教师张琼妮 分院信息专业名称计算机科学与技术班级11计算机（2）班学号 1120410211 2014 年 4 月 6 日

浅析身份认证技术 摘要：在这个信息化社会，计算机技术的发展使得信息安全问题倍受关注。为了保证信息的保密性以及信息的完整性和有效性，认证技术在日新月异的生活中引申了出来。数字签名技术在身份识别和认证、数据完整性、抗抵赖等方面具有其它技术所无法替代的作用，在这个高科技时代，出现了许多身份认证技术。身份认证技术也在不断的发展和改进。 关键词：身份认证;信息技术；物理身份认证；生物认证技术 1.身份认证技术的定义 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界，在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。所谓“没有不透风的墙”，你所知道的信息有可能被泄露或者还有其他人知道，杨子荣就是掌握了“天王盖地虎，宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的，这个物品有可能丢失，也有可能被人盗取，从而伪造这个人的身份。只有人的身体特征才是独一无二，不可伪造的，然而这需要我们对这个特征具有可靠的识别能力。 认证是指核实身份的过程，是防止主动攻击的重要技术。认证不能自动地提

基于身份的实验室认证登录管理系统

毕业论文（设计） 论文题目：基于身份的实验室认证登录管理系统 学生姓名：学号： 指导教师：职称： 院系：计算机学院 专业班级：08网络工程本科班 二○年月日

摘要 此次毕业设计主要是组织和设计，用有效的身份登录系统。具体的任务是：组织系统的功能模块设计和系统的详细设计；运用界面开发工具Visual Studio 2005和后台数据库SQL Server 2005，实现系统界面的设计，代码编写实现系统功能。基于身份的实验室认证登录管理系统的主要目标是支持教师对学生的一些实验考试，分数的查询，辅助管理员对实验室的管理，提高实验室的利用率，以少人力投入获得更好的实验资源的利用。 关键词:实验室管理系统，B/S，NET技术 1

基于身份的实验室认证登录系统 Abstract This graduation design is the main organization and design, with a valid ID login system. Specific tasks are: organization system function module design and detailed design of the system; application interface development tool of Visual Studio 2005 and SQL Server 2005database, realize the system interface design, code implementation of system functions. Identity based laboratory authentication management system the main goal is to support teachers and students to some of the experimental test, scores, assistant administrator of the laboratory management, to improve laboratory utilization ratio, less manpower input to obtain better experiment resource utilization. Key words: laboratory management system, B / S, NET Technology 2

网络安全实验报告身份验证

网络安全实验报告实验二：身份验证 班级： 学号： 姓名： 合作人： 时间： 2012.11.1-11.23

一、实验目的及任务 1、掌握关系数据库系统的基础知识和基本原理。 2、掌握一种关系数据库管理系统,如：Mysql 3、掌握一种软件开发工具JDK，Myeclipse、jsp、Struts2. 4、掌握开发语言jsp 5、能应用JSP开发工具进行b/s编写程序 6、掌握一种加密算法原理，如：MD5，用此算法对数据进行加密，并能编写程序实现 7、掌握浏览器/服务器模式的工作原理 8、编程实现认证系统，调试所编程序 9、观察程序运行结果 二、实验环境 1、浏览器 2、服务器 3、关系数据库管理系统(Mysql）、JDK. 三、实验原理 随着Internet的飞速发展，网络安全的地位日益突出。网络的安全措施应是能全方位地针对各种不同的威胁，这样才能确保网络信息的保密性、完整性和可用性。作为安全服务中的一种----实体认证尤为重要。在一个公开的分布式网络环境中，工作站上的用户希望访问分布在网络上的服务器资源。但网络上的资源仅允许授权用户的特定权限的访问，因此，在分布式网络中，必须提供一种机制来对用户的身份进行认证。现在常用的一些认证协议是基于B/S模式的三方验证协议，广泛应用于Internet服务的访问，网络中的认证协议服务起着可信仲裁者的作用。认证协议基于对称密码体制或非对称密码体制,可提供安全的客体认证。用户在客户机上登录，在登录界面上，输入用户名User和密码Password，用户名以正常字符显示，密码以星号显示，为了防止密码在网上传输被窃听者获取，用户输入的密码在客户机上加密(username)、(Password)，所以在网上传输的是经过加密的用户密码(username)、(Password)。即使偷听者知道密钥K，或者获取数据库的信息，所以即使都到信息加密(username)、(Password)，也得不到用户的明文密码(username)、(Password)。服务器接收客户机传输过来的信息，提取用户名User密文(username)、(Password)，存到数据库中。管理员在服务器数据库中，读出库中存贮的用户名与密码，与接收来的用户名与密码相比较，如果相等，则为合法用户，如果不相等，则为非法用户。 四．流程图如下：

数字鉴别与身份认证实验

基于X509证书和SSL协议的身份认证编程实现 实验的目的和意义 通过实验了解X509证书的生成过程，理解和实践基于公钥基础设施PKI的基本原理。理解PKI中各个组成部分，如CA的工作原理。如何产生CA的自签名证书，以及CA中心如何颁布证书，如何签名认证证书，如何作废证书的基本过程。 学习和使用OPENSSL体系进行编程，学习使用OPENSSL指令，学习使用OPENSSL 库。 实验的原理 证书(certificate)，有时候简称为cert，PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一。证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性。一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途，签名证书和加密证书分开。最常用的证书格式为X.509 v3。 X.509证书格式： 版本：1、2、3 序列号：在CA内部唯一 签名算法标识符：指该证书中的签名算法 签发人名字：CA的名字 有效时间：起始和终止时间 个体名字 个体的公钥信息：算法、参数、密钥 签发人唯一标识符：主体唯一标识符 扩展域 签名 X509标准PKIX： 1）署名用户向证明机构（CA）提出数字证书申请； 2）CA验明署名用户身份，并签发数字证书； 3）CA将证书公布到证书库中； 4）署名用户对电子信件数字签名作为发送认证，确保信件完整性，不可否认性，并发送给依赖方。 5）依赖方接收信件，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性； 6）证书库返回证书检查结果； 密钥/证书生命周期管理分三个阶段：初始化阶段，颁发阶段，取消阶段（证书过期、证书撤销）。 CA系统的主要内容： 概括地说，认证中心（CA）的功能有：证书发放、证书更新、证书撤销和

第三章 身份认证技术

第三章身份认证机制 学习目标：（方正大标宋简体四号）通过学习，要求了解在网络安全中的用户身份认证机制的几种常见形式：口令机制、数字证书的身份认证以及基于IC卡和生物特征的身份认证的原理和应用。 引例：（方正大标宋简体四号） 用户身份认证是对计算机系统中的用户进行验证的过程，让验证者相信正在与之通信的另一方就是他所声称的那个实体。用户必须提供他能够进入系统的证明。身份认证往往是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的崩溃，因此，身份认证是建立网络信任体系的基础。 3.1 口令机制（方正大标宋简体四号） 3.1.1什么是口令机制（黑体五号） 网络营销在计算机系统中口令机制是一种最常用、最简单的身份认证方法，一般由用户账号和口令（有的也称为密码）联合组成，如图3-1所示，口令用来验证对应用户账号的某人身份是否真的是计算机系统所允许的合法用户。

图3-1 QQ登陆时采用的口令认证机制 例如，当系统要求输入用户账号和密码时，用户就可以根据要求在适当的位置进行输入，输入完毕确认后，系统就会将用户输入的账号名和密码与系统的口令文件里的用户名和口令进行比较，如果相符，就通过了认证。否则拒绝登录或再次提供机会让用户进行认证。 基于口令的认证方式是最常用和最简单的一种技术，它的安全性仅依赖于口令，口令一旦泄露，用户就有可能被冒充，计算机系统的安全性也将不复存在。 在选用密码时，很多人习惯将特殊的日期、时间、或数字作为密码使用。例如将节假日、自己或家人的出生日期、家庭电话或手机号码身份证等数字作为密码，认为选择这些数字便于记忆。但是这些密码的安全性其实是很差的。 为什么这些口令不安全呢，我们还是先看看目前有哪些口令攻击的形式。 3.1.2什么是弱口令（黑体五号） 网络营销目前绝大多数计算机资源还是通过固定口令的方式来保护。而这种以固定口令为基础的认证方式存在很多问题，变得越来越脆弱。现在对口令的攻击主要包括以下几种： 1．字典攻击主要攻击者将有可能作为密码的放入字典中，例如，一般用户最喜欢的使用的数字、有意义的单词等，然后使用字典中的单词来尝试用户的密码。图3-2是口令字典的截图，它们只是口令字典中的很少一部分。

《信息安全技术》实验报告实验2.身份认证

实验序号： 2 《信息安全技术》实验报告 实验名称：身份认证 姓名：张德磊 学院：计算机科学与工程学院 专业：物联网工程 班级：物联网131 学号：092313121 指导教师：乐德广 实验地址：N6-106 实验日期：2015.9.24

实验2.1 Windows系统中基于帐户/密码的身份认证实验 1.请回答实验目的中的思考题。 (1)身份认证的基本方法有哪些？ 用户所知，即个人所知道的或掌握的知识，如密码/帐户。 用户所有，即个人所拥有的东西，如磁卡、条码卡、IC卡或智能令牌等各种智能卡。 用户个人特征，即个人所具有的个人生物特性，如指纹、掌纹、声纹、脸型、DNA或视网膜等。 (2)Windows系统身份认证基本原理是什么？ 基于用户所知的验证手段。在身份认证过程中，系统收到用户输入的帐户/密码，系统将根据帐户信息从系统的帐户密码信息表中查询该帐户所对应的密码信息。然后进行比较，如果一致，则认为该任务合法，身份认证通过。如果不一致，则认为不是合法用户，无法通过身份认证。 2.结合实验，说明在Windows中实现帐户/密码认证的操作步 （1）说明在Windows取消自动登录功能操作步骤。 （1）禁用掉使用欢迎屏幕。如图1.1、1.2。 1.1

1.2 （2）设置帐户/密码登录身份认证。如图1.3。 点击Windows开始菜单，在运行中执行”rundll32 netplwiz.dll,UsersRunDll “，在弹出的窗口中，选中取消自动登录的用户。然后选用“要使用本机，用户必须。输入用户名和密码”，点击并确认。 1.3

(2)说明创建Windows系统账户操作步骤。如图1.4、1.5。 （1）打开用户帐户管理 1.4 （2）设置新帐户名 1.5

电子商务实验报告之CA认证

实验项目名称CA认证 一、实验目的：了解CA认证的基本作用，如何安装，如何使用。 二、实验要求：通过亲身实践，掌握国内外数字认证的申请和使用。 三、实践内容和步骤 1. 美国Verisign公司https://www.wendangku.net/doc/ba6138574.html,/（推荐，注意要申请两个月的免费选项） （申请路径：https://https://www.wendangku.net/doc/ba6138574.html,/client/enroll.htm 查询证书状况的路径： https://https://www.wendangku.net/doc/ba6138574.html,/services/client/index.html） 2.国内天威诚信https://https://www.wendangku.net/doc/ba6138574.html,/cscfree/ ●申请一个安全电子邮件认证。 ●使用这个认证，发送一封邮件给朋友。 3.进入中国数字认证网，https://www.wendangku.net/doc/ba6138574.html,,下载一个标准根CA365证书，并安装和查看该证书。 ●导出安装的标准根CA证书，并以你自己的名字命名，然后发到 电子邮箱。 ●进入中国数字认证网，用表格申请一个标准证书，证书用途为代 码签名证书，申请过程中记下所申请的证书序列号，然后安装该证书，安装完后到处该证书，并以自己名字命名，然后连同序列号一起发到电子信箱。 四、实验结论 通过亲身实验，认识数字认证，了解数字认证。实验报告包含以

下几个方面内容： 认证的地址，内容，何种认证，怎么使用等，以及你自己的个人感觉。 以前我虽进行过一些网上交易，也知道有数字认证，不过只是根据操作的提示安装一个什么数字认证书的（这是我在淘宝交易里支付宝中要涉及到数字认证书），也简单的知道它可以提高网上交易活动的诚实可靠性，不过只是简单的知道一点点。以下是我在网上仔细了解的数字认证的定义及功能和数字证书的作用。 CA（Certificate Authority)即"认证机构"，是负责签发证书、认证证书、管理已颁发证书的机构，是PKI的核心。CA要制定政策和具体步骤来验证、识别用户的身份，对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA也拥有自己的证书（内含共钥）和私钥，网上用户通过验证CA的签字从而信任CA，任何用户都可以得到CA的证书，用以验证它所签发的证书。CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构。 数字证书是公开密钥体系的一种密钥管理媒介。是一种权威的电子文档，形同网络环境中的一种身份证，用于证明某一主体（如组织机构、人、服务器等）的身份及其公开密钥的合法性，又称为数字ID。数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易