第一篇：CA認(rèn)證及其應(yīng)用實(shí)驗(yàn)報(bào)告 李隴萬 網(wǎng)絡(luò)082 21號(hào)

CA認(rèn)證及其應(yīng)用

李隴萬 網(wǎng)絡(luò)082 21號(hào)

1.實(shí)驗(yàn)?zāi)康模?/p>

掌握獨(dú)立根證書、企業(yè)證書的制作與頒發(fā)；掌握證書服務(wù)操作也web站點(diǎn)申請(qǐng)證書；掌握ssl應(yīng)用與web安全連接.2.證書組件的安裝：

點(diǎn)擊開始-——設(shè)置——控制面板——添加和刪除程序——添加和刪除windows組件——證書服務(wù)——獨(dú)立根ca，然后點(diǎn)擊下一步，根據(jù)提示分別填入ca的名稱和有限期，進(jìn)入證書數(shù)據(jù)庫設(shè)置，分別選擇證書數(shù)據(jù)庫、證書數(shù)據(jù)庫日志、共享文件夾的路徑，點(diǎn)擊下一步完成證書組件的安裝。

證書組件的檢驗(yàn)：點(diǎn)擊開始——程序——管理工具，找到證書頒發(fā)機(jī)構(gòu)，證明ca安裝完成.3.申請(qǐng)ca證書：

打開證書服務(wù)主頁“http://CA主機(jī)的IP地址CertSrv”選擇“申請(qǐng)一個(gè)證書”項(xiàng)，在接下來的頁面選擇“Web瀏覽器證書”項(xiàng)（即該證書用于獲得SSL協(xié)議的Web頁面的訪問權(quán)），在打開的頁面填寫完有關(guān)用戶的身份信息后點(diǎn)擊“提交”按鈕。在ＣＡ服務(wù)器響應(yīng)會(huì)顯示出CA服務(wù)器已經(jīng)收到證書申請(qǐng)，在此已經(jīng)完成證書申請(qǐng)，等待根ＣＡ發(fā)布該證書。

*打開證書服務(wù)主頁

*選擇用戶證書申請(qǐng)

*填寫有關(guān)用戶信

*證明證書申請(qǐng)已經(jīng)完成4.證書的頒發(fā)：

在根CA所在的計(jì)算機(jī)上單擊開始——程序——管理工具——證書頒發(fā)機(jī)構(gòu)——掛起的申請(qǐng)，然后在證書上單擊右鍵，選擇所有任務(wù)——頒發(fā)進(jìn)行證書頒發(fā)。

第二篇：網(wǎng)絡(luò)銀行CA認(rèn)證

課題序號(hào)授課課時(shí)授課章節(jié)名稱使用教具 4

授課班級(jí)授課形式項(xiàng)目教學(xué)

網(wǎng)絡(luò)銀行 CA 認(rèn)證黑板、幻燈機(jī)、電腦

教學(xué)目的數(shù)字證書的概念與作用掌握個(gè)人網(wǎng)上銀行的注冊(cè)過程數(shù)字證書的申請(qǐng)及安裝數(shù)字證書的導(dǎo)入及導(dǎo)出個(gè)人網(wǎng)上銀行注冊(cè)、使用

教學(xué)重點(diǎn)

數(shù)字證書的概念與作用

教學(xué)難點(diǎn)更新、補(bǔ)充、刪節(jié)內(nèi)容課外作業(yè)

個(gè)人網(wǎng)上銀行注冊(cè)、使用

真實(shí)的辦一張網(wǎng)上銀行卡

教學(xué)后記

授課主要內(nèi)容或板書設(shè)計(jì)

項(xiàng)目十網(wǎng)絡(luò)銀行 CA 認(rèn)證 10.1 數(shù)字證書，數(shù)字簽名數(shù)字證書的含義數(shù)字證書的申請(qǐng)數(shù)字簽名、加密電子郵件 10.2 個(gè)人網(wǎng)銀的開通 10.3 CA 認(rèn)證

課堂教學(xué)安排

教學(xué)過程導(dǎo)入 10 分鐘主要教學(xué)內(nèi)容及步驟

1.1 數(shù)字證書的含義

由于 Internet 網(wǎng)電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息,但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn).為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性,保密性等，防范交易及支付過程中的欺詐行為，必須在網(wǎng)上建立一種信任機(jī)制。這就要求參加電子商務(wù)的買方和賣方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無誤的被進(jìn)行驗(yàn)證。數(shù)字證書是一種權(quán)威性的電子文檔。它提供了一種在 Internet 上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)----CA 證書授權(quán)(Certificate Authority)中心發(fā)行的，人們可以在互聯(lián)網(wǎng)交往中用它來識(shí)別對(duì)方的身份。當(dāng)然在數(shù)字證書認(rèn)證的過程中，證書認(rèn)證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。數(shù)字證書也必須具有唯一性和可靠性。為了達(dá)到這一目的，需要采用很多技術(shù)來實(shí)現(xiàn)。通常，數(shù)字證書采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所有的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。通過數(shù)字的手段保證加密過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，用戶可以公開其公開密鑰，而保留其私有密鑰。數(shù)字證書頒發(fā)過程一般為：用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來...，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級(jí)別的可信度。可以從證書發(fā)行機(jī)構(gòu)獲得您自己的數(shù)字證書。

正文申請(qǐng)數(shù)字證書 1 課時(shí)

1.2 數(shù)字證書的申請(qǐng)

以申請(qǐng)中國(guó)數(shù)字認(rèn)證網(wǎng)（http://）免費(fèi)證書為例。

為了建立數(shù)字證書的申請(qǐng)人與 CA 認(rèn)證中心的信任關(guān)系，保證申請(qǐng)證書時(shí)信息傳輸?shù)陌踩?，在申?qǐng)數(shù)字證書前，需要下載并安裝根 CA 證書。瀏覽器的 Internet 安全選項(xiàng)一定要設(shè)置成默

認(rèn)的中級(jí)或以下安全級(jí)別如下圖所示；停止客戶端的防火墻等工具中對(duì) ActiveX 下載安裝的攔截。

→

1、下載并安裝根 CA 證書、進(jìn)入中國(guó)數(shù)字認(rèn)證網(wǎng)（http://）。訪問中國(guó)數(shù)字認(rèn)證網(wǎng)首頁時(shí)，如果客戶端沒有安裝根證書，系統(tǒng)會(huì)提示用戶自動(dòng)安裝。在安裝過程中會(huì)顯示“安全警告”和“潛在腳本沖突” 提示框，對(duì)于上述提示一定要選擇“是”。根證書是 CA 認(rèn)證中心給自己頒發(fā)的證書,是信任鏈的起始點(diǎn)。安裝根證書意味著對(duì)這個(gè) CA 認(rèn)證中心的信任。

如果不能自動(dòng)安裝根證書可以采取以下方法手動(dòng)安裝。在中國(guó)數(shù)字認(rèn)證網(wǎng)首頁“免費(fèi)證書”欄中單擊“根 CA 證書”，然后選擇“在文件的當(dāng)前位置打開”。選擇 “安裝證書” 按向?qū)崾景惭b，“根證書存儲(chǔ)”。在窗口選擇 “是”。

→

2、查看證書、根證書成功安裝后成為“受信任的根證書頒發(fā)機(jī)構(gòu)”。從瀏覽器的菜單中選擇“工具/Internet 選項(xiàng)”，打開“Internet 選項(xiàng)”對(duì)話框。在對(duì)話框中選擇“內(nèi)容”選項(xiàng)卡，單擊“證書”，選擇“受信任的根證書頒發(fā)機(jī)構(gòu)” 選項(xiàng)卡，列表中應(yīng)該有相應(yīng)的根證書，如下圖所示，單擊“查看”可以進(jìn)一步查看證書的詳細(xì)信息。

→

3、申請(qǐng)個(gè)人證書、在首頁“免費(fèi)證書”欄中單擊“用表格申請(qǐng)證書”，打開如下圖所示窗口，填寫相應(yīng)內(nèi)容，在證書用途中選擇“電子郵件保證證書”，填寫完成后單擊“提交”。

如上圖所示，單擊“提交”，證書申請(qǐng)成功后系統(tǒng)將會(huì)返回你的“證書序列號(hào)”，如下圖所示，單擊“直接安裝證書”，方法同“根 CA 證書” 安裝。

查看證書。從瀏覽器的菜單中選擇“工具/Internet 選項(xiàng)”對(duì)話框。在對(duì)話框中選擇“內(nèi)容”選項(xiàng)卡，單擊“證書”，選擇“個(gè)人證書”選項(xiàng)卡，列表中有相應(yīng)的個(gè)人證書信息，單擊“查看”可以進(jìn)一步查看證書詳細(xì)信息。→

4、導(dǎo)出證書、從瀏覽器...的菜單中選擇“工具/Internet 選項(xiàng)”，打開“Internet 選項(xiàng)”

對(duì)話框。在對(duì)話框中選擇“內(nèi)容”選項(xiàng)卡，單擊“證書”，選擇“個(gè)人證書”選項(xiàng)卡，在列表中選擇所要導(dǎo)出的證書，如下圖所示，單擊“導(dǎo)出”。

“私鑰”為用戶個(gè)人所有，不能泄露給其他人，否則其他人可以用它冒充你的名義簽名。如果是為了保留證書備份而復(fù)制證書，選擇“是，導(dǎo)出私鑰”，如下圖所示，如果為了發(fā)送加密郵件或其他用途，不要導(dǎo)出私鑰。如果在申請(qǐng)證書時(shí)沒有選擇“標(biāo)記密鑰為可導(dǎo)出”，則不能導(dǎo)出私鑰。輸入私鑰保護(hù)密碼，如果在申請(qǐng)證書時(shí)沒有選擇“啟用來格密鑰保護(hù)”，沒有密碼提示。指定要導(dǎo)出的文件名。單擊“瀏覽”可選擇存儲(chǔ)目標(biāo)磁盤和目錄，如下圖所示，單擊“下一步”后按提示進(jìn)行操作。

→

5、導(dǎo)入數(shù)字證書、特別提示：中國(guó)數(shù)字認(rèn)證網(wǎng)提供四種類型的數(shù)字證書： “測(cè)試證書”、“免費(fèi)證書”、“標(biāo)準(zhǔn)證書”和“企業(yè)證書”，使用不同的證書需要安裝相應(yīng)的根證書，設(shè)置“受信任的根證書頒發(fā)機(jī)構(gòu)”的實(shí)質(zhì)就是安裝根證書。使用數(shù)字證書 1 課時(shí)

1.3 數(shù)字簽名、加密電子郵件

實(shí)訓(xùn)內(nèi)容：王華欲向張星訂購 2 臺(tái)電腦，張星將報(bào)價(jià)單及配置說明以數(shù)字簽名電子郵件方式發(fā)送給王華；王華收到郵件后，將訂單以加密郵件的方式發(fā)送給張星。說明：張星給王華發(fā)送簽名郵件，要求張星已申請(qǐng)數(shù)字證書，并已正確安裝了自己的“電子郵件保護(hù)證書”并用證書發(fā)送簽名郵件（注：要使用的電子郵件地址必須與申請(qǐng)證書時(shí)填寫的電子郵件地址一致）。

→

1、OutLook Express 發(fā)送數(shù)字簽名電子郵件、從OutLook Express 主菜單中選擇“工具/帳戶”，單擊“郵件”選項(xiàng)卡后選擇賬戶，單擊“屬性”，如下圖所示。

選擇“安全”選項(xiàng)卡，單擊“簽署證書”中的“選擇”，如下圖所示，單擊“確定”。

發(fā)送郵件時(shí)，在“新郵件”窗口選擇主菜單“工具/數(shù)字簽名”，收件人地址欄后面出現(xiàn)“簽名”標(biāo)志，如下圖所示

輸入收件人（王華）的電子郵件地址、內(nèi)容并插入附件，發(fā)送郵件。閱讀帶數(shù)字簽名的郵件。當(dāng)

收件人（王華）收到郵件后，首次打開或預(yù)覽帶數(shù)字簽名或加密的郵件時(shí)，OutLook Express 會(huì)顯示幫助屏幕。如果接收有問題的安全郵件（如郵件已被篡改或發(fā)件人的數(shù)字標(biāo)識(shí)已過期），則在被允許閱讀郵件內(nèi)容前，會(huì)看到一條安全警告，它詳細(xì)說明了問題所在。根據(jù)警告中的信息，可以決定是否查看郵件。單擊“數(shù)字簽名標(biāo)志”，可進(jìn)一步查看數(shù)字簽名詳細(xì)信息。→

2、OutLook Express 發(fā)送加密郵件、說明：王華給...張星發(fā)送加密郵件，發(fā)送加密郵件前必須正確安裝了對(duì)方（張星）的“電子郵件保護(hù)證書”，只要請(qǐng)對(duì)方用他的“電子郵件保護(hù)證書”給你發(fā)送一個(gè)數(shù)字簽名郵件，或在相應(yīng)數(shù)字認(rèn)證網(wǎng)下載（前提是對(duì)方證書允許查詢），證書會(huì)自動(dòng)安裝并與對(duì)方 E-mail 地址綁定。如果未能自動(dòng)安裝“電子郵件保護(hù)證書”，需要手工安裝對(duì)方“電子郵件保護(hù)證書” 從OutLook Express 主菜單中選擇。“工具/選項(xiàng)” 選擇，“安全”選項(xiàng)卡，單擊“數(shù)字標(biāo)識(shí)”，打開“證書”窗口，如下圖：

導(dǎo)入數(shù)字證書。單擊“導(dǎo)入”，打開“證書導(dǎo)入向?qū)А睂?duì)話框，單擊 “瀏覽”指定要導(dǎo)入的文件（選擇對(duì)方“張星”證書的文件名）。單擊“下

一步”。單擊“瀏覽”，選擇“其他人”，如下圖所示，單擊“下一步”，安裝對(duì)方數(shù)字證書。其他人

發(fā)送郵件時(shí)，在“新郵件”窗口選擇菜單“工具/加密”，收件人地址欄后面出現(xiàn)“加密”標(biāo)志。輸入對(duì)方（張星）郵件地址、郵件內(nèi)容并插入附件，發(fā)送郵件。對(duì)方（張星）收到加密郵件后，顯示正在閱讀保護(hù)內(nèi)容，“確定” 單擊，顯示“安全幫助”及相關(guān)的安全信息。網(wǎng)上銀行的使用 1 課時(shí)

1.4 網(wǎng)上銀行的注冊(cè)

以中國(guó)工商銀行網(wǎng)上銀行為例，中國(guó)工商銀行網(wǎng)上銀行可以到營(yíng)業(yè)網(wǎng)點(diǎn)辦理注冊(cè)，也可以在網(wǎng)上銀行自助注冊(cè)，下是網(wǎng)上銀行自助注冊(cè)過程。步驟一進(jìn)入工商銀行網(wǎng)上銀行首頁（http://.cn）如下圖所示

步驟二單擊“個(gè)人網(wǎng)上銀行登錄”欄目下的“注冊(cè)”，顯示“網(wǎng)上自助注冊(cè)須知”，閱讀后單擊“注冊(cè)個(gè)人網(wǎng)上銀行”，如下圖所示

步驟三顯示“中國(guó)工商銀行電子銀行個(gè)人客戶服務(wù)協(xié)議”，仔細(xì)閱讀后單擊“接受此協(xié)議”，輸入要注冊(cè)的銀行卡卡號(hào)，單擊“提交”。按要求填寫資料，單擊“提交”正確填寫資料。步驟四網(wǎng)上銀行登錄。在工商銀行首頁，“個(gè)人網(wǎng)上銀行登錄” 單擊窗口，按提示輸入信息，登錄成功后進(jìn)入“個(gè)人網(wǎng)上銀行”首頁，顯示所有可進(jìn)行的操作。特別提示：進(jìn)入網(wǎng)上銀行要直接輸入網(wǎng)址，不要使用搜索引擎。特別提示：進(jìn)入網(wǎng)上銀行要直接輸入網(wǎng)址，不要使用搜索引擎。虛擬使用 1 課時(shí)

1.5 使用網(wǎng)上銀行

進(jìn)入中國(guó)工商銀行首頁，在“用戶登錄”欄目下，使用“演示”功能，體驗(yàn)網(wǎng)上銀行的各項(xiàng)功能。另外，還可以進(jìn)入中國(guó)建設(shè)銀行首頁，“演使用示”功能。...

第三篇：電子商務(wù)實(shí)驗(yàn)報(bào)告之CA認(rèn)證

實(shí)驗(yàn)項(xiàng)目名稱

CA認(rèn)證

一、實(shí)驗(yàn)?zāi)康模?/p>

了解CA認(rèn)證的基本作用，如何安裝，如何使用。

二、實(shí)驗(yàn)要求： 通過親身實(shí)踐，掌握國(guó)內(nèi)外數(shù)字認(rèn)證的申請(qǐng)和使用。

三、實(shí)踐內(nèi)容和步驟

1.美國(guó)Verisign公司 http://004km.cn/cscfree/ ? 申請(qǐng)一個(gè)安全電子郵件認(rèn)證。? 使用這個(gè)認(rèn)證，發(fā)送一封郵件給朋友。

3.進(jìn)入中國(guó)數(shù)字認(rèn)證網(wǎng)，004km.cn/cscfree/、中國(guó)數(shù)字認(rèn)證網(wǎng)004km.cn）申請(qǐng)了數(shù)字證書，不過有些操作還是不甚了解，不過我相信自己以后能夠把它應(yīng)用好的！

證書如下：天威誠(chéng)信和中國(guó)數(shù)字認(rèn)證網(wǎng)（證書序列號(hào)： 21C6F991433429AF）

第四篇：電子商務(wù)實(shí)驗(yàn)報(bào)告之CA認(rèn)證

實(shí)驗(yàn)項(xiàng)目名稱

CA認(rèn)證

一、實(shí)驗(yàn)?zāi)康模?/p>

了解CA認(rèn)證的基本作用，如何安裝，如何使用。

二、實(shí)驗(yàn)要求： 通過親身實(shí)踐，掌握國(guó)內(nèi)外數(shù)字認(rèn)證的申請(qǐng)和使用。

三、實(shí)踐內(nèi)容和步驟

1.美國(guó)Verisign公司 http://004km.cn/cscfree/ ? 申請(qǐng)一個(gè)安全電子郵件認(rèn)證。? 使用這個(gè)認(rèn)證，發(fā)送一封郵件給朋友。

3.進(jìn)入中國(guó)數(shù)字認(rèn)證網(wǎng)，004km.cn/cscfree/、中國(guó)數(shù)字認(rèn)證網(wǎng)004km.cn）申請(qǐng)了數(shù)字證書，不過有些操作還是不甚了解，不過我相信自己以后能夠把它應(yīng)用好的！

證書如下：天威誠(chéng)信和中國(guó)數(shù)字認(rèn)證網(wǎng)（證書序列號(hào)： 21C6F991433429AF）

第五篇：網(wǎng)絡(luò)管理—基于端口的認(rèn)證管理配置 實(shí)驗(yàn)報(bào)告

網(wǎng)絡(luò)管理實(shí)驗(yàn)報(bào)告

—基于端口的認(rèn)證管理配置

學(xué)院：計(jì)算機(jī)學(xué)院

班級(jí)：

姓名：

學(xué)號(hào)：

實(shí)驗(yàn)二

基于端口的認(rèn)證管理配置

【實(shí)驗(yàn)?zāi)康摹?/p>

1、熟練掌握IEEE802.1X的工作原理

2、熟悉AAA身份認(rèn)證機(jī)制

3、掌握RADIUS服務(wù)器的配置

【預(yù)備知識(shí)】

1、AAA概念和基本原理

2、IEEE802.1X

3、配置交換機(jī)與RADIUS SERVER之間通訊

【實(shí)現(xiàn)功能】

實(shí)現(xiàn)LAN接入的安全身份認(rèn)證。

【實(shí)驗(yàn)拓?fù)洹?/p>

PC1 192.168.0.44/24

RG-S2126G

192.168.0.2/24

RG-SAM Server

192.168.0.185/24

【實(shí)驗(yàn)原理】

無線局域網(wǎng)技術(shù)標(biāo)準(zhǔn)自1997年公布以來，使人們能更方便、靈活、快捷地訪問網(wǎng)絡(luò)資源，擺脫了傳統(tǒng)有線網(wǎng)絡(luò)的線纜束縛，隨時(shí)隨地的訪問使用Internet網(wǎng)絡(luò)。手機(jī)、筆記本電腦等個(gè)人無線接入終端設(shè)備和無線組網(wǎng)設(shè)備因?yàn)閮r(jià)格不斷下降的大規(guī)模普及，越來越多的單位和家庭使用無線局域網(wǎng)進(jìn)行組網(wǎng)，導(dǎo)致無線網(wǎng)絡(luò)安全問題日益凸顯。早期的無線局域網(wǎng)安全防范僅靠WEP協(xié)議[1]，即有線等效加密（Wired Equivalent Privacy）保護(hù)網(wǎng)絡(luò)的安全。由于無線電的開放性，以及WEP技術(shù)本身的缺陷導(dǎo)致它特別容易被竊聽和破解。根據(jù)資料顯示在一個(gè)繁忙的WEP無線網(wǎng)通過嗅探工具可以在短短的數(shù)分鐘內(nèi)破解，并且現(xiàn)在大量的破解工具流傳于網(wǎng)絡(luò)并有相關(guān)專用設(shè)備出售，嚴(yán)重危害無線網(wǎng)絡(luò)的安全。因此WEP標(biāo)準(zhǔn)在2003年被 Wi-Fi Protected Access(WPA)淘汰，又在2004年由完整的 IEEE 802.11i 標(biāo)準(zhǔn)（又稱為 WPA2）所取代[2]。無線局域網(wǎng)802.11i標(biāo)準(zhǔn)中使用802.1x認(rèn)證和密鑰管理方式保障無線網(wǎng)絡(luò)的安全性。盡管802.11i支持預(yù)WPA和WPA2加密下的共享密碼，但如果只使用預(yù)共享密碼保障校園網(wǎng)安全，可能面臨密碼外泄后，知道密碼的非授權(quán)用戶也能使用校園網(wǎng)絡(luò)的安全隱患。

所以校園無線網(wǎng)建設(shè)過程中建立一套安全可靠高效的用戶認(rèn)證機(jī)制顯得尤為迫切。本文就在Windows系統(tǒng)平臺(tái)下使用免費(fèi)Radius軟件TekRadius構(gòu)建基于PEAP技術(shù)的Radius認(rèn)證服務(wù)器，保護(hù)校園無線局域網(wǎng)的安全進(jìn)行探討。802.1X概述

IEEE802.1X[3]是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)，全稱是“基于端口的網(wǎng)絡(luò)接入控制”協(xié)議，早期802.1x標(biāo)準(zhǔn)僅為有線網(wǎng)設(shè)計(jì)，并廣泛應(yīng)用于有線以太網(wǎng)中。最新版802.1X協(xié)議針對(duì)無線局域網(wǎng)的特點(diǎn)進(jìn)行修訂，針對(duì)無線局域網(wǎng)的認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)進(jìn)行了相關(guān)技術(shù)優(yōu)化。IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(luò)之前運(yùn)行，運(yùn)行于網(wǎng)絡(luò)中的數(shù)據(jù)鏈路層，EAP協(xié)議RADIUS協(xié)議。

無線局域網(wǎng)中802.1X協(xié)議的體系結(jié)構(gòu)包括三個(gè)重要的部分：客戶端系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器，無線局域網(wǎng)中802.1X的拓?fù)浣Y(jié)構(gòu)如圖1所示。

客戶端系統(tǒng)(Supplicant System)通常是一個(gè)用戶終端系統(tǒng)，在無線局域網(wǎng)中即為支持WiFi的筆記本電腦、手機(jī)等終端系統(tǒng)，該系統(tǒng)通常無需安裝第三方客戶軟件，windows XP系統(tǒng)內(nèi)置了相關(guān)模塊，能夠發(fā)起并完成802.1x協(xié)議的認(rèn)證過程。

認(rèn)證系統(tǒng)(Authenticator System)即認(rèn)證者，在無線局域網(wǎng)中就是無線接入點(diǎn)AP(Access Point)或路由器，在認(rèn)證過程中起“轉(zhuǎn)發(fā)”作用。認(rèn)證系統(tǒng)只是把客戶端發(fā)起的認(rèn)證信息轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器完成相關(guān)認(rèn)證。

認(rèn)證服務(wù)器(Authentication Server System)通常為RADIUS服務(wù)器，在該服務(wù)器上存儲(chǔ)用戶名和密碼、訪問控制列表等相關(guān)用戶信息。在客戶端發(fā)起認(rèn)證時(shí)，由認(rèn)證服務(wù)器對(duì)客戶端用戶信息與儲(chǔ)存資料進(jìn)行鑒別驗(yàn)證，該申請(qǐng)者是否為授權(quán)用戶。PEAP協(xié)議

EAP可擴(kuò)展認(rèn)證機(jī)制(Extensible Authentication Protocol)是一個(gè)普遍使用的認(rèn)證機(jī)制，它常被用于無線網(wǎng)絡(luò)或點(diǎn)到點(diǎn)的連接中。EAP不僅可以用于無線局域網(wǎng)，而且可以用于有線局域網(wǎng)，但它在無線局域網(wǎng)中使用的更頻繁。

PEAP受保護(hù)的可擴(kuò)展身份驗(yàn)證協(xié)議是由CISCO、微軟和RSA Security聯(lián)合提出的開放標(biāo)準(zhǔn)，是WPA2標(biāo)準(zhǔn)[4]中被正式采納的7類認(rèn)證機(jī)制之一。并已被廣泛的運(yùn)用在各種產(chǎn)品中，為網(wǎng)絡(luò)提供安全保障。它在設(shè)計(jì)上和EAP-TLS相似，但只需要通過服務(wù)器端的證書來建立一個(gè)安全的傳輸層安全通道（TLS）以保護(hù)用戶認(rèn)證信息的安全。它分兩個(gè)階段進(jìn)行：第一階段建立單項(xiàng)服務(wù)器認(rèn)證的TLS隧道；第二階段在該隧道保護(hù)下，對(duì)客戶端進(jìn)行EAP-MS-CHAPv2等基于EAP的方式認(rèn)證。與EAP-TLS采用的雙向證書驗(yàn)證方式相比，PEAP較好的在保障無線網(wǎng)絡(luò)安全性和認(rèn)證系統(tǒng)的布署難度之間找到一個(gè)平衡點(diǎn)。在校園無線網(wǎng)絡(luò)訪問控制中應(yīng)用基于PEAP技術(shù)認(rèn)證802.1X，可以為無線局域網(wǎng)提供安全可靠的授權(quán)訪問控制解決方案。TekRadius系統(tǒng)安裝與配置

TekRADIUS是一個(gè)windows下使用的功能強(qiáng)大并免費(fèi)的RADIUS 服務(wù)器軟件，使用微軟SQL數(shù)據(jù)庫作為支撐數(shù)據(jù)庫，支持EAP-MD5, EAP-MS-CHAP v2, PEAP(PEAPv0-EAP-MS-CHAP v2)等多種接入認(rèn)證方式。安裝平臺(tái)

1)安裝SQL數(shù)據(jù)庫設(shè)置sa賬戶；Radius默認(rèn)情況下以sa用戶訪問使用SQL數(shù)據(jù)庫。

2)安裝TekRadius軟件：從004km.cn=Servername /K:1024 /V:365 /S:1 /P:443”產(chǎn)生并獲取系統(tǒng)所需數(shù)字證書[6]，至此Radius服務(wù)器的配置完成。無線AP配置步驟

無線AP配置：登錄Dlink-615無線路由器，依次點(diǎn)擊“安裝→無線安裝→手動(dòng)無線因特網(wǎng)安裝→設(shè)置無線模式為AccessPoint，SSID為WlanTest 安全模式設(shè)置為WPA2，密碼類型選擇AES，設(shè)置為EAP模式，802.1X中填寫服務(wù)器地址、認(rèn)證端口及通信密碼（與Radius服務(wù)器相同）”。PC客戶端配置

在筆記本上打開無線網(wǎng)卡Atheros客戶端程序[7]點(diǎn)擊“配置文件管理→新建，填寫配置文件名，SSID為Wlan（與AP中相同）→點(diǎn)擊安全，設(shè)置安全項(xiàng)802.1X，類型設(shè)為PEAP（EAP-MSCHAPv2），然后點(diǎn)擊配置，選擇使用用戶名和密碼進(jìn)行連接，設(shè)置用于登錄的用戶名和密碼，再點(diǎn)設(shè)置設(shè)置服務(wù)器域名和用戶名”，確定完成設(shè)置并啟用設(shè)置文件，筆記本通過驗(yàn)證正常介入并訪問使用因特網(wǎng)。討論

經(jīng)過上述的配置服務(wù)器數(shù)據(jù)庫中的合法用戶就可以在連接到無線網(wǎng)絡(luò)時(shí)，在WPA2保護(hù)的無線網(wǎng)絡(luò)中通過PEAP方式進(jìn)行身份驗(yàn)證，訪問使用Internet網(wǎng)絡(luò)。由于SQL數(shù)據(jù)庫的使用，可以方便的用戶數(shù)據(jù)管理備份等工作提高了管理效率，并解決了WEP保護(hù)下的無線網(wǎng)絡(luò)存在WEP密碼被暴力破解帶來的安全問題和使用預(yù)共享密碼接入網(wǎng)絡(luò)存在的共享密碼泄露可能帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

較好地解決了校園無線局域網(wǎng)的安全性問題，使得授權(quán)用戶訪問Internet網(wǎng)絡(luò)應(yīng)用擺脫線纜的束縛更加方便并阻止非法用戶的入侵。由于應(yīng)用的PEAP認(rèn)證方式在服務(wù)器安裝數(shù)字證書大大的提高了無線局域網(wǎng)的安全性。

【實(shí)驗(yàn)步驟】

1、交換機(jī)配置

第一步：查看交換機(jī)版本信息 驗(yàn)證測(cè)試：

查看交換機(jī)版本信息：

Switch>show version System description

: Red-Giant Gigabit Intelligent Switch(S2126G)By

Ruijie Network System uptime

: 0d:0h:8m:40s System hardware version : 3.3 System software version : 1.5(1)Build Mar 3 2005 Temp System BOOT version

: RG-S2126G-BOOT 03-02-02 System CTRL version

: RG-S2126G-CTRL 03-05-02 Running Switching Image : Layer2 Switch> 第二步：初始化交換機(jī)配置

所有的交換機(jī)在開始進(jìn)行配置前，必需先進(jìn)行初始化，清除原有的一切配置，命令如下： Switch> Switch>enable Switch#delete flash:config.text Switch#reload …..!刪除配置

Switch#configure terminal!進(jìn)入配置層 Switch(config)#

驗(yàn)證測(cè)試：

使用命令show running-config命令查看配置信息，刪除原始配置信息后該命令的打印結(jié)果如下：

Switch#show running-config Building configuration...Current configuration : 318 bytes!version 1.0!hostname Switch vlan 1!end Switch# 第三步：

Switch#configure terminal Enter configuration commands, one per line.End with CNTL/Z.Switch(config)#ip default-gateway 192.168.0.1！!設(shè)置交換機(jī)默認(rèn)網(wǎng)關(guān)，實(shí)現(xiàn)跨網(wǎng)段管理交換機(jī)

Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.0.2 255.255.255.0 Switch(config)#exit Switch(config)#radius-server host 192.168.0.185 auth-port 1812！!指定RADIUS服務(wù)器的地址及UDP認(rèn)證端口

Switch(config)#aaa accounting server 192.168.0.185！!指定記賬服務(wù)器的地址

Switch(config)#aaa accounting acc-port 1813

！!指定記賬服務(wù)器的UDP端口

Switch(config)#aaa authentication dot1x

！!開啟AAA功能中的802.1x認(rèn)證功能 Switch(config)#aaa accounting

！!開啟AAA功能中的記賬功能 Switch(config)#radius-server key star

！!設(shè)置RADIUS服務(wù)器認(rèn)證字 Switch(config)#snmp-server community public rw

！!為通過簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議訪問交換機(jī)設(shè)置認(rèn)證名（public為缺省認(rèn)證名）并分配讀寫權(quán)限

Switch(config)#interface fastEthernet 0/！!實(shí)驗(yàn)中將在4號(hào)接口啟動(dòng)802.1x的認(rèn)證 Switch(config-if)#dot1x port-control auto

！!設(shè)置該接口參與802.1x認(rèn)證 Switch(config-if)#exit Switch(config)#exit Switch#write Building configuration...[OK] Switch#

2、交換機(jī)配置的截圖

2、安裝SQL server

3、使用軟件TekRADIUS進(jìn)行用戶名和密碼管理

Radius Server維護(hù)了所有用戶的信息：用戶名、密碼、該用戶的授權(quán)信息以及該用戶的記帳信息。所有的用戶集中于 Radius Server管理，而不必分散于每臺(tái)交換機(jī)，便于管理員對(duì)用戶的集中管理。

Radius Server端：要注冊(cè)一個(gè)Radius Client。注冊(cè)時(shí)要告知Radius Server交換機(jī)的IP、認(rèn)證的UDP端口若記帳還要添記帳的UDP端口）、交換機(jī)與Radius Server通訊的約定密碼，還要選上對(duì)該Client支持EAP擴(kuò)展認(rèn)證方式）。

交換機(jī)端：設(shè)置Radius Server的IP地址，認(rèn)證（記帳）的UDP端口，與服務(wù)器通訊的約定密碼。

【實(shí)驗(yàn)體會(huì)】

相比上次實(shí)驗(yàn)，這次實(shí)驗(yàn)更加復(fù)雜。盡管是在小組的互動(dòng)與合作下，本次實(shí)驗(yàn)還是沒有成功。原因是實(shí)驗(yàn)要求的環(huán)境較多，對(duì) TekRADIUS軟件的使用不是很熟悉短時(shí)間內(nèi)無法完全掌握它的原理及應(yīng)用，導(dǎo)致在使用軟件TekRADIUS進(jìn)行配置時(shí)，創(chuàng)建數(shù)據(jù)庫和表時(shí)不成功，最后的4步驟“設(shè)置服務(wù)參數(shù)、配置用戶組和用戶、增加Client客戶端、安裝證書”無法完成，而且實(shí)驗(yàn)時(shí)間也到了，電腦也自動(dòng)關(guān)機(jī)了，無法再進(jìn)行下去了，我們就這樣結(jié)束了實(shí)驗(yàn)。從課程的內(nèi)容來看，本次實(shí)驗(yàn)十分重要，獨(dú)立完成實(shí)驗(yàn)內(nèi)容是對(duì)我們很好的一次鍛煉，沒有全面完成它，但是課后我對(duì)802.1X配置的相關(guān)知識(shí)做了一次更深的了解。

一、802.1x協(xié)議起源于802.11協(xié)議，后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議，802.1x協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題?，F(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入。為了對(duì)端口加以控制，以實(shí)現(xiàn)用戶級(jí)的接入控制。802.1x就是IEEE為了解決基于端口的接入控制（Port-Based Access Control）而定義的一個(gè)標(biāo)準(zhǔn)。1、802.1X首先是一個(gè)認(rèn)證協(xié)議，是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。2、802.1X是基于端口的認(rèn)證策略（這里的端口可以是一個(gè)實(shí)實(shí)在在的物理端口也可以是一個(gè)就像VLAN一樣的邏輯端口，對(duì)于無線局域網(wǎng)來說個(gè)“端口”就是一條信道）3、802.1X的認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，如果認(rèn)證成功那么就“打開”這個(gè)端口，允許文所有的報(bào)文通過；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1X的認(rèn)證報(bào)文EAPOL（Extensible Authentication Protocol over LAN）通過。

二、802.1X的認(rèn)證體系分為三部分結(jié)構(gòu)：

Supplicant System，客戶端(PC/網(wǎng)絡(luò)設(shè)備)Authenticator System，認(rèn)證系統(tǒng)

Authentication Server System，認(rèn)證服務(wù)器

三、認(rèn)證過程

1、認(rèn)證通過前，通道的狀態(tài)為unauthorized，此時(shí)只能通過EAPOL的802.1X認(rèn)證報(bào)文；

2、認(rèn)證通過時(shí)，通道的狀態(tài)切換為authorized，此時(shí)從遠(yuǎn)端認(rèn)證服務(wù)器可以傳遞來用戶的信息，比如VLAN、CAR參數(shù)、優(yōu)先級(jí)、用戶的訪問控制列表等等；

3、認(rèn)證通過后，用戶的流量就將接受上述參數(shù)的監(jiān)管，此時(shí)該通道可以通過任何報(bào)文，注意只有認(rèn)證通過后才有DHCP等過程。