引言：随着网络的普及，网络安全问题越来越严重，身份认证对于网络安全来说至关重要，本文介绍了一些关于身份认证方面的问题，希望对大家有所帮助。

两台同时装有Windows 10系统的计算机，通过局域网的网上邻居功能可以相互发现，但用鼠标双击打开对方计算机时，需要输入用户账号和密码，不能直接打开，请问这该怎么解决呢？

答：Windows 10系统默认需要对共享访问进行身份认证，要想直接双击就能互相共享访问，一定要在两台Windows 10系统中进行安全策略配置：使用“Win+X”快捷键，调用系统快捷访问菜单，点击其中的“运行”命令，弹出系统运行对话框，输入“secpol.msc”命令并回车，进入系统本地安全策略控制台。将鼠标定位在“安全设置”、“本地策略”、“安全选项”节点上，找到该节点下的“网络访问：本地账户的共享和安全模型”选项，用鼠标双击该选项，在其后界面中选中“经典——对本地用户进行”选项，确认后保存设置操作。之后，再打开“账户——使用空密码的本地账户只允许进行控制台登录”选项设置框，选中“已禁用”选项，单击“确定”按钮退出设置对话框。

在IT安全领域，定期通过身份验证执行漏洞扫描，以便从合法用户角度寻找安全漏洞，是相当有必要的。请问采取什么样的办法，才能更加有效地通过身份验证执行漏洞扫描？

答：只要遵循下面几种方法进行准备即可：

首先要明确通过身份验证进行扫描的系统，这或许包括所有Windows版本的系统和基于Linux的操作系统，或者是少数终端主机和特定网络设备。而且，请一定要考虑扫描数据库、Web应用，以及那些要求或允许使用SNMP、SSH、FTP、Telnet等通信协议，进行身份认证的所有系统平台和网络设备。类似LanGuard这样的专业扫描工具提供了很多方法，来允许用户灵活进行扫描。要是单位外网非法用户或者内网恶意用户都已经进行身份验证式漏洞扫描操作，那么我们自己也必须进行这种扫描操作。

其次,弄清楚想要扫描哪种类型的用户角色水平，正常应该使用管理员或根级登录凭证进行扫描，当发现最后的扫描结果不再依照权限发生变化时，不同用户角色的测试操作自然就适可而止了。

第三要保证漏洞扫描操作不会带来安全麻烦。在对重要系统平台或网络设备执行身份验证漏洞扫描操作之前，应先尝试在一个或两个普通系统平台或设备上运行身份验证扫描，检查其有没有什么可能的副作用出现，如果没有遇到副作用，再扩展到扫描重要系统平台或其他多个系统和设备。

第四按需生成漏洞扫描报告。漏洞扫描操作结束后，可能会发现若干个安全漏洞，要将它们利用到后续的安全防护实践中，必须要根据实际情况，选取一种最合理方式，生成漏洞扫描报告。

请问在H3C Quidway交换机后台系统中，如何针对特定交换端口，配置其在802.1x协议下的身份认证控制模式？

答：只要先进入交换机后台系统，使用“systemview”命令，进入系统全局视图模式状态，在该状态下输 入“dot1x port-control TYPE”字符串命令，这里的“TYPE”为具体的模式类型，该参数可以为“Authorized-Force” 模 式，可 以 为“Unauthorized-Force” 模式，也可以为“Auto”模式，这样所有交换端口都按指定模式进行认证控制。

如果只想设置某个交换端口的认证控制模式时，只要执行字符串命令“dot1x port-control TYPE interface xx”即可，其中“xx”指定交换端口号码；当然，进行这种配置操作时，也可以先使用“interface xx”命令切换到指定端口视图模式状态，再执行“dot1x port-control TYPE”命令。

请问怎样将H3C系列交换机的所有交换端口身份认证方式配置为同一种类型？

答：只要在交换机后台系 统，使 用“system-view”命令，切换进入系统全局视图模式状态，在该状态下输 入“dot1x port-method METH”字符串命令即可，这里的“METH”为具体身份认证接入方式，该数值可以为“portbased”方式，也可以为“macbased”方式。

要想配置某个特定交换端口的认证接入方式时，只要输入字符串命令“dot1x port-method METH interface xx”即可，这里的“xx”为特定交换端口号码。

当然，进行这种配置操作时，也可以先使用“interface xx”命令切换到指定端口视图模式状态，再执行“dot1x port-method METH”命令。

有用户在Windows 8系统中安装某个设备驱动程序时，系统出现了“第三方INF不包含数字签名信息”的认证提示信息，请问为什么会出现这种提示内容呢？

答：这主要是Windows 8系统在默认状态下，强制要求对驱动程序进行签名造成的，一旦正在安装的驱动程序没有通过数字签名认证时，那自然会出现上述提示信息。

要想避免这种提示出现，可以取消Windows 8系统的驱动程序强制签名功能：在Win8系统Metro界面状态下，单击Charm菜单中的“设置”按钮，切换到电脑设置页面，点选“常规”选项卡，选中对应选项设置页面中的最后一项重启Windows系统。之后，从系统启动菜单中选择“疑难解答”选项，点击高级选项设置页面中的“启动设置”按钮，切换到启动设置列表区域，将“禁用驱动程序强制签名”选中，重启系统后，就不会再看到“第三方INF不包含数字签名信息”之类的提示了。

对于特定版本的Windows 8系统来说，也能通过编辑系统组策略配置，来取消对设备驱动程序强制签名。只要逐一单击“开始”、“运行”命令，在弹出的系统运行框中执行“gpedit.msc”命令，打开系统组策略编辑窗口。依次展开该窗口中的“本地计算机策略”、“用户配置”、“管理模板”、“系统”、“驱动程序安装”、“设备驱动程序的代码签名”分支，用鼠标双击目标分支选项，选中其后界面中的“已启用”选项，单击“确定”按钮后保存设置操作即可。

作为一种基于端口的网络接入认证协议，IEEE 802.1x协议属于二层协议，不需要到达三层，对交换机的整体运行性能要求不高，能够有效降低建网成本。请问该协议作为局域网用户接入认证的标准协议，在安全认证方面主要有哪些功能？

答：它具有完备的用户认证、管理功能，除了定义了基于端口的安全控制协议外，还定义了接入设备和接入端口间点到点这一种连接方式。该协议规定的端口，除了是物理端口，也能是逻辑端口，其中的物理端口基本都是交换机下连接每一个用户客户机的物理端口，逻辑端口可以是IEEE 802.11协议规定的无线LAN接入端口。

该协议系统是典型的客户端/服务端体系结构，一般包括认证服务器系统、认证系统、接入系统这三个实体，局域网接入控制设备需要支持认证系统，用户设备需要支持接入系统；整个系统通过可控端口和不可控端口的逻辑功能，实现业务与认证的分离，由Radius服务器和以太网交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换。

在H3C交换机中，802.1x协议既支持规定端口接入认证方式，又能对认证功能进行优化、扩展，它允许接入控制方式除了基于交换端口，还能基于MAC地址，它还允许一个物理端口下可以下挂若干个用户的应用环境，合理使用802.1x协议认证机制，能够有效地改善网络接入安全性和可管理性。

请问802.1x协议在H3C交换端口上支持哪些安全认证控制模式？

答：支持三种安全认证模式，它们分别为：一是Authorized-Force模 式，也叫常开模式，在该模式下交换端口始终保持认证状态，即客户端系统从这个交换端口接入局域网，肯定能正常连接上网，无论客户端系统有没有通过认证。

二 是Unauthorized-Force模式，也叫常关模式，在该模式下交换端口始终保持非认证状态，即客户端系统尝试从这个交换端口接入局域网时，无论它有没有通过认证，都是上不了网的。

三是Auto模式，也叫协议控制模式，在该模式下交换端口是开还是关完全取决于认证是否通过，要是客户端系统能顺利通过认证，那么它就能接入上网，不然的话将无法上网。

请问SSH协议是怎样进行身份认证的？

答：从客户端系统来说，SSH协议支持两种安全认证方式，一种是基于口令的安全认证方式，另外一种是基于密匙的安全认证方式。

其中，前面一种认证方式只要知道账号和密码，就能登录到远程服务器中，但是这种认证方式仍然会受到“中间人”的攻击，因为用户无法知道自己远程访问的服务器，就是自己想要连接的服务器，或许会有别人在冒充真正的服务器。后面一种认证方式可以避免“中间人”攻击，因为这种认证方式需要用户事先创建一对密匙，同时将公用密匙放在需要远程连接的服务器上，当用户自己要访问SSH服务器时，客户端程序就会向服务器发出请求，请求用自己的密匙来安全认证，接收到请求信息后，服务器会从本地系统自动搜索公用密匙，之后将它和接收到的公用密匙进行比较，要是两个密匙内容相同，那么服务器就用公用密匙加密“质询”，同时将它发送给客户端程序，客户端程序收到“质 询”后，就能用私人密匙解密再将它传输给服务器。

不知道SSH协议身份认证连接是怎样建立的？

答：首先客户端程序向服务端程序发起SSH协议连接请求；其次服务端向客户端发起版本协商；第三服务端发送公钥、随机数等信息；第四客户端返回确认信息，同时附带用公钥加密过的一个随机数，用于双方计算Session Key；第五进行反复认证阶段，直到认证成功或者认证次数达到上限，服务端切换SSH连接为止；第六客户端将要执行的命令加密后传给服务端，服务端接收到报文，解密后执行该命令，同时将执行的结果加密发还给客户端，客户端显示接收结果。

大家知道，H3C交换机的super命令设置的口令，主要用于低级别用户向高级别用户切换时进行身份验证。请问这种命令主要支持哪些形式的口令配置？

答：主要支持明文和暗文方式的两种配置，其中通过“super password cipher****”命令，设置暗文登录口令内容，使用“super password simple ****”命令，设置明文登录口令内容。

请问如何在H3C系列交换机后台系统中，为特定用户配置合适的身份认证方法？

答：在H3C系列交换机后台系统的全局系统视图模式下，系统默认会将用户认证方法配置为CHAP认证，网管员可以根据实际情况，按需配置选用合适的用户认证方法。比方说，在相对安全的网络工作环境，网管员可以将用户认证方法配置为PAP认证，以提高认证接入效率；在进行这种配置操作时，不妨先切换到交换机全局系统视图模式状态，在该状态下输入“dotx1 authenticationmethod pap”字符串命令即可。以后，想将交换机的用户认证方法恢复为缺省配置时，只要输入“undo dotx1 authentication-method pap”字符串命令即可。

要查看H3C系列交换机在当前状态下，使用了什么类型的用户认证方法时，只要在系统视图模式状态下，输入“display dot1x”字符串命令，从返回的结果信息中，就能看到具体的认证方法了。

从安全角度来看，应用程序进程可以分成不安全、一般安全、非常安全、未知安全这些等级，系统进程属于非常安全级别，通过身份认证的程序属于一般安全等级，病毒木马属于不安全等级，没有通过微软数字签名认证或有BUG的程序属于未知安全等级。除此而外，在遇到不熟悉的程序进程时，我们该怎样检测它们的安全等级呢？

答： 借 助Security Process Explorer这款工具帮忙，通过标识进程的颜色色块，就能准确检测出陌生进程究竟安全与否了。缺省状 态 下，Security Process Explorer使用空白色块表示未知安全，用绿中带红色块表示一般安全，用纯绿色色块表示安全类型，用纯红色色块表示不安全。启动Security Process Explorer工具后，所有程序进程都能被自动显示出来。不同安全等级的程序 进 程，Security Process Explorer会使用不同颜色色块进行标识，我们只要识别颜色色块，就能快速地检测出陌生进程是否安全了。比方说，一旦看到计算机中某个陌生进程被目标工具标识为红色色块时，那就代表该进程或许是病毒木马。

如果想更进一步了解不安全进程信息时，不妨右击红色色块进程，执行“详细信息”命令，打开不安全进程详细信息查看窗口。

在这里，可以查看到陌生进程的许多状态信息，包括进程详细名称、进程运行优先级、进程标识ID以及进程设计公司等。选择“用到的模块”标签，在该标签设置页面中，可以了解到陌生进程究竟访问了计算机的哪些动态链接库文件，根据这些内容，就能准确检测出陌生进程的安全威胁有多大了。当某个陌生进程被检测为不安全级别时，可以用鼠标选中它，按下“屏蔽进程”按钮，将对应陌生进程运行状态立即禁止掉，同时将其添加到进程运行屏蔽列表中，保证它们日后不能自动开启运行。

如果希望通过802.1x协议的认证功能，控制H3C交换端口的接入安全，一定先要在交换机后台系统中启用802.1x身份认证功能。请问如何在H3C系列交换机后台系统中，针对特定交换端口启用这项功能呢？

答：这项功能可以先在系统全局模式状态下开启，因为如果全局模式下的802.1x认证功能没有启用，那么指定交换端口即使启用了这项功能，该功能也不会在指定端口上发挥作用，H3C交换机后台系统默认没有开启全局或端口的802.1x认证功能。

在开启该功能时，先以系统管理员权限登录交换机后台系统，输入“system-view”命令，进入系统全局系统模式状态，在该状态下执行字符串命令“dot1x”，那么全局的802.1x认证功能就被成功开启了。如果希望在指定交换端口上开启这项功能时，可以在全局系统模式状态下使用“interface”命令，切换到指定交换端口视图，在对应端口视图模式下执行“dot1x”字符串命令即可。比方说，要开启e0/1端口的802.1x认证功能时，可以在交换机后台系统依次输入“system-view”、“interface e0/1”、“dot1x”命令，就能实现启用目的，当然，也可以直接在系统全局模式状态下，直接执行“dot1x interface e0/1”命 令，开启e0/1端口的认证功能。如果想取消全局或指定端口的802.1x认证功能时，可以在系统全局模式状态下执行“undo dot1x”命 令或执行“undo dot1x interface xx”命令，其中“xx”为指定交换端口号码。

两台安装了Vista系统的主机，都创建了administrator账号，对应账号都没有设置密码，它们以\IP形式互相访问时，系统不弹出身份验证框，就直接提示拒绝登录，请问如何才能使两台主机互相访问？

答：系统不弹出身份验证框，就意味着已经通过了身份认证环节；由于它们相互访问时，是以administrator账号进行认证的，而该账号没有设置密码，依照缺省的安全策略，空白密码账户是不能进行系统登录，而只能进行控制台登录。

要解决这种现象，我们只要同时启用两台主机的简单文件共享模式，并分别将它们的来宾账号启用起来，那样一来在使用空白密码的情况下，也能进行互相登录访问了。

笔者安装的是Windows8系统，为了保证无线网络和有线以太网网络的安全性，现在想开通该系统的802.1X身份认证功能，请问如何在该系统环境下启用802.1x身份认证功能？

答：首先登录Windows 8系统的Metro界面，点击其中的“桌面”磁贴，切换到系统桌面，用鼠标右键单击“计算机”图标，执行快捷菜单中的“管理”命令，进入计算机管理对话框，从左侧区域依次展开“计算机管理（本地）”、“服务和应用程序”、“服务”选项，从服务选项列表中找到“Wired Autocnfig”、“WLAN Autoconfig”等服务，检查它们是否处于启用状态，一旦看到它们还没有被运行时，应该及时将它们重新启动起来。

接着关闭计算机管理窗口，返回系统桌面，用鼠标右键单击系统任务栏右侧托盘的网络适配器图标，选择右键菜单中的“打开网络共享中心”命令，进入网络共享中心管理界面，按下其中的“更改适配器设置”按钮，展开本地系统网络连接列表界面。

在有线以太网连接图标上单击鼠标右键，选择快捷菜单中的“属性”命令，打开对应网络连接属性对话框，选择“身份验证”标签，检查对应标签设置页面中的“启用IEEE 802.1x”选项是否处于选中状态，如果看到其还没有被选中时，应该重新选中它，并单击“确定”按钮保存设置操作即可。

在组网结构十分复杂的网络环境中，同时网络中所设备时钟十分重要，为了达到这个目的，可以配置交换机的NTP协议，来实现整个网络内的时间同步。但为了预防伪造的NTP广播消息包，在配置NTP协议时，一定要强化对NTP身份认证。请问如何在H3C系列交换机中开启NTP身份认证功能？

答：只要在交换机后台系统全局视图下，输入“ntpservice authentication enable”字符串命令即可。在启用了这项功能后，还需要设置可信任的验证密钥，才能确保安全认证功能正常发挥作用。

在系统视图模式下， 输 入“ntp-service authentication-keyid XXX authentication-mode md5 YYY”字符串命令，这里的“XXX”为可信任的密钥编号，它的取值范围为“1-4294967295”，“YYY”为具体的密钥内容，该内容为1-32个ASCII码字符，按回车键后，MD5身份验证密钥就配置好了。

之 后，再 执 行“ntpservice reliable authentication-keyid XXX”命令，来指定刚才配置的密钥编号是可信任的密钥，这样，日后客户端系统就能同步到提供可信任密钥的服务器上了。