毕业论文：基于Windows配置提取的身份鉴别功能检测设计与实现（终稿）.doc

北京邮电大学学士学位论文 PAGE   PAGE \* MERGEFORMAT 25 引 言页眉  在计算机发展的进程中,操作系统的进步是对应用层面影响最大的方面格式 之一。操作系统从最初的单进程到多进程，衍生到单用户到多用户，每一次发展都给计算机的应用带来巨大的变化。 身份鉴别功能是操作系统发展的产物。操作系统的身份鉴别，是指对操作系统的使用者进行识别、分类，通过隔离用户和数据来达到防止内部敏感数据丢失或者破坏的功能在没有身份鉴别功能时，计算机的安全性主要依赖人员的管理，这种方式不仅增加了管理的成本，而且也并不保险，尤其是在企业和公共场合下，没有身份鉴别的操作系统有显而易见的弊端。因为有很多用户会接触到计算机，其中也包括非法用户和超越权限的用户。通过识别操作者的身份，限制受限用户和匿名用户的操作权利，可以方便系统的管理。 随着办公信息化的普及，多用户使用同一台计算机的情况越来越多，而且一些敏感的资料也依赖于计算机储存，身份鉴别的使用越来越广泛，相关的问题也越来越多。在政府机关和科研单位等对安全要求比较高的单位尤其显著，计算机储存的敏感数据和运行的重要服务一旦被非法用户操作，造成的后果巨大。 本文对当前主流的操作系统Windows的用户识别功能进行了一些讨论，分析其工作的机制，讨论其优缺点，并针对其中存在的问题进行分析，并编写了一个小程序对几项重要的用户识别功能选项进行提取，方便管理员对该功能进行评估。目前还没有专门相关针对身份鉴别功能的检测软件，本软件虽然并不系统，但是可以弥补这一空缺。 身份鉴别和本地安全策略 2.1身份鉴别 所以现在主流的操作系统都有身份鉴别系统，windows就是其中典型的例子。它通过设定用户和密码，以及一系列的安全策略保证管理者对于不同用户的管理。 在理想情况下，使用Windows xp操作系统就可以达到比较理想的安全等级。但是对于管理者来说，为了保证系统和信息的安全，要考虑到用户最不负责任的情况，而且这种不负责任的情况是否出现取决于用户安全意识的强弱，当用户没有足够的安全意识时，??统经常没有达到设计时应有的安全等级。 本地安全策略就是为了避免这一情况而设计的。它是由管理员所设定不需普通用户进行设置的内容。但是此类设定强制普通用户按照规定进行相关的安全设定，防止了用户因为缺少安全意识或者不负责任造成的信息泄露和破坏，可以达到保证计算机安全的目的。 2.2身份鉴别的方法 在真实世界，对用户的身份鉴别基本方法可以分为这三种： (1) 根据你所知道的信息来证明你的身份 (what you know ，你知道什么 ) ； (2) 根据你所拥有的东西来证明你的身份 (what you have ，你有什么 ) ； (3) 直接根据独一无二的身体特征来证明你的身份 (who you are ，你是谁 ) ，比如指纹、面貌等。 在操作系统中，身份鉴别也无非是依据自然界身份鉴别的基本原则，只是执行的主体由人变成了计算机。 操作系统的身份鉴别有以下几种方法。 （1）静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制如论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份鉴别方式。 它利用what you know方法。 （2）智能卡方法 一种内置集成电路的芯片，芯片中存有与用户身份相关的数据， 智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。 智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。它利用what you have方法。 （3）USB key方法 和智能卡方法类似。基于USB Key的身份鉴别方式是近几年发展起来的一种方便、安全的身份鉴别技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。基于USB Key身份鉴别系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式，目前运用在电子政