GINA及应用.pdfVIP

《冶金 自动化》2004年增刊 GINA及应用 黎彤亮’，范瑞琴2，黄世中 ‘ (I.河北省应用数学研究所，河北石家庄050081;2.石家庄铁道学院) [摘 要〕介绍GINA的原理，实现及在登录WindowsNT/2000/XP系统，进行身份验证中它所起的安全作用。 关〔键词」GINA;身份认证;安全 0 引言 对于信息安全，内部的安全性是至关重要的，因为来自内部的泄密比防止外部人侵更困难。中国国 家信息安全评测认证中心的调查结果显示，政府和企业因信息被窃取所造成的损失超过病毒破坏和黑客 攻击所造成的损失，超过80%以上的安全威胁来自内部。因此当使用计算机登录到网络上时，对人员进 行身份认证是十分必要的。通常的密码认证方式已经无法满足人们的要求。为了提高安全性，结合硬件 的认证方法是较好的方法。 GraphicalIdentificationandAuthentication(图形识别与身份认证，GINA)，是一个由WindowsNT/ 2000/XP操作系统中Winlogon.exe加载的可替换DLL组件。这个DLL主要用来实施交互登录模式的 认证策略，并执行全部识别与认证的用户交互操作。替换GinaD11可用智能卡、视网膜扫描及其它身份 认证机制来取代标准系统的用户名加口令的认证方式。 我国在未来几年将使用采用非接触式IC技术的第二代身份证— 智能IC卡身份证，利用GINA并 配合相关硬件设备，就能通过智能IC卡身份证来进行登录认证。 1 原理 Winlogon是WindowsNT/2000/XP操作系统提供交互式登录支持的组件。Winlogon结构有三个 组成部分:可执行文件Winlogon.exe提供图形界面认证功能的动态库GinaD11以及一些网络服务提供 动态库NetworkProviderDll。参考模型如图1所示: Winlagan.exe Network Network GinaDll Provider Provider 口口口 Dll Dll 图1Winlogon参考模型 Msgina.dll是Microsoft提供的默认GinaDll，它是可替换的，用户可以设计自己的GinaDll，以提 供其他一些认证机制。Winlogon.exe处理一些下层导出的接口函数，而认证策略是在GinaD11中是独 立设计的。系统启动时，GinaDll被Winlogon.exe装载并与之交互。Winlogon提供了一些供GinaDll 调用的函数，GINA相应地必须实现供Winlogon调用的函数。 Windows2000/NT/XP有三种系统状态:(1)没有用户登录;(2)用户成功登录状态;(3)锁定工作 站状态。当没有登录用户时，GINA调用Winlogon所提供的WlxSasNotify函数，表明用户要登录。 Winlogon接着调用GINA的WlxLoggedOutSas函数去认证。我们在这个函数中加人额外的认证代码 就可以实现其他一些结合硬件的认证机制，如IC卡方式的认证等。 2 实现 开发GinaD11，必须要实现与W.inlogon.exe交互的函数接口，并且必须严格遵照开发规定。Win- 仁收稿日期]2004-06-16 作〔者简介」黎彤亮(1974-)，四川青神人，助理研究员，主要从事计算机软件的开发工作 396 ((冶金 自动化》2004年增刊 wlx.h是开发GinaD11必须的头文件，目前最新的版本为l.40 开发的策略使用的hook，方法如下。 (1)声明FunctionprototypesfortheGINAinterface typedefint(WINAPI ‘PFWLXLOGGEDOUTSAS)(PVOID,DWORD,PLUID,PSID,PDWORD,PHANDLE,PWLX_MPR NOTIFYINFO,PVOID ); ‘