计算机网络安全基础第4章.pptVIP

4.3 系统访问控制 （5）如果对比后发现用户有效，SAM会将用户的SID（安全标识），用户所属用户组的SID，和其他一些相关信息发送给LSA。 （6）LSA将收到的SID信息创建安全访问令牌，然后将令牌的句柄和登录信息发送给Winlogon.exe。 （7）Winlogon.exe对用户登录稍作处理后，完成整个登录过程。 计算机网络安全基础（第三版） * 4.3 系统访问控制 登录到域的过程有以下9个步骤。 （1）用户首先按Ctrl+Alt+Del组合键。 （2）Winlogon检测到用户按下SAS键，就调用GINA以便用户输入账号和密码。 （3）用户选择所要登录的域和填写账号与密码，确定后，GINA将用户输入的信息发送给LSA进行验证。 （4）LSA将请求发送给Kerberos验证程序包。通过散列算法，根据用户信息生成一个密钥，并将密钥存储在证书缓存区中。 计算机网络安全基础（第三版） * 4.3 系统访问控制 （5）Kerberos验证程序向KDC（密钥分配中心）发送一个包含用户身份信息和验证预处理数据的验证服务请求，其中包含用户证书和散列算法加密时间的标记。 （6）KDC接收到数据后，利用自己的密钥对请求中的时间标记进行解密，通过解密的时间标记是否正确，就可以判断用户是否有效。 （7）如果用户有效，KDC将向用户发送一个票据授予票据（TGT，Ticket-Granting Ticket）。该TGT（AS_REP）将用户的密钥进行解密，其中包含会话密钥、该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数据和设置等。 计算机网络安全基础（第三版） * 4.3 系统访问控制 （8）当用户试图访问资源时，客户系统使用TGT从域控制器上的Kerberos TGS请求服务票据(TGS_REQ)。然后TGS将服务票据(TGS_REP)发送给客户。该服务票据是使用服务器的密钥进行加密的。同时，SID被Kerberos服务从TGT复制到所有的Kerberos服务包含的子序列服务票据中。 （9）客户将票据直接提交到需要访问的网络服务上，通过服务票据就能证明用户的标识和针对该服务的权限，以及服务对应用户的标识。 计算机网络安全基础（第三版） * 4.3 系统访问控制 （6）安全性标识符（SID） 在安全系统上标识一个注册用户的惟一名字，它可以用来标识一个用户或一组用户。它和Unix的用户标识号相同，安全性标识符是用于系统内部的，在存取令牌和ACL（Access Control List）内使用。 s-1-5-211898335404-322544488-1001 用于表示一个用户的SID值在以后应该永远不会被另一个用户使用。SID用于表示一个用户信息、时间、日期和域信息。 计算机网络安全基础（第三版） * 4.3 系统访问控制 2. 身份认证 身份认证定义：为了使某些授予许可权限的权威机构满意，而提供所要求的用户身份验证的过程。 （1）用生物识别技术进行鉴别 指纹是一种已被接受的用于唯一地识别一个人的方法。 手印是又一种被用于读取整个手而不是仅仅手指的特征和特性。 声音图像对每一个人来说也是各不相的同。 笔迹或签名不仅包括字母和符号的组合方式，也包括了签名时某些部分用力的大小，或笔接触纸的时间的长短和笔移动中的停顿等细微的差别。 视网膜扫描是用红外线检查人眼各不相同的血管图像。 计算机网络安全基础（第三版） * 4.3 系统访问控制 （2）用所知道的事进行鉴别 口令可以说是其中的一种，但口令容易被偷窃，于是人们发明了一种一次性口令机制 （3）使用用户拥有的物品进行鉴别 智能卡就是一种根据用户拥有的物品进行鉴别的手段。 一些认证系统组合以上这些机制，加智能卡要求用户输入个人身份证号码（PIN），这种方法就结合了拥有物品（智能卡）和知晓内容（PIN）两种机制。 例如大学开放实验室的认证系统、自动取款机ATM。 计算机网络安全基础（第三版） * 4.3 系统访问控制 3. 系统口令 口令是访问控制的简单而有效的方法，只要口令保持机密，非授权用户就无法使用该账 （1）怎样选择一个安全的口令 最有效的口令是用户很容易记住但“黑客”很难猜测或破解的。建立口令时最好遵循如下的规则： ●选择长的口令，口令越长，黑客猜中的概率就越低 ●最好的口令包括英文字母和数字的组合。 计算机网络安全基础（第三版） * 4.3 系统访问控制 ●不要使用英语单词。 ●不要使用相同的口令访问多个系统。 ●不要使用名字，自己名字、家人的名字和宠物的名字等。 ●别选择记不住的口令，这样会给自己带来麻烦。 ●使用安全程序来测试口令的安全性 ，如U