《信息系統(tǒng)安全理論與技術》

第3章身份認證本章內(nèi)容3.1身份認證方式

3.2身份認證技術3.3基于USBKey的身份認證技術3.1.1.1

身份認證系統(tǒng)模型賬戶是系統(tǒng)中用戶信息的記錄用戶身份標識提供安全憑證（用戶名、口令）定義用戶權限和訪問資源的能力唯一標識每個賬戶擁有唯一的SID（安全標識符）用戶權限通過SID記錄Linux用戶管理三權分立的管理方法基于角色的訪問控制（RBAC）模型五元組模型：用戶集合、角色集合、用戶-角色關系集合、角色-權限關系集合、系統(tǒng)權限3.1.1.2

身份認證系統(tǒng)模型用戶數(shù)據(jù)保護訪問控制是實現(xiàn)對用戶數(shù)據(jù)保護的常用手段保護用戶數(shù)據(jù)確保信息安全核心目標：防止非法用戶進入系統(tǒng)及合法用戶濫用資源3.1.1.3

身份認證系統(tǒng)模型系統(tǒng)安全驗證驗證水平驗證數(shù)據(jù)正確性：確保驗證內(nèi)容的準確性驗證過程嚴密性：監(jiān)測系統(tǒng)信息、識別攻擊者信息驗證類型實時驗證：輸入數(shù)據(jù)的合法性檢測、實時判定用戶身份與操作合法性事后驗證：用戶退出后，驗證存儲信息（命令、操作文件等）3.1.2.1

主要的身份認證方案基于口令的身份認證優(yōu)點：簡單有效、實用便捷、費用低廉、使用靈活，一般系統(tǒng)支持。不足：明文輸入易被黑客軟件記錄泄密；傳輸時可能被截獲；無安全性；口令位數(shù)少、字符不生僻易被破解；認證系統(tǒng)集中管理口令有安全漏洞；發(fā)放與修改口令涉及安全問題；攻擊者利用相同口令；只能單向認證認證方式：系統(tǒng)保存用戶身份和口令，用戶請求訪問時提交口令，認證方對比確認，即口令認證協(xié)議（PAP），只用于連接建立階段。攻擊手段口令猜測攻擊中間人攻擊竊取憑證攻擊拒絕服務攻擊…3.1.2.1主要的身份認證方案基于口令的身份認證改進的身份認證方案：口令字段信息的處理方法、口令字段信息的生成算法、給口令撒鹽的算法、身份認證算法

3.1.2.1

主要的身份認證方案基于口令的身份認證改進的身份認證方案：口令字段信息的處理方法、口令字段信息的生成算法、給口令撒鹽的算法、身份認證算法

3.1.2.2主要的身份認證方案基于生物特征的身份認證概念：通過計算機利用人體固有物理或行為特征鑒別身份，替代傳統(tǒng)口令認證。生物特征條件：普遍性、唯一性、穩(wěn)定性、易采集性、可接受性。生物特征認證核心與系統(tǒng)過程：核心：獲取特征，轉(zhuǎn)換為數(shù)字形式存儲，利用可靠匹配算法驗證識別身份。系統(tǒng)過程：包括采集、解碼、比對和匹配。特點優(yōu)勢：依附人體、不易偽造、不易模仿，發(fā)展快、應用前景好。主要生物特征識別技術：人臉識別、指紋識別和虹膜識別。3.1.2.2

主要的身份認證方案基于生物特征的身份認證人臉識別通過計算機提取人臉特征并進行身份驗證的技術，利用人臉唯一性和不易復制性進行身份認證。人臉識別過程人臉圖像采集及檢測：采集人臉的圖像并利用人臉特征實現(xiàn)檢測人臉圖像預處理：對圖像進行處理并最終服務于特征提取人臉圖像特征提取：人臉表征，是對人臉進行特征建模的過程人臉圖像匹配與識別：提取的人臉圖像的特征數(shù)據(jù)與數(shù)據(jù)庫中存儲的特征模板進行搜索匹配技術問題光線明暗、遮擋物、人臉變老等因素可能會影響識別效果3.1.2.2

主要的身份認證方案基于生物特征的身份認證指紋識別指紋是手指表面由“脊”和“谷”組成的紋路，具有“人人不同”“終身不變”的特性，是身份認證的重要依據(jù)。指紋的唯一性使其成為生物識別領域的關鍵特征，為身份認證提供了高度的可靠性和安全性。指紋識別系統(tǒng)包括兩個模塊：指紋注冊和指紋比對指紋識別系統(tǒng)的組成3.1.2.2

主要的身份認證方案基于生物特征的身份認證指紋采集通過光學或CMOS指紋傳感器獲取指紋圖像數(shù)據(jù)，光學采集儀圖像質(zhì)量好但成本高，CMOS采集儀成本低但圖像質(zhì)量稍差。整個指紋識別過程的基礎，采集設備的性能直接影響后續(xù)識別的準確性和可靠性。圖像增強與特征提取對采集到的指紋圖案進行圖像增強，突出特征信息；然后提取特征值并形成二進制數(shù)據(jù)，為比對匹配做準備。圖像增強和特征提取是提高指紋識別準確率的關鍵步驟，能夠有效去除噪聲，突出指紋的關鍵特征。指紋識別技術流程3.1.2.2主要的身份認證方案基于生物特征的身份認證特征值模板入庫與比對匹配將提取的指紋特征值結(jié)構(gòu)化保存為模板；比對時，將當前指紋特征值與模板進行匹配，判斷是否一致。特征值模板的準確存儲和高效的比對算法是實現(xiàn)快速、準確指紋識別的核心技術。指紋識別技術流程3.1.2.2

主要的身份認證方案基于生物特征的身份認證指紋識別的挑戰(zhàn)與應對指紋的穩(wěn)定性問題：指紋會因衰老、磨損、治療副作用等因素改變，需要不斷優(yōu)化算法以適應這些變化。安全性隱患：指紋可以被復制，攻擊者可通過制作指紋模具或提供指紋照片騙過認證系統(tǒng)，需要采取多種措施防止指紋數(shù)據(jù)被竊取和濫用。應對措施：（1）采用多因素認證、活體檢測等技術增強安全性；定期更新指紋模板，適應指紋的自然變化，提高系統(tǒng)的魯棒性。（2）通過技術創(chuàng)新和管理措施相結(jié)合，可以有效應對指紋識別面臨的挑戰(zhàn)，提升系統(tǒng)的整體性能和安全性。3.1.2.2

主要的身份認證方案基于生物特征的身份認證虹膜識別

原理指紋識別局限性（受外界條件影響、接觸式弊端，如公共衛(wèi)生事件傳播風險）非接觸式生物特征認證趨勢虹膜識別成為熱點（準確性、可采集性、不可偽造性）3.1.2.2主要的身份認證方案基于生物特征的身份認證虹膜識別系統(tǒng)虹膜圖像采集重要且困難，需專門采集設備虹膜圖像預處理：虹膜定位：找出內(nèi)外邊界并進行邊緣檢測虹膜圖像歸一化：補償瞳孔變化及彈性變形影響虹膜紋理特征提取利用轉(zhuǎn)換算法將可視特征生成固定字節(jié)長度虹膜代碼模式匹配與數(shù)據(jù)庫虹膜代碼比較，相似率超預設值判定身份相符3.2.1.1Linux身份認證技術Linux系統(tǒng)背景 Linux操作系統(tǒng)是開放源代碼的類UNIX系統(tǒng)，遵循POSIX標準。具有高效性、靈活性及開放性，廣泛應用于多種設備。安全機制框架嵌入式認證模塊（PAM）Linux身份認證技術簡介身份標識與認證文件訪問控制特權管理安全審計進程間通信資源的訪問控制靈活認證模塊組合機制動態(tài)改變身份驗證方法模塊化設計拓展性3.2.2.1從啟動到登錄的流程start_kernal函數(shù)該函數(shù)從開始到cpu_idle，主要是對系統(tǒng)的“經(jīng)濟基礎”，即各種資源進行初始化，僅由主CPU進行，到最后執(zhí)行init函數(shù)，再創(chuàng)建init進程。

//執(zhí)行init函數(shù)，再創(chuàng)建init進程

3.2.2.2從啟動到登錄的流程init函數(shù)init函數(shù)的執(zhí)行，是對系統(tǒng)的“上層建筑”的初始化，此段由主CPU執(zhí)行。init函數(shù)的代碼在init/main.c中。重點在init函數(shù)最后執(zhí)行的execve函數(shù)部分，此部分的執(zhí)行就是系統(tǒng)的第一個進程init真正執(zhí)行。

//RedHatLinux9.0中有此程序，此程序執(zhí)行/etc/inittab文件

3.2.2.3從啟動到登錄的流程/etc/inittab文件（運行getty進程）該文件是init進程需要執(zhí)行的文件。內(nèi)容包括系統(tǒng)的運行級別的配置和getty進程的啟動配置。

文件描述INIT進程設置//respwan：如果本行的命令進程終止，那么init進程應該馬上重新啟動相應的進程3.2.2.4從啟動到登錄的流程getty進程①打開終端命令行②輸出login提示符。

-顯示登錄提示符，/etc/issue內(nèi)容可選地繼續(xù)執(zhí)行*///將提示符寫到終端上，1代表標準輸出，即終端getty進程中顯示提示的代碼如下：/*登錄提示符*/

/*一直顯示顯示登錄提示符*/

3.2.2.4從啟動到登錄的流程getty進程③執(zhí)行l(wèi)ogin程序。

getty程序調(diào)用：excel()再調(diào)用：

//執(zhí)行進程調(diào)度，啟動login3.2.3.1認證程序（1）重要的數(shù)據(jù)結(jié)構(gòu)：passwd和spwdpasswd數(shù)據(jù)結(jié)構(gòu)存放/etc/passwd文件中的數(shù)據(jù)。login程序根據(jù)輸入的用戶名，得到相應的數(shù)據(jù)。

spwd數(shù)據(jù)結(jié)構(gòu)存放/etc/shadow文件中的數(shù)據(jù)，login程序要獲取其中的密文structspwd*sp;structspwd

{

char*sp_namp; /*登錄名*/char*sp_pwdp; /*加密的口令*/

sptime

sp_lstchg; /*最后更改的日期*/

sptime

sp_min; /*更改間隔的最小天數(shù)*/

sptime

sp_max; /*更改間隔的最大天數(shù)*/

sptime

sp_warn; /*密碼過期前的警告天數(shù)*/

sptime

sp_inact; /*密碼過期后直到帳戶無法使用為止的天數(shù)*/

sptime

sp_expire; /*自1970年1月1日起至帳戶到期的天數(shù)*/unsignedlongsp_flag; /*保留以備將來使用*/};（1）重要的數(shù)據(jù)結(jié)構(gòu)：passwd和spwd3.2.3.1認證程序if(*argv){//檢查login時是否提供用戶名

char*p=*argv;username=strdup(p);//獲得登錄的用戶名，strdup(p):將串復制到新建的位置

ask=0;while(*p)*p++='';}elseask=1;//運行l(wèi)ogin時沒有提供用戶名，設置需要向用戶提問要用戶名的標志（2）獲得用戶名3.2.3.1認證程序if(ask){fflag=0;getloginname();//在終端上輸出“l(fā)ogin:”，獲得用戶名

if((pwd=getpwnam(username))){//從/etc/passwd中獲得與登錄用戶相關的信息#ifdefSHADOW_PWD structspwd*sp; if((sp=getspnam(username))) //讀取/etc/shadow中的數(shù)據(jù)，存放到sp中

pwd->pw_passwd=sp->sp_pwdp;#endif}}（3）讀取/etc/passwd與/etc/shadow文件3.2.3.1認證程序pp=getpass(_("Password:"));（4）顯示提示符“Password:”，獲得口令if(pwd==NULL||pwd->pw_uid)checknologin();//檢查有無/etc/nologin文件，有則表示禁止該用戶登錄，輸出/etc/nologin文件中的內(nèi)容（5）檢測該用戶的登錄shell是否為/etc/nologin（6）比較兩個口令if(pwd&&!strcmp(p,pwd->pw_passwd))//比較兩個口令是否相同

break;//若相同則跳出循環(huán)，即認證通過printf(_("Loginincorrect\n"));//輸出“Loginincorrect”，表示口令不正確badlogin(username);/*logALLbadlogins*///在syslog中記錄登錄失敗信息failures++;/*允許10次嘗試，但在3次之后開始推遲*/if(++cnt>3){if(cnt>=10){sleepexit(1);//失敗超過10次，則退出login}sleep((unsignedint)((cnt-3)*5));3.2.3.1認證程序3.2.4.1認證的加密算法加密函數(shù)char*crypt(constchar*key,constchar*salt)key：用戶的明文密碼salt：輔助加密字符串，決定加密函數(shù)crypt所采用的加密算法crypt函數(shù)針對用戶的key和salt使用某種算法進行哈希運算，可以使用多種加密機制salt格式化：$id$salt$encoded不同的id代表不同的算法，不同算法的salt的長度也不同id方

法加密后的口令長度1MD5（12個salt字符）222aBlowfish（12個salt字符）取決于密鑰長度和實現(xiàn)方式，只在某些發(fā)行版中支持

5SHA-256（12個salt字符）436SHA-512（12個salt字符）86參數(shù)id的含義3.2.4.1認證的加密算法DES算法（1）根據(jù)用戶名調(diào)用getspnam獲取對應的spwd項。（2）根據(jù)用戶輸入的口令key調(diào)用crypt(key,spwd->sp_pwdp)（其中sp_pwdp中前面的部分包含salt的值）得到加密后的值encoded_str；（3）將encoded_str與spwd->sp_pwdp進行對比，如果相等，則通過認證。Login認證算法流程salt由2個字符組成，字符范圍：[a-z,A-Z,0-9,.,/]。加密過程：將key與salt拼接，作為密鑰對全0串進行DES加密，生成11個字符，接在salt后形成加密口令。3.2.5.1嵌入式認證模塊PAM的分層設計與實現(xiàn)目的：解決認證功能代碼與應用程序耦合的問題設計思想：分層設計，將認證模塊獨立于應用程序，通過PAMAPI連接。核心功能：動態(tài)加載認證模塊，支持靈活的認證機制。嵌入式認證模塊（PAM）概述模塊位置：64位系統(tǒng)：/lib64/security32位系統(tǒng)：/lib/security配置文件位置：/etc/pam.d/*認證庫：由glibc提供應用程序調(diào)用：通過PAMAPI調(diào)用認證模塊3.2.5.2嵌入式認證模塊（1）用戶執(zhí)行/usr/bin/passwd應用程序，并輸入密碼。（2）passwd程序會調(diào)用PAM進行驗證。（3）PAM到/etc/pam.d/*目錄下尋找與passwd同名的配置文件。（4）當找到配置文件后，PAM根據(jù)/etc/pam.d/passwd的配置信息調(diào)用PAM進行認證。（5）認證完成后，將結(jié)果返給passwd應用程序。（6）passwd程序根據(jù)PAM的返回結(jié)果決定下一個執(zhí)行動作（重新輸入密碼或驗證通過）PAM認證流程（以passwd應用程序為例）3.2.5.2嵌入式認證模塊（4）當找到配置文件后，PAM根據(jù)/etc/pam.d/passwd的配置信息調(diào)用PAM進行認證。PAM認證流程（以passwd應用程序為例）[root@shangtao~]#cat/etc/pam.d/passwd#%PAM-1.0<==PAM的版本號authrequiredpam_sepermit.soauthincludesystem-auth<==每行都是一個驗證環(huán)節(jié)accountincludesystem-authpasswordsubstacksystem-auth-passwordoptionalpam_gnome_keyring.so3.2.5.3嵌入式認證模塊PAM配置文件解析第1個字段：驗證類別（type），主要分為4個模塊，并且依次向下驗證。（1）auth：用來認證用戶的身份信息。如果auth認證的時候需要用到多個模塊，就依次檢查各個模塊。這個模塊通常最終都需要密碼來檢驗，所以下一個模塊用來檢驗用戶身份。如果用戶名沒問題，就授權。（2）account：大部分用來檢查權限，例如檢查用戶名和密碼是否過期等，如果使用一個過期的用戶名或密碼，就不允許驗證通過。如果有多個模塊，也依次檢查各個模塊。（3）password：修改密碼時需要用到，如果用戶不修改密碼，用不到這個模塊

（4）session：限定會話限制。例如下午6點后不允許訪問某程序，用戶會被限制3.2.5.3嵌入式認證模塊PAM配置文件解析第2個字段：驗證控制標志（controlflag），用于控制認證成功或失敗時需要采取的行動，主要分為4種。（1）required：如果驗證成功，則帶有成功（success）的標志；如果驗證失敗，則帶有失?。╢ailure）的標志。驗證失敗就一定會返回失敗的標志，但是不會立即返回，而是等所有模塊驗證完成后才返回，所以不論驗證成功或失敗，都會繼續(xù)后面的流程。（2）requisite：如果驗證失敗，則立即返回failure的標志，并終止后面的流程；如果驗證結(jié)果帶有success的標志，則繼續(xù)后面的流程。（3）sufficient：與requisite正好相反。如果驗證成功，則帶有success的標志，并立即終止后面的流程；如果驗證結(jié)果帶有failure的標志，則繼續(xù)后面的流程。（4）optional：參考功能。3.2.5.3嵌入式認證模塊PAM配置文件解析第3個字段：PAM路徑如下。（1）/etc/pam.d/*：每個程序個別PAM的配置文件；（2）/lib/security/*：PAM檔案的實際放置目錄；（3）/etc/security/*：其他PAM環(huán)境的配置文件；（4）/usr/share/doc/pam-*/：詳細的PAM說明文件3.2.5.3嵌入式認證模塊PAM分類（1）pam_unix.so：傳統(tǒng)用戶名和密碼認證。（2）pam_permit.so：直接通過，允許訪問，定義默認策略。（3）pam_deny.so：拒絕訪問，定義默認策略。（4）pam_cracklib.so：用來檢驗密碼的強度（5）pam_shells.so：檢查用戶登錄的shell是否是安全shell，也就是寫在/etc/shells中的shell。（6）pam_securetty.so：限定管理員只能通過安全的tty登錄，/etc/securetty中。（7）pam_rootok.so：管理員使用su指令切換到其他用戶不用輸入密碼。（8）pam_succeed_if.so：普通用戶使用su指令的時候不需要密碼。（9）pam_limits.so：資源限定打開文件數(shù)，使用進程數(shù)等，對任何人都生效，如/etc/security/limits或/etc/security/limits.d/*。（10）pam_nologin.so：可以限制一般用戶是否能登錄主機，當/etc/nologin這個檔案存在時，則所有一般使用者均無法再登錄系統(tǒng)。PAM配置方式單一配置文件：/etc/pam.conf基于目錄的配置：/etc/pam.d/*（更靈活）3.3.1Windows身份認證技術Windows身份認證技術簡介默認身份認證協(xié)議KerberosNTLMSSL/TLS摘要認證身份認證程序包“協(xié)商”“憑據(jù)安全支持提供程序”無論是使用NTLM協(xié)議還是Kerberos協(xié)議進行身份驗證，都需要用戶密碼的參與3.3.2.1本地認證本地登錄授予用戶訪問本地計算機資源的權限SAM數(shù)據(jù)庫：存儲本地用戶賬戶和組信息位置：C:\Windows\System32\config\sam，掛載在注冊表HKLM\SAM項密碼以LMHash或NTHash形式存儲登錄過程：用戶在登錄界面輸入密碼WinLogon.exe將密碼提交給LSA（LocalSecurityAuthority）LSA驗證密碼是否與SAM中的哈希一致LSA與LSASSLSA(LocalSecurityAuthority)負責用戶身份認證維護本地安全信息，提供SID轉(zhuǎn)換服務LSASS（LocalSecurityAuthoritySubsystemService）跟蹤系統(tǒng)安全策略和賬戶存儲用戶憑據(jù)（如Kerberos票據(jù)、NTHash、LMHash）支持無縫訪問網(wǎng)絡資源3.3.2.1本地認證本地登錄獲取用戶的本地密碼從SAM中導出密碼的哈希從LSASS進程中導出明文密碼或哈希，也可以導出票據(jù)（1）先使用管理員權限打開cmd，輸入以下命令導出 regsavehklm\systemsystem regsavehklm\sam

sam（2）將system和SAM文件從Windows虛擬機復制到KaliLinux虛擬機。使用samdump2工具把密碼從SAM文件中讀取出來，命令如下： samdump2systemsam（3）讀取結(jié)果如下： admin:1000:aad3b435b51404eeaad3b435b51404ee: 56538151fe2e5de3d372faa2924b056b:::其中：admin是用戶名，1000是用戶id，aad3b435b51404eeaad3b435b51404ee是用戶密碼的LMHash，56538151fe2e5de3d372faa2924b056b是用戶密碼的NTHash3.3.2.1本地認證本地登錄LMHash計算方式（1）將密碼轉(zhuǎn)換為大寫admin->ADMIN（2）將大寫密碼轉(zhuǎn)換為十六進制字符串，不足14字節(jié)將用0在后面補齊，然后分成兩個7字節(jié)的部分（3）將兩部分十六進制的數(shù)據(jù)都轉(zhuǎn)換成二進制格式，長度為56位（4）將56位的二進制流按7位一組，分成8組，在每組的后面加一個0，再將8組8位的數(shù)據(jù)合并成64位的二進制流（5）將64位的二進制流轉(zhuǎn)換成十六進制字符串（6）將轉(zhuǎn)換后的十六進制字符串作為密鑰，使用DES加密固定的字符串KGS!@#$%，將得到的結(jié)果轉(zhuǎn)化成十六進制字符串輸出（7）將加密后的左右兩部分合并，得到LMHash3.3.2.2本地認證本地登錄安全LMHash安全問題密碼強度降低，易被破解從WindowsVista開始默認禁用NTHash優(yōu)勢更高的安全性，支持更復雜的密碼彩虹表與哈希破解使用工具（如hashcat）破解LMHash或NTHash支持字典攻擊和暴力破解常見命令破解NTHash：hashcat-m1000-a0<hash>password.txt破解LMHash：hashcat-m3000-a0<hash>password.txt3.3.3.1本地認證NTLM協(xié)議用途：用于客戶端和服務器之間的身份認證局限性：不提供對服務器的身份認證，易受欺騙性服務器攻擊使用場景：當Kerberos不可用時（如計算機不支持Kerberos、服務器未加入域等）NTLM協(xié)議認證流程（1）客戶端發(fā)送NEGOTIATE_MESSAGE，包含客戶端支持的特性和服務器請求的特性列表（2）服務器生成一個16字節(jié)的隨機數(shù)，稱為質(zhì)詢（challenge）或隨機數(shù)，通過CHALLENGE_MESSAGE消息將其發(fā)送給客戶端（3）客戶端使用用戶密碼的哈希值對該質(zhì)詢進行加密生成響應（response），通過AUTHENTICATE_MESSAGE消息將response返回服務器（4）服務器驗證response，若匹配則認證成功3.3.3.2本地認證NTLM協(xié)議安全Net-NTLMHash破解：使用工具（如Responder）嗅探NTLMHash使用hashcat暴力破解密碼哈希傳遞攻擊（PasstheHash，PTH）：使用mimikatz等工具模擬用戶進行NTLM認證，無需明文密碼NTLM中繼攻擊（NTLMreplay）：中間人冒充服務器，利用客戶端的response進行認證3.3.3.3本地認證Kerberos協(xié)議定義：Kerberos協(xié)議是一種用于網(wǎng)絡實體間相互身份驗證的安全機制。優(yōu)勢：比NTLM更安全，支持雙向認證核心組件：客戶端、服務器、密鑰分配中心（KDC）KDC功能：維護域中所有安全主體的賬戶信息，存儲用戶的NTLMHashKerberos認證流程目標：客戶端訪問服務器服務（如共享文件）步驟：（1）客戶端向KDC驗證身份，獲得TGT（票據(jù)授予票據(jù)）（2）通過TGT向KDC申請訪問服務器的票據(jù)（3）KDC驗證TGT和客戶端，下發(fā)服務票據(jù)（4）客戶端將票據(jù)發(fā)送給服務器，服務器驗證票據(jù)后提供服務3.3.3.3本地認證Kerberos協(xié)議的三個子協(xié)議Kerberos認證服務交換目標：客戶端向KDC申請TGT。步驟：客戶端發(fā)送KRB_AS_REQ消息，請求TGT。KDC驗證用戶身份，生成TGT和登錄會話密鑰。KDC使用用戶主密鑰加密登錄會話密鑰，使用KDC主密鑰加密TGT。KDC發(fā)送KRB_AS_REP消息，返回TGT和登錄會話密鑰?？蛻舳私饷懿⒋鎯Φ卿洉捗荑€和TGT。3.3.3.3本地認證Kerberos協(xié)議的三個子協(xié)議Kerberos票據(jù)服務交換目標：客戶端向KDC申請服務票據(jù)。步驟：客戶端發(fā)送KRB_TGS_REQ消息，請求服務票據(jù)。KDC解密TGT，提取登錄會話密鑰。KDC生成服務會話密鑰，使用登錄會話密鑰加密。KDC將服務會話密鑰和用戶授權數(shù)據(jù)嵌入票據(jù)，使用服務器主密鑰加密。KDC發(fā)送KRB_TGS_REP消息，返回服務票據(jù)和服務會話密鑰。客戶端解密并存儲服務會話密鑰和票據(jù)。3.3.3.3本地認證Kerberos協(xié)議的三個子協(xié)議Kerberos客戶端/服務器交換目標：客戶端與服務器建立安全通信會話。步驟：客戶端發(fā)送KRB_AP_REQ消息，包含服務票據(jù)和身份認證器消息。服務器解密票據(jù)，提取會話密鑰和用戶授權數(shù)據(jù)。服務器驗證身份認證器消息中的時間戳。若驗證通過，服務器返回KRB_AP_REP消息，確認相互認證?？蛻舳蓑炞C服務器身份，確認認證成功。3.4.1.1基于USBKey的

身份認證技術Windows7用戶登錄原理（1）WlxNegotiate函數(shù)調(diào)用Winlogon調(diào)用WlxNegotiate函數(shù)，確定GINA與Winlogon的版本兼容性。確定雙方可調(diào)用的函數(shù)列表。（2）WlxInitialize函數(shù)調(diào)用Winlogon調(diào)用WlxInitialize函數(shù)，初始化GINA。GINA獲取Winlogon提供的函數(shù)指針，保存句柄以備后續(xù)調(diào)用。彈出登錄提示對話框（如Ctrl+Alt+Del）。3.4.1.1基于USBKey的

身份認證技術Windows7用戶登錄原理（3）SAS信號觸發(fā)用戶按下Ctrl+Alt+Del，GINA調(diào)用WlxSasNotify生成SAS信號。Winlogon調(diào)用WlxLoggedOutSAS函數(shù)，進入未登錄狀態(tài)。GINA通過登錄對話框獲取用戶賬號和密碼，提交給LSA進行認證。（4）LSA身份認證LSA加載MSV1_0認證包，驗證用戶身份。用戶密碼通過單向哈希函數(shù)生成密鑰，與SAM數(shù)據(jù)庫中的密鑰比對。認證成功則生成用戶的安全訪問令牌（包含SID和組SID）3.4.1.1基于USBKey的

身份認證技術Windows7用戶登錄原理（5）認證結(jié)果處理認證失敗：Winlogon保持未登錄狀態(tài)，提示重新輸入。認證成功：LSA建立登錄會話，返回安全令牌。（6）用戶桌面配置Winlogon配置用戶桌面的ACL，確保僅該用戶可見。調(diào)用WlxActivateUser