鑒別認(rèn)證及訪問控制技術(shù)67課件

第8章鑒別認(rèn)證及訪問控制技術(shù)8.1身份認(rèn)證技術(shù)概述8.2登錄認(rèn)證和授權(quán)管理8.3數(shù)字簽名技術(shù)8.4專用數(shù)字簽名方法8.5訪問控制技術(shù)8.6安全審計(jì)技術(shù)本章要點(diǎn)身份認(rèn)證技術(shù)的概念、種類和方法數(shù)字簽名技術(shù)及應(yīng)用數(shù)字時(shí)間戳技術(shù)訪問控制技術(shù)及應(yīng)用安全審計(jì)技術(shù)及應(yīng)用8.1身份認(rèn)證技術(shù)概述8.1.1身份認(rèn)證的概念1.認(rèn)證技術(shù)的概念認(rèn)證（Authentication）是通過對(duì)網(wǎng)絡(luò)系統(tǒng)使用過程中的主客體進(jìn)行鑒別，并經(jīng)過確認(rèn)主客體的身份以后，給這些主客體賦予恰當(dāng)?shù)臉?biāo)志、標(biāo)簽、證書等的過程。身份認(rèn)證（IdentityandAuthenticationManagement）是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的用戶在進(jìn)入系統(tǒng)或訪問不同保護(hù)級(jí)別的系統(tǒng)資源時(shí)，系統(tǒng)確認(rèn)該用戶的身份是否真實(shí)、合法和唯一的過程。認(rèn)證是為了防止敵方的主動(dòng)攻擊。認(rèn)證包括三個(gè)方面：消息認(rèn)證身份認(rèn)證數(shù)字簽名8.1.1身份認(rèn)證的概念3.認(rèn)證技術(shù)種類(1)認(rèn)證技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全中的一個(gè)重要內(nèi)容，一般可以分為兩種：(1)消息認(rèn)證：用于保證信息的完整性和抗否認(rèn)性。通常用戶確認(rèn)網(wǎng)上信息的真假及信息是否被修改或偽造，就需要消息認(rèn)證(2)身份認(rèn)證：用于鑒別用戶身份。包括①識(shí)別：明確并區(qū)分訪問者的身份②驗(yàn)證：對(duì)訪問者聲稱的身份進(jìn)行確認(rèn)8.1.1身份認(rèn)證的概念3.認(rèn)證技術(shù)種類(2)常用的身份認(rèn)證技術(shù)主要包括：(1)基于秘密信息的身份認(rèn)證方法①口令認(rèn)證②單項(xiàng)認(rèn)證③雙向認(rèn)證④零知識(shí)認(rèn)證共同特點(diǎn)是：只依賴于用戶知道的某個(gè)秘密的信息(2)基于物理安全的身份認(rèn)證方法基于生物學(xué)的認(rèn)證方案包括基于指紋識(shí)別的身份認(rèn)證基于聲音識(shí)別的身份認(rèn)證基于虹膜識(shí)別的身份認(rèn)證等技術(shù)?；谥悄芸ǖ纳矸菡J(rèn)證機(jī)制在認(rèn)證時(shí)需要一個(gè)硬件，稱為智能卡。智能卡中存有秘密信息，通常是一個(gè)隨機(jī)數(shù)，只有持卡人才能被認(rèn)證。8.1.1身份認(rèn)證的概念4.身份認(rèn)證系統(tǒng)的組成身份認(rèn)證系統(tǒng)的組成包括認(rèn)證服務(wù)認(rèn)證系統(tǒng)用戶端軟件認(rèn)證設(shè)備身份認(rèn)證系統(tǒng)主要是通過身份認(rèn)證協(xié)議和有關(guān)軟硬件實(shí)現(xiàn)的。其中身份認(rèn)證協(xié)議有兩種：雙向認(rèn)證協(xié)議單向認(rèn)證協(xié)議8.1.2身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：1.用戶名及密碼方式用戶名及密碼方式是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，由用戶自己設(shè)定，只有用戶本人知道。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。2.智能卡認(rèn)證智能卡是一種內(nèi)置集成的電路芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。8.1.2身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：3.動(dòng)態(tài)令牌認(rèn)證動(dòng)態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種動(dòng)態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。采用一次一密的方法。例：建行（見備注）8.1.2身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：4.USBKey認(rèn)證基于USBKey的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。基于USBKey身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。例：建行（見備注）8.1.2身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：6.CA認(rèn)證CA(CertificationAuthority)是認(rèn)證機(jī)構(gòu)的國際通稱，它是對(duì)數(shù)字證書的申請(qǐng)者發(fā)放、管理、取消數(shù)字證書的機(jī)構(gòu)。CA的作用：是檢查證書持有者身份的合法性，并簽發(fā)證書(用數(shù)學(xué)方法在證書上簽字)，以防證書被偽造或篡改。網(wǎng)絡(luò)身份證的發(fā)放、管理和認(rèn)證就是一個(gè)復(fù)雜的過程，也就是CA認(rèn)證。CA職能管理和維護(hù)客戶的證書和證書作廢表維護(hù)自身的安全提供安全審計(jì)的依據(jù)8.2登錄認(rèn)證與授權(quán)管理8.2.1用戶登錄認(rèn)證1.單次登錄所面臨的挑戰(zhàn)單次登錄（SingleSignOn，簡(jiǎn)稱SSO）是指用戶只向網(wǎng)絡(luò)進(jìn)行一次身份驗(yàn)證，以后再無需另外驗(yàn)證身份，便可訪問所有被授權(quán)的網(wǎng)絡(luò)資源。單次登錄技術(shù)SSO所面臨的挑戰(zhàn)包括幾個(gè)方面。(1)多種應(yīng)用平臺(tái)(2)不同的安全機(jī)制(3)不同的賬戶服務(wù)系統(tǒng)8.2.1用戶登錄認(rèn)證2.單次登錄的優(yōu)點(diǎn)實(shí)現(xiàn)單次登錄SSO，對(duì)于用戶的好處主要有：(1)管理更簡(jiǎn)單(2)管理控制更方便(3)用戶使用更快捷(4)更高的網(wǎng)絡(luò)安全性(5)合并異構(gòu)網(wǎng)絡(luò)8.2.2認(rèn)證授權(quán)管理2.認(rèn)證授權(quán)管理的原則為達(dá)成以上的目標(biāo)模式，應(yīng)遵循以下的指導(dǎo)原則：(1)統(tǒng)一規(guī)劃管理，分步部署實(shí)施(2)建立統(tǒng)一的信息安全服務(wù)平臺(tái)，提供統(tǒng)一的身份認(rèn)證和訪問管理服務(wù)(3)保護(hù)現(xiàn)有IT投資，并便于未來擴(kuò)展8.3數(shù)字簽名技術(shù)8.3.1數(shù)字簽名概念及功能1.數(shù)字簽名的概念數(shù)字簽名（DigitalSignature）是指用戶以個(gè)人的私鑰對(duì)原始數(shù)據(jù)進(jìn)行加密所得的特殊數(shù)字串。專門用于保證信息來源的真實(shí)性、數(shù)據(jù)傳輸?shù)耐暾院头赖仲囆?。?shù)字簽名在電子銀行、證券和電子商務(wù)等方面應(yīng)用非常廣泛。從法律上講，簽名有兩個(gè)功能，即標(biāo)識(shí)簽名人和表示簽名人對(duì)文件內(nèi)容的認(rèn)可8.3.1數(shù)字簽名概念及功能2.數(shù)字簽名的特點(diǎn)傳統(tǒng)簽名的基本特點(diǎn):能與被簽的文件在物理上不可分割,不可重用簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被自動(dòng)驗(yàn)證8.3.1數(shù)字簽名概念及功能3.數(shù)字簽名的方法和功能(2)數(shù)字簽名的功能：(1)簽名是可信的。文件的接受者相信簽名者是慎重地在文件上簽名的；(2)簽名不可抵賴。發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名，可以核實(shí)；(3)簽名不可偽造。簽名可以證明是簽字者而不是其他人在文件上簽字；(4)簽名不可重用。簽名是文件的一部分，不可能將簽名移動(dòng)到其它的文件上。(5)簽名不可變更。簽名和文件就不能改變，簽名和文件也不可分離。(6)數(shù)字簽名有一定的處理速度，能夠滿足所有的應(yīng)用需求。8.3.2數(shù)字簽名的種類以方式分直接數(shù)字簽名directdigitalsignature仲裁數(shù)字簽名arbitrateddigitalsignature以安全性分無條件安全的數(shù)字簽名計(jì)算上安全的數(shù)字簽名以可簽名次數(shù)分一次性的數(shù)字簽名多次性的數(shù)字簽名按實(shí)現(xiàn)技術(shù)分，有5種：8.3.2數(shù)字簽名的種類1.手寫簽名或圖章的識(shí)別即將手寫簽名或印章作為圖像，用光掃描經(jīng)光電轉(zhuǎn)換后在數(shù)據(jù)庫中加以存儲(chǔ)，當(dāng)驗(yàn)證此人的手寫簽名或蓋印時(shí)，也用光掃描輸入，并將原數(shù)據(jù)庫中的對(duì)應(yīng)圖像調(diào)出，用模式識(shí)別的數(shù)學(xué)計(jì)算方法對(duì)將兩者進(jìn)行比對(duì)，以確認(rèn)該簽名或印章的真?zhèn)巍?.生物識(shí)別技術(shù)生物識(shí)別技術(shù)是利用人體生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征個(gè)人的唯一表征，可以測(cè)量、自動(dòng)識(shí)別和驗(yàn)證。人們同識(shí)別系統(tǒng)交互進(jìn)行身份認(rèn)證時(shí)，識(shí)別系統(tǒng)獲取其特征并與數(shù)據(jù)庫中的特征模板進(jìn)行比對(duì)，確定匹配確認(rèn)5.3.2數(shù)字簽名的種類5.基于PKI的電子簽名數(shù)字簽名只是電子簽名的一種特定形式，基于PKI的電子簽名被稱作數(shù)字簽名。目前，具有實(shí)際意義的電子簽名只有公鑰密碼理論。所以，國內(nèi)外普遍目前使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施，PKI可提供多種網(wǎng)上安全服務(wù)，如認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)性8.3.3數(shù)字簽名的技術(shù)實(shí)現(xiàn)方法1.身份認(rèn)證的實(shí)現(xiàn)(1)PKI提供的服務(wù)首先是認(rèn)證，即身份識(shí)別與鑒別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體。認(rèn)證的前提是甲、乙雙方都具有第三方CA所簽發(fā)的證書。認(rèn)證分單向認(rèn)證甲、乙雙方在網(wǎng)上通信時(shí)，甲只需要認(rèn)證乙的身份雙向認(rèn)證。散列函數(shù)用于報(bào)文鑒別的散列函數(shù)具有下列性質(zhì)：能用于任何長(zhǎng)度的數(shù)據(jù)分組能產(chǎn)生定長(zhǎng)的輸出對(duì)任何給定的分組，散列值容易計(jì)算單向性，即對(duì)任何給定散列值，求其輸入值在計(jì)算上不可能的防止強(qiáng)抗沖突，即尋找任意兩個(gè)分組對(duì)，使其散列值相同在計(jì)算上不可行。常用的散列函數(shù)有MD、MD2、MD4、MD5，SHA-1等如MD5、SHA-1算法處理報(bào)文產(chǎn)生摘要的步驟主要有附加填充比特補(bǔ)數(shù)據(jù)長(zhǎng)度初始化MD5參數(shù)處理512位（16字節(jié)）的報(bào)文分組序列輸出結(jié)果8.3.3數(shù)字簽名的技術(shù)實(shí)現(xiàn)方法3.數(shù)字簽名的操作過程數(shù)字簽名的操作過程需要有發(fā)方的簽名證書的私鑰及其驗(yàn)證公鑰。具體操作過程為：首先是生成被簽名的電子文件（電子簽名法中稱數(shù)據(jù)電文），然后對(duì)電子文件用哈希算法做數(shù)字摘要，再對(duì)數(shù)據(jù)摘要用簽名方私鑰做非對(duì)稱加密，即做數(shù)字簽名；之后將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進(jìn)行封裝，形成簽名結(jié)果發(fā)送給收方，待收方驗(yàn)證。8.3.3數(shù)字簽名的技術(shù)實(shí)現(xiàn)方法4、原文保密的數(shù)據(jù)簽名的實(shí)現(xiàn)方法信息信息摘要數(shù)字簽名HashRSA①PVA②MDDS加密信息數(shù)字信封E+DE⑤⑩加密信息數(shù)字信封DERSAPVB⑥SKDESSK⑦數(shù)字簽名信息PBA,DSDS數(shù)字簽名DSPSAPBB⑧信息摘要HashMD‘信息摘要MD⑨比較數(shù)字簽名 A簽名驗(yàn)證BE信息數(shù)字簽名PBA,SCADES

加密加密信息③發(fā)方的證書PBB,SCBSKRSAPVB④SKDE數(shù)字信封顯示了整個(gè)文件加密傳輸?shù)?0個(gè)步驟：①在發(fā)送方A，將要傳送的信息通過哈希運(yùn)算，得到一個(gè)哈希值，即數(shù)據(jù)摘要MD。②A用自己的私鑰PVA,采用RSA算法對(duì)MD報(bào)文摘要加密，即得數(shù)字簽名DS。③將DS和發(fā)送方A的認(rèn)證證書PBA附在原始信息上打包，使用DES算法生成的對(duì)稱密鑰SK在發(fā)送方的計(jì)算機(jī)上為信息包加密，得到加密信息E。④用預(yù)先收到的接收方B的公鑰PBB為對(duì)稱密鑰SK加密，得到數(shù)字信封DE。⑤發(fā)送方A將加密信息E和數(shù)字信封DE合成一個(gè)新的信息包，通過因特網(wǎng)傳到接收方的計(jì)算機(jī)上。⑥接收方B用自己的私鑰PVB解密數(shù)字信封，得到對(duì)稱密鑰SK。⑦收方B用得到的的對(duì)稱密鑰SK解密加密信息E，得到原始信息、數(shù)字簽字DS和發(fā)送方的認(rèn)證證書PBA。⑧收方B驗(yàn)證數(shù)字簽名，先用發(fā)方A的公鑰(置于發(fā)送方的認(rèn)證證書中)解密數(shù)字簽字，得到報(bào)文摘要MD。⑨將收到的原始信息通過哈什函數(shù)變換為報(bào)文摘要MD‘。⑩將第(8)步和第(9)步得到的信息摘要加以比較，以確認(rèn)信息的完整性。8.4專用數(shù)字簽名方法 數(shù)字時(shí)間戳盲簽名雙聯(lián)簽名團(tuán)體簽名不可爭(zhēng)辯簽名8.4.1數(shù)字時(shí)間戳問題的提出：甲交給乙一張簽名數(shù)字支票，乙把支票拿到銀行驗(yàn)證簽名，然后把錢從甲的賬戶上轉(zhuǎn)到自己的賬戶上。過了一段時(shí)間，乙將其保存的數(shù)字支票的副本拿到銀行，銀行驗(yàn)證數(shù)字支票并在甲不知情的情況下把錢從甲的賬戶上轉(zhuǎn)到乙的賬戶上。交易文件中，時(shí)間和簽名一樣是十分重要的證明文件有效性的內(nèi)容。因此，數(shù)字簽名經(jīng)常包括時(shí)間標(biāo)記。數(shù)字時(shí)間戳(電子郵戳)DTS網(wǎng)絡(luò)安全中，需要對(duì)傳輸資料文件的日期和時(shí)間信息采取安全措施，可通過DTS(DigitalTime-stampService)實(shí)現(xiàn)，它對(duì)電子文件提供發(fā)表時(shí)間的安全保護(hù)。該服務(wù)由專門的網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)提供。解決EC交易中文件簽署的日期和時(shí)間信息的安全問題,避免文檔簽名方在時(shí)間上欺詐的可能性，具有不可否認(rèn)性它是一個(gè)經(jīng)過加密形成的憑證文檔，組成：(1)需要加載時(shí)間戳的文件的摘要；(2)DTS收到文件的日期和時(shí)間；(3)DTS的數(shù)字簽名。加蓋時(shí)間戳有效阻止了文檔簽名一方在時(shí)間上欺詐的可能性,使信息具有不可否認(rèn)性.8.4.1數(shù)字時(shí)間戳數(shù)字時(shí)間戳應(yīng)當(dāng)具有以下功能：（1）信息文件加上去的時(shí)間戳與存儲(chǔ)信息的物理媒介無關(guān)；（2）對(duì)已加上數(shù)字時(shí)間戳的信息文件不能作任何改動(dòng)和偽造；（3）要想在某個(gè)信息文件中加上與當(dāng)前日期和時(shí)間不同的時(shí)間戳是不可能的8.4.1數(shù)字時(shí)間戳數(shù)字時(shí)間戳的產(chǎn)生1)發(fā)送方對(duì)文件產(chǎn)生消息摘要。2)發(fā)送方將摘要發(fā)送到專門提供數(shù)字時(shí)間戳服務(wù)的權(quán)威機(jī)構(gòu)。3)權(quán)威機(jī)構(gòu)對(duì)原摘要加入時(shí)間后，用私鑰加密，進(jìn)行數(shù)字簽名。4)權(quán)威機(jī)構(gòu)將加入時(shí)間后的新摘要發(fā)送給消息發(fā)送方用戶文件數(shù)字簽名&Hash權(quán)威時(shí)間源時(shí)間戳服務(wù)器時(shí)間戳請(qǐng)求獲得數(shù)字時(shí)間戳的過程公證第三方機(jī)構(gòu)簽名發(fā)送到乙方8.4.2盲簽名一般數(shù)字簽名中，總是要先知道文件內(nèi)容而才簽署。而有時(shí)需要某人對(duì)一個(gè)文件簽名，但又不讓他知道文件的內(nèi)容，稱為盲簽名。實(shí)現(xiàn)盲簽名的原理：①A取一文件以一隨機(jī)值乘之，稱此隨機(jī)值為盲因子；②A將此盲文件簽名；③B對(duì)盲文件簽名；④A以盲因子除之，得到B對(duì)原文件的簽名盲變換T逆盲變換T-1簽名者B簽名SigBT(m)接收者A接收者A8.4.3雙聯(lián)簽名在實(shí)際商務(wù)活動(dòng)中常出現(xiàn)這種情形，持卡人給商家發(fā)送訂購信息和自己的付款帳戶信息時(shí)，既不希望商家看到自己的付款帳戶信息，也不希望處理商家付款信息的第三方（如銀行）看到訂貨信息。這就需要用雙聯(lián)簽名。訂貨信息M1付款信息M2HH||Sig(MD)MD1MD2商家銀行M1，MD2，Sig(MD)→商家M2，MD1，Sig(MD)→銀行8.4.4團(tuán)體簽名問題的提出：公司有一臺(tái)網(wǎng)絡(luò)打印機(jī)，只允許本部門的人員才能使用打印機(jī)。因此，打印前，必須使打印機(jī)確信用戶是屬于該部門的員工；同時(shí)，公司想保密，不可以暴露用戶的姓名。然而，如果有人在當(dāng)天結(jié)束時(shí)發(fā)現(xiàn)打印機(jī)用得太頻繁，主管者必須能夠找出是誰濫用了那臺(tái)打印機(jī)，并給他一個(gè)帳單?？衫脠F(tuán)體簽名解決這一問題。團(tuán)體簽名有以下特性：⑴只有該團(tuán)體內(nèi)的成員能對(duì)消息簽名；⑵簽名的接收者能夠證實(shí)消息是該團(tuán)體的有效簽名；⑶簽名的接收者不能決定是該團(tuán)體內(nèi)哪一個(gè)成員簽的名；⑷在出現(xiàn)爭(zhēng)議時(shí)，簽名能夠被“打開”，以揭示簽名者的身份。8.4.4團(tuán)體簽名一個(gè)可信仲裁者T的團(tuán)體簽名方案：①T生成一大批公開密鑰/私鑰密鑰對(duì)，并且給團(tuán)體內(nèi)每個(gè)成員一個(gè)不同的唯一私鑰。團(tuán)體中每個(gè)成員的密鑰都是不同的；②T以隨機(jī)順序公開該團(tuán)體所用的公開密鑰，T保持一個(gè)哪些密鑰屬于誰的秘密記錄；③當(dāng)團(tuán)體內(nèi)成員想對(duì)一個(gè)文件簽名時(shí)，他用自己的私鑰簽名；④當(dāng)有人想驗(yàn)證簽名是否屬于該團(tuán)體時(shí)，只需查找公鑰表并驗(yàn)證其簽名；⑤當(dāng)爭(zhēng)議發(fā)生時(shí)，T知道哪個(gè)公鑰對(duì)應(yīng)于哪個(gè)成員8.4.5不可爭(zhēng)辯簽名問題的提出：在互聯(lián)網(wǎng)上，一些文件雖然具有合法的簽名，但它易被復(fù)制，如電子出版物等具有知識(shí)產(chǎn)權(quán)的文件。為了防止所簽名的文件被復(fù)制，引出了不可爭(zhēng)辯簽名。不可爭(zhēng)辯簽名的特點(diǎn)和實(shí)現(xiàn)不可爭(zhēng)辯簽名是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。在簽名人合作下才能驗(yàn)證簽名，又會(huì)給簽名者一種機(jī)會(huì)，在不利于他時(shí)可拒絕合作，因而不具有“不可否認(rèn)性”。8.4.5不可爭(zhēng)辯簽名不可爭(zhēng)辯簽名除了一般簽名體制中的簽名算法和驗(yàn)證算法（或協(xié)議）外，還需要第三個(gè)組成部分，即否認(rèn)協(xié)議；簽名者利用不可爭(zhēng)辯簽名可向法庭或公眾證明一個(gè)偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。在這種簽名方案中，任何人能夠驗(yàn)證簽名者實(shí)際產(chǎn)生的簽名，但簽名者的合作者還需要驗(yàn)證該消息是有效的。數(shù)字信封數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來加密信息，然后將此對(duì)稱密鑰用接收方的公開密鑰來加密（這部分稱為數(shù)字信封）之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開信息。數(shù)字印章電子印章技術(shù)以先進(jìn)的數(shù)字技術(shù)模擬傳統(tǒng)實(shí)物印章，對(duì)電子文檔的簽章操作，以保證簽章電子文檔的完整性、真實(shí)性、可靠性以及簽章實(shí)體對(duì)其操作的不可抵賴性等。

數(shù)字水印數(shù)字水印（DigitalWatermark）技術(shù)是通過一定的算法將一些標(biāo)志性信息直接嵌入到多媒體內(nèi)容當(dāng)中，但不影響原內(nèi)容的價(jià)值和使用，并且不能被人的知覺系統(tǒng)覺察或注意到，只有通過專用的檢測(cè)器或閱讀器才能提取。數(shù)字水印技術(shù)側(cè)重于解決電子印章打印出來之后印章的防偽問題。用來識(shí)別文件、圖像或音樂制品的來源、版本、原作者、擁有者、發(fā)行人、合法使用人對(duì)數(shù)字產(chǎn)品的擁有權(quán)。

8.5訪問控制技術(shù)8.5.1訪問控制概述1.訪問控制的概念訪問控制（VisitControl）是指對(duì)網(wǎng)絡(luò)中的某些資源訪問進(jìn)行的控制，只有被授予不同權(quán)限的用戶，才有資格訪問特定的資源、程序或數(shù)據(jù)。為了保護(hù)數(shù)據(jù)的安全性，還可限定一些數(shù)據(jù)資源的讀寫范圍。是在保障授權(quán)用戶能獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制。網(wǎng)絡(luò)的訪問控制技術(shù)是通過對(duì)訪問的申請(qǐng)、批準(zhǔn)和撤銷的全過程進(jìn)行有效的控制。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的基礎(chǔ)，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制是主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或是其資源進(jìn)行的不同授權(quán)訪問。訪問控制包括三個(gè)要素，即主體、客體和控制策略。8.5.1訪問控制概述2.訪問控制策略有7種：(1)入網(wǎng)訪問控制策略(2)網(wǎng)絡(luò)的權(quán)限控制策略(3)目錄級(jí)安全控制策略(4)屬性安全控制策略(5)網(wǎng)絡(luò)服務(wù)器安全控制策略(6)網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制策略(7)網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制策略。8.5.1訪問控制概述3.訪問控制的內(nèi)容訪問控制的實(shí)現(xiàn)首先要考慮對(duì)合法用戶進(jìn)行驗(yàn)證，然后是對(duì)控制策略的選用與管理，最后要對(duì)非法用戶或是越權(quán)操作進(jìn)行管理。訪問控制包括認(rèn)證、控制策略實(shí)現(xiàn)和安全審計(jì)三個(gè)方面的內(nèi)容認(rèn)證：包括主體對(duì)客體的識(shí)別認(rèn)證和客體對(duì)主體的檢驗(yàn)認(rèn)證控制策略實(shí)現(xiàn)：如何廟宇規(guī)則集合從而確保正常用戶對(duì)信息資源的合法使用，既要防止非法用戶，也要考慮敏感資源的泄露。安全審計(jì)：使系統(tǒng)自動(dòng)記錄網(wǎng)絡(luò)中的“正?！辈僮鳌ⅰ胺钦！辈僮骷笆褂脮r(shí)間、敏感信息等。如同飛機(jī)上“黑匣子”8.5.2訪問控制的模式及管理1.訪問控制的層次一般可以將訪問控制分為2個(gè)層次：物理訪問控制和邏輯訪問控制。通常，物理訪問控制包括標(biāo)準(zhǔn)的鑰匙、門、鎖和設(shè)備標(biāo)簽等，而邏輯訪問控制則是在數(shù)據(jù)、應(yīng)用、系統(tǒng)和網(wǎng)絡(luò)等層面實(shí)現(xiàn)的。對(duì)于銀行、證券等重要金融機(jī)構(gòu)的網(wǎng)站，網(wǎng)絡(luò)信息安全重點(diǎn)關(guān)注的是邏輯訪問控制，物理訪問控制則主要由其他類型的安全部門完成。8.5.2訪問控制的模式及管理2.訪問控制的模式主要的訪問控制模式有三種：(1)自主訪問控制（DAC）指由資源的所有者決定是否允許特定的人訪問資源。(2)強(qiáng)制訪問控制（MAC）指定義幾個(gè)特定的信息安全級(jí)別，將資源歸屬于這些安全級(jí)別中。(3)基于角色的訪問控制（RBAC）指主體基于特定的角色訪問客體，操作權(quán)限定義在角色當(dāng)中。一個(gè)主體可以有多個(gè)角色，一個(gè)角色可以賦予多個(gè)主體。其基于的前提是主體是變化頻繁的，而角色變化并不頻繁8.5.2訪問控制的模式及管理3.訪問控制規(guī)則(1)訪問者主體對(duì)客體的訪問可以基于身份，也可以基于角色。即“訪問者”可以是身份標(biāo)識(shí)，也可以是角色。從業(yè)務(wù)角度對(duì)系統(tǒng)進(jìn)行統(tǒng)一的角色定義是實(shí)現(xiàn)統(tǒng)一訪問管理的最佳實(shí)踐。(2)資源對(duì)資源的保護(hù)應(yīng)包括兩個(gè)層面：物理層和邏輯層。(3)訪問控制規(guī)則8.5.3訪問控制的安全策略1.安全策略實(shí)施原則(1)最小特權(quán)原則指主體執(zhí)行操作時(shí)，按照主體所需權(quán)利的最小化原則分配給主體權(quán)力。其優(yōu)點(diǎn)是最大限度地限制了主體實(shí)施授權(quán)行為，可避免來自突發(fā)事件、錯(cuò)誤和示授權(quán)主體的危險(xiǎn)。(2)最小泄漏原則指主體執(zhí)行任務(wù)時(shí)，按照主體所需要知道的信息最小化的原則分配主體權(quán)力(3)多級(jí)安全策略指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級(jí)別的絕密TS、秘密S、機(jī)密C、限制RS和無級(jí)別U5級(jí)來劃分。其優(yōu)點(diǎn)是避免敏感信息的擴(kuò)散。8.5.3訪問控制的安全策略2.基于身份的規(guī)則的安全策略建立基于身份安全策略和基于規(guī)則安全策略的基礎(chǔ)是授權(quán)行為。(1)基于身份的安全策略是過濾對(duì)數(shù)據(jù)或資源的訪問，只有通過認(rèn)證的那些主體才有可能正常使用客體的資源。(2)基于規(guī)則的安全策略該策略中的授權(quán)通常依賴于敏感性。8.5.3訪問控制的安全策略3.綜合訪問控制策略訪問控制技術(shù)的目標(biāo)是防止對(duì)任何資源的非法訪問。從應(yīng)用方面的訪問控制策略包括以下幾個(gè)方面。(1)入網(wǎng)訪問控制(2)網(wǎng)絡(luò)的權(quán)限控制(3)目錄級(jí)安全控制(4)屬性安全控制(5)網(wǎng)絡(luò)服務(wù)器安全控制(6)網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制(7)網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制(8)防火墻控制8.5.4認(rèn)證服務(wù)與訪問控制系統(tǒng)1.AAA技術(shù)概述AAA(Authentication、Authorization和Accounting，簡(jiǎn)稱AAA)是指認(rèn)證、鑒權(quán)和審計(jì)，基于AAA技術(shù)的中心認(rèn)證系統(tǒng)正是用于遠(yuǎn)程用戶的管理。AAA并非一種具體的實(shí)現(xiàn)技術(shù)，而是一種安全體系結(jié)構(gòu)，它所實(shí)現(xiàn)的功能用簡(jiǎn)單形象的比喻來說，即：它是誰?可以做什么?最后做了些什么?AAA系統(tǒng)提供的服務(wù)有認(rèn)證、鑒權(quán)、審計(jì)3種。認(rèn)證：是驗(yàn)證用戶的身份好整以暇可使用的網(wǎng)絡(luò)服務(wù)授權(quán)：是依據(jù)認(rèn)證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶審計(jì)：是記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。8.5.4認(rèn)證服務(wù)與訪問控制系統(tǒng)2.遠(yuǎn)程鑒權(quán)撥入用戶服務(wù)遠(yuǎn)程鑒權(quán)撥入用戶服務(wù)(RemoteAuthenticationDialInUserService，簡(jiǎn)稱RADIUS)，主要用于管理通過遠(yuǎn)程線路撥入企業(yè)網(wǎng)絡(luò)獲得相應(yīng)訪問資源的分散用戶。當(dāng)用戶想要通過遠(yuǎn)程網(wǎng)絡(luò)與網(wǎng)絡(luò)接入服務(wù)器建立連接時(shí)，運(yùn)行RADIUS協(xié)議的網(wǎng)絡(luò)接入服務(wù)器作為客戶端負(fù)責(zé)把用戶的認(rèn)證、鑒權(quán)和審計(jì)信息發(fā)送給事先配置好的RADIUS服務(wù)器。RADIUS服務(wù)器同時(shí)根據(jù)用戶的動(dòng)作進(jìn)行審計(jì)并記錄其計(jì)費(fèi)信息8.5.4認(rèn)證服務(wù)與訪問控制系統(tǒng)3.終端訪問控制器訪問控制系統(tǒng)終端訪問控制器訪問控制系統(tǒng)TACACS（TerminalAccessControllerAccessControlSystem）的功能是通過一個(gè)或多個(gè)中心服務(wù)器為網(wǎng)絡(luò)設(shè)備提供訪問控制服務(wù)。TACACS是Cisco私有的協(xié)議，它支持獨(dú)立的身份認(rèn)證、鑒權(quán)和審計(jì)功能8.6安全審計(jì)技術(shù)8.6.1安全審計(jì)概述1.安全審計(jì)的概念及目的計(jì)算機(jī)網(wǎng)絡(luò)安全審計(jì)（Audit）是通過一定的安全策略，利用記錄及分析系統(tǒng)活動(dòng)和用戶活動(dòng)的歷史操作事件，按照順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)，其中系統(tǒng)活動(dòng)包括操作系統(tǒng)和應(yīng)用程序進(jìn)程的活動(dòng)；用戶活動(dòng)包括用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng)，如用戶使用何種資源、使用的時(shí)間、執(zhí)行何種操作等方面，發(fā)現(xiàn)系統(tǒng)的漏洞和入侵現(xiàn)為并改進(jìn)系統(tǒng)的性能和安全。安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的審查與估計(jì)。目的在于：8.6.1安全審計(jì)概述1.安全審計(jì)的概念及目的安全審計(jì)就是對(duì)系統(tǒng)的記錄與行為進(jìn)行獨(dú)立的審查與估計(jì)。目的在于：對(duì)潛在的攻擊者起到重大震懾和警告作用測(cè)試系統(tǒng)的控制是否恰當(dāng)，以便進(jìn)行調(diào)整，保證與既定安全策略和操作協(xié)調(diào)一致對(duì)已發(fā)生的破壞行為，作出損害評(píng)估并提供有效的災(zāi)難恢復(fù)依據(jù)和追究責(zé)任的證據(jù)對(duì)系統(tǒng)控制、安全策略與規(guī)程中特定的改變作出評(píng)價(jià)和反饋，便于修訂決策和部署為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞8.6.1安全審計(jì)概述2.安全審計(jì)的類型安全審計(jì)有三種類型：(1)系統(tǒng)級(jí)審計(jì)主要包括登錄情況、登錄識(shí)別號(hào)、每次登錄嘗試的日期和具體時(shí)間、每次退出的日期和時(shí)間、所使用的設(shè)備、登錄后運(yùn)行的內(nèi)容(2)應(yīng)用級(jí)審計(jì)審計(jì)的內(nèi)容包括打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯和刪除記錄或字段的特定操作及打印報(bào)告之類的用戶活動(dòng)?？赡軣o法跟蹤和記錄應(yīng)用中的事件，也可能無法提供應(yīng)用和數(shù)據(jù)擁有者需要的足夠的細(xì)節(jié)信息(3)用戶級(jí)審計(jì)該審計(jì)通常包括：用戶直接啟動(dòng)的所有命令、用戶所有的鑒別和認(rèn)證嘗試、用戶所訪問的文件和資源等方面。8.6.1安全審計(jì)概述3.安全審計(jì)系統(tǒng)的基本結(jié)構(gòu)安全審計(jì)是通過對(duì)所關(guān)心的事件進(jìn)行記錄和分析來實(shí)現(xiàn)的，因此審計(jì)過程包括審計(jì)發(fā)生器、日志記錄器、日志分析器和報(bào)告機(jī)制幾部分，如圖所示8.6.2系統(tǒng)日記審計(jì)1.系統(tǒng)日志的內(nèi)容系統(tǒng)日志的內(nèi)容包括日志系統(tǒng)可根據(jù)安全的強(qiáng)度要求，選擇記錄下列部分或全部的事件。(1)審計(jì)功能的啟動(dòng)和關(guān)閉。(2)使用身份驗(yàn)證機(jī)制。(3)將客體引入主體的地址空間。(4)刪除客體。(5)管理員、安全員、審計(jì)員和一般操作人員的操作。(6)其他專門定義的可審計(jì)事件8.6.2系統(tǒng)日記審計(jì)2.日志分析日志分析就是在日志中尋找模式，主要內(nèi)容如下：(1)潛在侵害分析(2)基于異常檢測(cè)的輪廓(3)簡(jiǎn)單攻擊探測(cè)(4)復(fù)雜攻擊探測(cè)8.6.2系統(tǒng)日記審計(jì)3.審計(jì)事件查閱審計(jì)系統(tǒng)的安全主要是查閱和存儲(chǔ)的安全。審計(jì)事件的查閱應(yīng)該受到嚴(yán)格的限制，不能篡改日志。通常通過以下不同的層次保證查閱的安全：(1)審計(jì)查閱(2)有限審計(jì)查閱(3)可選審計(jì)查閱8.6.2系統(tǒng)日記審計(jì)4.審計(jì)事件存儲(chǔ)審計(jì)事件的存儲(chǔ)也有安全要求，具體有如下幾種情況。(1)受保護(hù)的審計(jì)蹤跡存儲(chǔ)(2)審計(jì)數(shù)據(jù)的可用性保證(3)防止審計(jì)數(shù)據(jù)丟失思考題用戶認(rèn)證與認(rèn)證授權(quán)的目標(biāo)是什么？簡(jiǎn)述數(shù)字簽名技術(shù)的實(shí)現(xiàn)過程？功能是什么？數(shù)字簽名能夠解決網(wǎng)絡(luò)通信中哪些特有的安全問題？加了數(shù)字時(shí)間戳的信息應(yīng)包含的內(nèi)容有哪些？數(shù)字印章的概念和作用？專用數(shù)字簽名方案常有哪些？身份認(rèn)證的技術(shù)方法有哪些？安全審計(jì)的目的和類型是什么？nVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK5D1A-x*t$qYnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)voWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI7F3C0y)v#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK91A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOc