GINA及应用

《冶金自动化》2004年增刊GINA及应用黎彤亮,范瑞琴2,黄世中1(1.河北省应用数学研究所河北石家庄050081;2石家庄铁道学院)[摘要]介绍GINA的原理,实现及在登录 Windows nt/2000/XP系统,进行身份验证中它所起的安全作用[关键词]GINA;身份认证;安全0引言对于信息安全,内部的安全性是至关重要的,因为来自内部的泄密比防止外部入侵更困难。中国国家信息安全评测认证中心的调查结果显示,政府和企业因信息被窃取所造成的损失超过病毒破坏和黑客攻击所造成的损失,超过80%以上的安全威胁来自内部。因此当使用计算机登录到网络上时,对人员进行身份认证是十分必要的。通常的密码认证方式已经无法满足人们的要求。为了提高安全性,结合硬件的认证方法是较好的方法。Graphical Identification and Authentication(图形识别与身份认证,GNA),是一个由 Windows Nt/2000/XP操作系统中 winlogon.exe加载的可替换DLL组件。这个DLL主要用来实施交互登录模式的认证策略,并执行全部识别与认证的用户交互操作。替换 Gina d可用智能卡、视网膜扫描及其它身份认证机制来取代标准系统的用户名加口令的认证方式。我国在未来几年将使用采用非接触式IC技术的第二代身份证——智能IC卡身份证,利用GINA并配合相关硬件设备,就能通过智能IC卡身份证来进行登录认证1原理winlogon是 Windows nt/2000/XP操作系统提供交互式登录支持的组件。 Winlogon结构有三个组成部分:可执行文件 winlogon.exe提供图形界面认证功能的动态库 Gina D以及一些网络服务提供动态库 Network Provider DIl参考模型如图1所示Winlagan, exeNetwork NetworkProvide图1 winlogon參考模型Asina, dll是 Microsoft提供的默认 Gina d,它是可替换的,用户可以设计自己的 Gina d,以提供其他一些认证机制。 winlogon.exe处理一些下层导出的接口函数,而认证策略是在 Gina d中是独立设计的。系统启动时, Gina d被 winlogon.exe装载并与之交互。 Winlogon提供了一些供 Gina dll调用的函数,GINA相应地必须实现供 Winlogon调用的函数。Windows2000NT/XP有三种系统状态:(1)没有用户登录;(2)用户成功登录状态;(3)锁定工作站状态。当没有登录用户时,GINA调用 Winlogon所提供的 WlxSas Notify函数,表明用户要登录。winlogon接着调用GINA的 WlxLoggedOut Sas函数去认证。我们在这个函数中加入额外的认证代码就可以实现其他一些结合硬件的认证机制,如IC卡方式的认证等2实现开发 Gina Dll,必须要实现与 Winlogon. exe交互的函数H中国煤化工CNMHG发规定。Win[收稿日期]2004-06-16[作者简介]黎彤亮(1974-),四川青神人,助理研究员,主要从事计算机软件的开发工作399方数据《冶金自动化》2004年增刊wlxh是开发 Gina d必须的头文件,目前最新的版本为1.4。开发的策略使用的“hook”方法如下(1)F BB Function prototypes for the GINA interfaceypedef int(WINAPI w PFWLXLOGGEDOUTSAS)(PVOID, DWORD, PLUID, PSID, PDWORD, PHANDLE, PWLX_ MPRNOTIFY INFO, PVOII“)static PFWLXLOGGEDOUTSAS pf WlxLoggedOutSAS:(2)在 WlxNegotiate中获得默认的 Gina dll及相关函数hDIl- LoadLibrary(L"MSGINA. DLL)))之后获得函数地址:/lxloggedOut SAS =(PFWLXLOGGEDOUTSAS)WlxNegotiate是 Winlogon.exe调用 Gina d的第一个函数进行版本判断。(3)定义额外的认证代码int OkTologon(LPVOID Nam/额外的认证代码,如读IC卡,对名字进行对比。//硬件读取程序if可以return WLX SAS ACTION LOGONreturn WX SAS ACTIOn NONE(4)实现额外的认证int WINAPI WlxLoggedOutSAS (PVOID pWlxContext, DWORD dwSas TypePLUID pAuthenticationld, PSID pLogonSid, PDWORD pdwOptions, PHANDLEphToken, PWLX MPR NOTIFY INFO pMpr Notifylnfo, PVOID*pProfile)//调用默认的 Gina d中的 WlxloggedOutSAS进行标准认证plogon Sid, pdwOptions, ph Token, pMprNotifyInfo, pRofile);if(iRet ==WLX SAS ACTION LOGON)//当通过标准 Windows认证后再进行额外的认证return OkTol ogon( pMpr NotilyInfo->psz UserName);return iRet:以上代码说明了实现的主要点,但这些仅是一小部分。如前所述,实现完整的 Gina D还要实现其他系统必须要求的函数。如 WIxWkstaLockedSAS、 Wlxlogoff、 WIxShutdown等。具体要求可参考MSDN和 WinwIx h3使用例如开发的 Gina dll文件名为 Gina Test.Dl。将该文件拷贝到系统文件夹 System32下,并修改注册表Key Name: HKEY LOCAL MACHINE\ Software\ Microsoft\ Windows NTCurrent Version\ winlogonvalue Name: ginaDLL中国煤化工Value Type: [REG SZ]Value: Gina Test. dllCNMHG重新启动计算机 Gina Test dl就可以使用了,当然相关的硬件驱动程序应当先安装好调试时需要特别注意:当 Gina l川l不能正常工作时将导致计算机不能正常启动,您要有访问%systemroot%\ SYSTEM32文件夹的其他方式,来替换不正常的 Gina dll397《冶金自动化》2004年增刊4其他在GINA中,除了可以构造认证方法外,还可以做些其他的工作。如屏蔽掉Ctrl+Alt+Del当系统处于登陆状态,当用户按Ctrl+Alt+Del,则 Winlogon接收到事件,接着调用GINA中的函数WlxLoggedOnSAS。程序代码如下int WINAPI WIxLoggedOn SAS(PVOID pWlxContext, dWoRd dwSas Type, PVoid pReserved)(//如果要屏蔽,仅需要返回 WLX SAS ACTION NONE则可return WLX SAS ACTION NONE[编辑:夏宁]中国煤化工CNMHG3方数据