可信网络认证系统

OChinasec可信网络认证系统（TIS）Chinasec系统介绍环境准备计算机登录授权控制（口令用户测试）令牌不存在时锁定系统（需要KEY载体）系统介绍可信网络认证系统建立在“双因素认证”基础上。该方法的前提是一个用户记住的因素，如口令，但口令本身只能对真实性进行低级的认证，任何窃取口令的人都可以冒用合法性；因此需要增加第二个物理认证因素，以使认证的确定性按指数级递增。用户分为：口令用户和令牌KEY用户；环境准备PC2台其中：1台安装服务器和控制台，简称Host-S（erver），另1台安装客户端，简称Host-C（lient）。Windows2000\XP\2003操作系统，40G以上硬盘。Host-S至少两个空闲的USB端口，关闭所有的防火墙。当控制台能连接服务器时，使用管理员令牌登录控制台，以下所有的测试过程都在控制台端执行，实现策略下发。每次更改策略完毕需要在控制台根节点上右键，选择应用全部系统数据”。计算机登陆授权控制功能介绍控制客户端计算机登录时是否需要，并授予用户登录计算机的权限，被授权的用户可以登录到指定的计算机（登录规则为多对多关系）。操作方法1）新建口令用户：先在控制台“用户组根节点”新建口令用户，名为：test，默认密码：123456；如下图：2）新建令牌用户：在控制台端拔出管理员令牌，插入客户端令牌，在“用户组根节点”右键新建令牌用户，名为：user，默认密码：123456；如下图：

_IChinaSec(安元)可信系统-绿台控制台-3用户组根节点(2)，如制%userE-A计登机组根节点(0/-A研发(0/2)4-泉PENGHONGTj十GHO5T-93AC+A销售(0/0)+力策略组根节点+&设备根节点+。设备日志+i)申计日志下发“计算机登录控制开关”_IChinaSec(安元)可信系统-绿台控制台-3关闭：关闭用户登录管理功能。装有客户端的计算机可以登录计算机系统，不受Chinasec系统登录的控制。开启：开启用户登录管理功能。装有客户端的计算机需要有授权的Chinasec令牌用户或者口令用户才可以使用。4）下发“用户登录计算机授权”规则中的“允许”策略到客户端计算机，如下图所示_JCiinaSe:（安〒）旬信素爵-_1综会样制台_JCiinaSe:（安〒）旬信素爵-_1综会样制台+3用尸非很节巨匚占-晶汁萱相绢必节.点（0'2）-矗研发m+PEMGHOrJGIAC+GHO5T-93AC4E24Ai矗销售（0/0）-J）第路乖根节点-3网裕一证系茹却皿+⑦i.+筲批卷录控割干工-｝用户誉呆】'•+算由，杪校+X禁止+盅允许+⑦离蜷誉条】'.+筲用,榨根+3冬拥不荏在甘锁定手*克+Jj01击妍安当直式开工+2网咯资渔根.艰+j申点登予-・网洛但密手.说我.M.L-｝网培监控.紊统戎.匝-｝数括管理手.说我.M.L，凹咨枢节.5.m■JJr-S匚士名耕7添：hn持间蠢总田备3启OO3OC-1600J0C-17规则编丹：10C0010E

规则编M:ioc0010(a|二＞浏结unr系统成贝|」I计登tl登录吐制JT丈，用「登录i+苴疝族权落.禁止■离我登录i+苴tl授权观则蝙号：inwciwi系线默乂黄咤状忘：W用此包皿为至和甥iA泾立，当第一次安浜落户...一＞”下一步”一＞选择令牌或者口令_|ChinoScc（安元）可信系苏-_|茹白垸制当-_|ChinoScc（安元）可信系苏-_|茹白垸制当-分月F1组卅羊点R）Atest"电icsr-曷计冥机近柱芋点由‘2）-曲研发（口盅）+HzNjMjMziIAU+哦QH05T-93AC482^A+虽销皆⑪山-_J黄路俎彬午点住阿洛从狂系统规则”｝「套机登录控制开关-用户登录I十屋机授灰+*禁上+£允祥-二离绪登亲i+莒扒殁祝十｝刍牌彳存在寸强定系筑+Windciws妄三模式好夹+；网籍资谐权限+二＞皇.点登录+J＞网溶呆蜜学绕戎则名涂诘远拦用户（狙）test夕1带苴•牛：禁用当前状芯：正常LIU方式：=1令篁录名称111令牌SD:ezlFRmVjaflvOuH7（6ECF）K上一步也）||7-步顼）＞]|取消禁止：禁止用户登录计算机。用户即使拥有合法的令牌和PIN码、口令用户名和密码，也无法登录计算机系统。允许：授权用户登录计算机。令牌用户拥有授予登录计算机的令牌和PIN码时，可以登录计算机；口令用户拥有授权登录计算机的用户名称和密码时，可以登录计算机。4.实现效果客户端使用图例（在线登录）如果是令牌用户则如下图所示口令用户则如下图WINDOS用户登录界面登录到Vi.ndovs;hfcRsnflCorporalinn用户名但hfcRsnflCorporalinn用户名但）：捉混并询问是否保存登录信息点击是，则记录到本地登录信息。在下次用户登录时将不会再提示，登录用户在经过Chinasec认证系统认证通过后，可以直接登录到Windows操作系统。此次记录的登录信息主要包括Windows登录用户名及密码，可以在windows用户登录信息管理工具中进行管理客户端用户离线登录禁止策略下发后，用户离线登录时，给出禁止登录提示，如下图所示。客户端用户离线登录禁止策略下发后，用户离线登录时，给出禁止登录提示，如下图所示。;令牌不存在时锁定系统下发“令牌不存在锁定系统”中的“锁定”策略到客户端计算机；如下图_|ChhaEec（安元）可■言系毓-茹吉柱制白-曹用尸■艰节点（口）+昆国亩…驾user33_|ChhaEec（安元）可■言系毓-茹吉柱制白-曹用尸■艰节点（口）+昆国亩…驾user33囱1+耸机组世节吉（0/2）-A研发（L/Z：+-狼PENGHONGTAD+.主GHO5--拓K4昵仙3晶销售m-｝策略纪根节点-O所始认此备抗规则+J计算珏登云我制开美+J｝用口眷录E置和挥权■；高勇登录计芸机授权-J）寻牌二祥在距钺定系统+暮不成定+麟锁定+J｝Wi「m*安全嗔式尹盘|D冈铝堑海投匪十当单3晋景4j河曙说逐长洸观!!I」+3回籍皓榨系挠观』IImd浦HE竺艮ffl京+古dninil名称F滞加时问黔禁止£无洋i古世择现则自动蝙号0000024imn诩其他信息L规如」漏号：10C0C101起.则指号：•.n「n「ini-3计芸机爰录控制井美J-§用厂箜录订耸机授祝-白岛够宣京计鼬段双#|-J?令柜不存在时琐定系蜿一"盔不悟定损则蝙导:innrnin^.^iA,策略壮志:是.用此翅Jil」，.至姓默U建立.