安全操作系统PPT课件推荐

《安全操作系统PPT课件推荐》由会员分享，可在线阅读，更多相关《安全操作系统PPT课件推荐（92页珍藏版）》请在装配图网上搜索。

1、安全操作系统安全操作系统中国科学技术大学计算机系中国科学技术大学计算机系陈香兰（陈香兰（051287161312）助教：裴建国助教：裴建国Autumn 20082主流操作系统的安全技术主流操作系统的安全技术vLinux/Unix安全技术vWindows安全技术安全技术3Windows的发展历史的发展历史1From：http:/ NT 4.0 architecture 6Windows 2000 architectureFrom:http:/upload.wikimedia.org/wikipedia/commons/5/5d/Windows_2000_architecture.svg7Wind

2、ows安全：安全：NT是分水岭是分水岭vNT设计目标：TCSEC标准的C2级在用户级实现自主访问控制提供对客体的访问的审计机制实现客体重用vWindows NT 4.0 1999年11月通过美国国防部TCSEC C2级安全认证Windows NT安全子系统l提供身份鉴别、自主访问控制、客体共享和安全审计等安全特性。l主要由本地安全授权（LSA）、安全账户管理（SAM）和安全参考监视器（SRM）等组成8From：Hacking Exposed Windows:Windows Security Secrets&SolutionsBill Gates，“Trustworthy Computing”，

3、January 2002Refer：http:/ really is a journey rather than a destination.”9security wheelFrom：Hacking Exposed Windows:Windows Security Secrets&Solutions10The Windows Security Architecture from the Hackers PerspectiveAttacking Windows security using both kernel and user mode approaches物理物理/逻辑逻辑11Window

4、s安全技术安全技术vWindows NT/2000/XP中的常用安全技术中的常用安全技术Windows身份验证与访问控制身份验证与访问控制Windows审核机制Windows注册表Windows加密文件系统Windows基准安全注意事项vWindows 2003中的新安全技术简介12Windows NT Security ComponentsFrom：http:/ NT的安全模型的安全模型vWindows NT的安全模型包括5个主要部分登录(WinLogon)本地安全认证子系统(LSA)msv1_0安全帐户管理器(SAM)NT LAN Manager(NTLM)14Windows 2000安全

5、模型安全模型FROM：http:/ 2000 Security Gains，Article from Windows 2000 Magazine15Windows安全性组件安全性组件v安全引用监视器，SRMv本地安全认证vLSA策略数据库v安全帐号管理器服务vSAM数据库v默认身份认证包v登录进程v网络登录服务16SRM,Security Reference Monitor vTo create or gain access to an object,a request must first flow through the SRM vthe SRM operates in both kern

6、el and user modes http:/ Security Authorityva processthe Local Security Authority Subsystem Servicelsass.exevThe primary security gateway into Windows18The SAM and Active DirectoryvOn all Windows computers,the SAM contains user account name and password information.口令，以密文形式存放（scrambled value）The scr

7、ambling procedure：one-way function采用哈希算法，密文就是一个哈希值vOn Windows Server 2000 and later domain controllers,user account/hash data for the domain is kept in the Active Directory19Active Directory(AD)v从windows server 2000开始vprovides a variety of network services,including:LDAP-like Directory services Kerb

8、eros based authentication DNS based naming and other network information v采用层次结构来组织对象v3种对象种类resources(e.g.,printers)services(e.g.,email)and users(user accounts and groups)20vThe AD provides information on the objectsorganizes the objectscontrols access and sets security vForests,trees,and domainsthe

9、 logical parts in an AD network 2122基本概念：主体和客体基本概念：主体和客体In Windows vSubjectsprocesses(associated with access tokens)vObjectssecurable objects(associated with security descriptors)23访问相关访问相关 http:/ a user logs on to Windowsan access token containing security identifiers(SIDs)is created,correlated wit

10、h lthe users account land any group accounts to which the user belongsla list of the privileges held by the user or the users groupsvThe access token is associated with every process created by the user25安全标识符安全标识符SIDSID示例示例revision numberrelative identifierRID 500：the true Administrator account on

11、a local machineRID 501：the Guest accountOn a domain,RIDs starting with 1001 indicate user accounts.The 5th account created in the domain26访问令牌访问令牌http:/ logon process27TokenvThe token contains a list of all of the SIDs associated with the user accountThe accounts SIDthe SIDs of all groupsspecial ide

12、ntities of which the user account is a member(for example,Domain Admins or INTERACTIVE).vServer 2003开始，缺省带whoami命令28Whoami截图，截图，from hacking 2930基本概念：安全描述符基本概念：安全描述符vWhen a securable object is createda security descriptor that contains a discretionary access control list(DACL)is assignedlWhich user

13、and group SIDs may access the object,and how(read,write,execute,and so on).vAccess controlCompare SIDFind a match?Permit:not permit31安全描述符，访问控制表和访问控制项安全描述符，访问控制表和访问控制项http:/ 2000的访问控制表的访问控制表v表头访问控制项（多个）v访问控制项ACESID或GSID访问掩码访问掩码定义SIG或GSID被授予的权限ACL 结构结构33基本概念：基本概念：SECURITY PRINCIPALSvthree types of fu

14、ndamental accountsUsersGroupsComputers34用户账户，用户账户，user accountsvan account is a reference context in which the operating system executes codeall user mode code executes in the context of a user account.Some code that runs automatically before anyone logs on(such as services)lruns in the context of a

15、n account(often as the special and all-powerful SYSTEM,or LocalSystem,account)3536用户账户，用户账户，user accountsv本地用户账户访问本地计算机SAM（NT）v域用户账户访问网络资源Active Directory37组，组，groupsvlogical containers for aggregating user accountsvGroups are also used to allocate privileges in bulk组内账户继承组的权限vExample：local Administ

16、rators groupvNT中本地组域组38Windows系统常用的组系统常用的组39Windows Server 2003中新加的组中新加的组4041Computers(Machine Accounts)vWhen a Windows system joins a domain,a computer account is created.42User RightsvUser rights are a finite set of basic capabilities,such as logging on locally or debugging programs.非自主访问控制vtypica

17、lly assigned to groupsthe group is typically the unit of privilege assignmentvTwo types of user rightslogon rights and privilegesvLonghorn：40个43基本概念：强制登录基本概念：强制登录v要求所有的用户使用系统前必须登录，通过验证后才可以访问资源44Windows登录验证模型登录验证模型WinLogonGINALSA协协商商SSPINTLMSSPKerberosSSP45Windows NT/2000/XP的系统登录过程的系统登录过程v登录是通过登录进程Wi

18、nLogon、LSA、一个或多个身份认证包和SAM的相互作用发生的身份认证包：执行身份验证检查的动态链接库。lMsvl_0：用于交互式登录的身份认证包WinLogon：一个受托进程，负责管理与安全性相关的用户相互作用l是从键盘截取登录请求的唯一进程46Windows登录验证过程（以登录验证过程（以NT为例）为例）1234567847Windows远程登录身份验证远程登录身份验证v早期：SMB验证协议，在网络上传输明文口令vLMLM Manager Challenge/Response验证机制验证机制简单，容易被破解vNTLMWindows NT挑战/响应验证机制vNTLM v2vKerbero

19、sLM Manager Challenge/Response48The Windows access control model49Network Authentication，以，以NTLM为例为例NTLM安全验证过程安全验证过程由于没有口令（加密或者非加密）通过网络由于没有口令（加密或者非加密）通过网络传输，极大地提高了远程登录身份验证的安传输，极大地提高了远程登录身份验证的安全性全性50关于关于Kerberosv Version 1，2，3，MITv Version 4，Steve Miller and Clifford Neuman，late 1980s v Version 5，Joh

20、n Kohl and Clifford Neuman，RFC 1510 in 1993 RFC 4120 in 2005 v Windows 2000 and later use Kerberos as their default authentication methodv Apples Mac OS Xv Red Hat Enterprise Linux 4 and laterv 51Kerberos参考参考pptvGoogle之，N多vhttp:/www.cs.rpi.edu/hollingd/netprog/notes/kerberos/kerberos.pptvhttp:/ifsc.

21、ualr.edu/wu/Course/NetworkSec/Slides/kerberos.pdfvhttp:/www.cs.kent.edu/farrell/grid06/lectures/KERBEROS.pdfvhttp:/www.obscure.org/jafitz/250_p1/Kerberos.pptv52From:http:/ does Kerberos work?vTicket Granting Tickets54vThe Ticket Granting Service55vThe Application Server56vWindows 2000 Kerberos Authe

22、ntication http:/ 2000 Authenticationhttp:/ 2000的访问控制过程图（小结）的访问控制过程图（小结）58Windows 2000和和Linux的安全访问控制机制的比较的安全访问控制机制的比较59Windows安全技术安全技术vWindows NT/2000/XP中的常用安全技术Windows身份验证与访问控制Windows审核机制Windows注册表Windows加密文件系统Windows基准安全注意事项vWindows 2003中的新安全技术简介60vWindows 2000默认安装没有打开任何安全审计v控制面板管理工具本地安全策略本地策略审计策略W

23、indows Audit机制机制9类可审计事件类可审计事件61以账户管理事件为例以账户管理事件为例v创建（624）和启用（626）账户v更改账户密码（627，628）v更改账户状态（629，630）v对安全组的修改（632，633；636，637）v账户锁定（644，642）v一旦打开上述审计事件，安全审计就会将相关事件在事件查看器的日志中记录下来v修改审计策略后，要重启机器。62对文件和文件夹的审计对文件和文件夹的审计v必要条件NTFS打开“对象访问”事件审核策略v审核设置步骤”右键“待审核文件文件夹，”属性“”安全“”高级“”审核”“添加”“确定”选择“审核项目”636种审计日志种审计日志

24、v应用程序日志应用程序和系统产生的事件v系统日志操作系统自身产生的事件，包括驱动等组件v安全日志安全事件相关信息例如：与监视系统、用户和进程活动相关的信息；启动失败等安全服务相关信息v目录服务日志v文件复制日志vDNS服务日志64事件查看器事件查看器65审计系统服务审计系统服务v对象管理器v有效的Win32函数v调用审计系统服务的进程必须具有SeAuditPrivilege特权v可以防止恶意“淹没”“安全日志”66Windows系统的审计数据系统的审计数据v二进制结构文件形式存于物理磁盘v每条记录：事件发生事件事件源67Windows安全技术安全技术vWindows NT/2000/XP中的常

25、用安全技术Windows身份验证与访问控制Windows审核机制Windows注册表注册表Windows加密文件系统Windows基准安全注意事项vWindows 2003中的新安全技术简介68Windows的注册表的注册表v早期，对系统环境的配置通过*.ini进行vWindows95之后，注册表v注册表是一种数据库集中存储各种信息资源，包括各种配置信息69v注册表的“键”和“键值”v注册表编辑器：树型70v系统定义关键字（预定义关键字）v应用程序定义关键字v键值：值的名称值的数据类型值71值的类型值的类型72系统预定义的系统预定义的5个组关键字个组关键字vHKEY_CLASSES_ROOTv

26、HKEY_CURRENT_USERvHKEY_LOCAL_MACHINEvHKEY_USERSvHKEY_CURRENT_CONFIG73HKEY_CLASSES_ROOTv包含用于各种OLE技术和文件类关联数据的信息v主键记录Windows中所有数据文件的信息主要记录不同文件的文件名后缀和与之对应的应用程序用户双击一个文件时与当前注册用户是有关的74v子键：2种已经注册的各类文件的扩展名各种文件类型的有关信息75HKEY_CURRENT_USERv包含当前以交互方式登录的用户的用户配置文件v包括环境变量桌面设置网络连接打印机程序首选项v该主键指向HKEY_USERS中的当前用户的安全ID子键

27、76HKEY_LOCAL_MACHINEv用来控制系统和软件的设置v针对所有用户，是公共配置信息，与具体用户无关v5个子键包含系统使用的浮点处理器、串口等有关信息包含系统使用的浮点处理器、串口等有关信息存放存放SAM的信息，被系统所保护，看不到里面的内容的信息，被系统所保护，看不到里面的内容预留预留所有已安装的所有已安装的32位应用程序的信息；位应用程序的信息；各个程序的控制信息分别安装在相应的子键中。各个程序的控制信息分别安装在相应的子键中。存放系统启动时所使用的信息和修复系统时所需的信息存放系统启动时所使用的信息和修复系统时所需的信息包括各个驱动程序的描述和配置信息等包括各个驱动程序的描述

28、和配置信息等CurrentControlSet子键，当前的驱动程序控制集的信息子键，当前的驱动程序控制集的信息77HKEY_USERSv各个用户相关的设置桌面、背景、开始菜单程序项、等等78HKEY_CURRENT_CONFIGv计算机的当前配置情况显示器、打印机等可选外部设备及其配置信息79注册表的备份与恢复注册表的备份与恢复v导出v导入80注册表安全注册表安全v默认，注册表的安全级别较高管理员：完全访问权限其他用户：自己用户账户相关的v特权指派81Windows安全技术安全技术vWindows NT/2000/XP中的常用安全技术Windows身份验证与访问控制Windows审核机制Win

29、dows注册表Windows加密文件系统加密文件系统Windows基准安全注意事项82Windows加密文件系统加密文件系统v加密文件系统，Encrypted File System，EFSv用于在NTFS上存储已加密的文件加密过程对用户透明与使用未加密文件和文件夹一样v文件/文件夹（推荐）加密属性83加密示例加密示例84命令行加密命令命令行加密命令cipher85EFS注意点注意点v 只有NTFS上的文件和文件夹才能被加密v 不能加密压缩的文件或文件夹v 加密的文件被复制或移动到非NTFS格式的卷上，会被解密v 非加密文件移动到加密文件夹中，自动加密。反之不成立。v“系统”属性的文件，无法加

30、密。位于%SYSTEMROOT%目录结构中的文件，也是如此v 加密文件或文件夹不能防止删除/列出文件/目录 建议结合NTFS的访问控制来使用EFSv 在允许进行远程加密的远程计算机上可以加密/解密文件/目录。但，在网络上传输的数据并未加密86EFSv对称加密技术非对称加密技术文件加密密钥与用户的EFS证书对应的公钥87EFS的故障恢复策略的故障恢复策略v故障恢复代理指获得授权解密由其他用户加密的数据的个人88Windows安全技术安全技术vWindows NT/2000/XP中的常用安全技术Windows身份验证与访问控制Windows审核机制Windows注册表Windows加密文件系统加密

31、文件系统Windows基准安全注意事项89Windows基准安全注意事项（小结）基准安全注意事项（小结）v验证所有磁盘分区是否都用NTFS格式化v禁用不必要的服务v禁用或删除不必要的账户v确保禁用来宾（guest）账户v防止注册表被匿名访问v限制对LSA信息进行访问v设置密码策略v设置账户锁定策略v配置管理员账户v安装防毒软件和更新v安装最新的Service Packv安装适当的Service Pack后的安全修补程序v补充安全设置ThanksThanks！The end.!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C

32、0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnW

33、kShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5

34、E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!p

35、XmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%rWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F

36、3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qY

37、nVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8

38、G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnW

39、kThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5

40、E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdI6E3B0y(v%r#oXl

41、TiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F

42、3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQI7F4C0z)w&s!pXmUj

43、RfOcL9H6E2B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C

44、1z)w&t!pYmUjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjS

45、gPdLaI7F3C0y)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1

46、A-x*t$qZnVkSgPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z%r#oWlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkTh

47、PeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+xqZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYn个人观点供参考，欢迎讨论！