計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)67

1、第4章 計(jì)算機(jī)系統(tǒng)安全與訪問控制 計(jì)算機(jī)作為一種信息社會(huì)中不可缺少的資源和財(cái)產(chǎn)以予保護(hù)，以防止由于竊賊、侵入者和其它的各種原因造成的損失一直是一個(gè)真正的需求。如何保護(hù)好計(jì)算機(jī)系統(tǒng)、設(shè)備以及數(shù)據(jù)的安全是一種頗為刺激的挑戰(zhàn)。 由于計(jì)算機(jī)和信息產(chǎn)業(yè)的快速成長(zhǎng)以及對(duì)網(wǎng)絡(luò)和全球通信的日益重視，計(jì)算機(jī)安全正變得更為重要。然而、計(jì)算機(jī)的安全一般來說是較為脆弱的，不管是一個(gè)詭計(jì)多端的“黑客”還是一群聰明的學(xué)生，或者是一個(gè)不滿的雇員所造成的對(duì)計(jì)算機(jī)安全的損害帶來的損失往往是巨大的，影響是嚴(yán)重的。1第4章 計(jì)算機(jī)系統(tǒng)安全與訪問控制本章主要內(nèi)容：1計(jì)算機(jī)安全的主要目標(biāo)2安全級(jí)別3系統(tǒng)訪問控制4選擇性訪問控制5強(qiáng)制性

2、訪問控制24.1什么是計(jì)算機(jī)安全4.1什么是計(jì)算機(jī)安全主要目標(biāo)是保護(hù)計(jì)算機(jī)資源免受毀壞、替換、盜竊和丟失。這些計(jì)算機(jī)資源包括計(jì)算機(jī)設(shè)備、存儲(chǔ)介質(zhì)、軟件和計(jì)算機(jī)輸出材料和數(shù)據(jù)。計(jì)算機(jī)部件中經(jīng)常發(fā)生的一些電子和機(jī)械故障有：（1）磁盤故障；（2）IO控制器故障；（3）電源故障；（4）存儲(chǔ)器故障；（5）介質(zhì)、設(shè)備和其它備份故障；（6）芯片和主板故障等。34.1什么是計(jì)算機(jī)安全1計(jì)算機(jī)系統(tǒng)的安全需求 （l）保密性 （2）安全性（3）完整性（4）服務(wù)可用性 （5）有效性和合法性（6）信息流保護(hù) 44.1什么是計(jì)算機(jī)安全2計(jì)算機(jī)系統(tǒng)安全技術(shù)（1）實(shí)體硬件安全 （2）軟件系統(tǒng)安全（3）數(shù)據(jù)信息安全（4）網(wǎng)絡(luò)站

3、點(diǎn)安全 （5）運(yùn)行服務(wù)安全 （6）病毒防治技術(shù)（7）防火墻技術(shù) （8）計(jì)算機(jī)應(yīng)用系統(tǒng)的安全評(píng)價(jià)54.1什么是計(jì)算機(jī)安全3計(jì)算機(jī)系統(tǒng)安全技術(shù)標(biāo)準(zhǔn) 加密機(jī)制（enciphrement mechanisms）數(shù)字簽名機(jī)制（digital signature mechanisms）訪問控制機(jī)制（access control mechanisms）數(shù)據(jù)完整性機(jī)制（data integrity mechanisms）鑒別交換機(jī)制（authentication mechanisms）通信業(yè)務(wù)填充機(jī)制（traffic padding mechanisms）路由控制機(jī)制（routing control mech

4、anisms）公證機(jī)制（notarization mechanisms）64.2 安全級(jí)別 (1)D級(jí)D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)就像一個(gè)門戶大開的房子，任何人可以自由進(jìn)出，是完全不可信的。 (2)C1級(jí)C級(jí)有兩個(gè)安全子級(jí)別：C1和C2。C1級(jí)，又稱選擇性安全保護(hù)（discretionary security protection）系統(tǒng)，它描述了一種典型的用在Unix系統(tǒng)上的安全級(jí)別。這種級(jí)別的系統(tǒng)對(duì)硬件有某種程度的保護(hù)：用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過賬號(hào)和口令來識(shí)別用戶是否合法，并決定用戶對(duì)程序和信息擁有什么樣的訪問權(quán)，但硬件受到損害的可能性仍然存在。 74.2 安全級(jí)別(

5、3)C2級(jí)除了C1級(jí)包含的特性外，C2級(jí)別應(yīng)具有訪問控制環(huán)境（controlled-access environment）權(quán)力。該環(huán)境具有進(jìn)一步限制用戶執(zhí)行某些命令或訪問某些文件的權(quán)限，而且還加入了身份認(rèn)證級(jí)別。(4)B1級(jí)B級(jí)中有三個(gè)級(jí)別，B1級(jí)即標(biāo)志安全保護(hù)（labeled security protection），是支持多級(jí)安全（例如秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說明處于強(qiáng)制性訪問控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。 84.2 安全級(jí)別(5)B2級(jí)B2級(jí)，又叫做結(jié)構(gòu)保護(hù)（structured protection），它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)

6、備（磁盤、磁帶和終端）分配單個(gè)或多個(gè)安全級(jí)別。它是提供較高安全級(jí)別的對(duì)象與較低安全級(jí)別的對(duì)象相通信的第一個(gè)級(jí)別。 (6)B3級(jí)B3級(jí)或又稱安全域級(jí)別（security domain），使用安裝硬件的方式來加強(qiáng)域的安全，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或其它安全域?qū)ο蟮男薷摹?94.2 安全級(jí)別(7)A級(jí)A級(jí)或又稱驗(yàn)證設(shè)計(jì)（verity design）是當(dāng)前橙皮書的最高級(jí)別，它包括了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。與前面所提到的各級(jí)別一樣，該級(jí)別包含了較低級(jí)別的所有特性。 104.3 系統(tǒng)訪問控制 實(shí)現(xiàn)訪問控制的方法，除了使用用戶標(biāo)識(shí)與口令之外，還可以采用較為復(fù)雜的物理識(shí)別設(shè)備，如

7、訪問卡、鑰匙或令牌。生物統(tǒng)計(jì)學(xué)系統(tǒng)是一種頗為復(fù)雜而又昂貴的訪問控制方法，它基于某種特殊的物理特征對(duì)人進(jìn)行唯一性識(shí)別，如指紋等。 114.3 系統(tǒng)訪問控制4.3.1 系統(tǒng)登陸 1 Unix系統(tǒng)登陸Unix系統(tǒng)是一個(gè)可供多個(gè)用戶同時(shí)使用的多用戶、多任務(wù)、分時(shí)的操作系統(tǒng)，任何一個(gè)想使用Unix系統(tǒng)的用戶，必須先向該系統(tǒng)的管理員申請(qǐng)一個(gè)賬號(hào)，然后才能使用該系統(tǒng)，因此賬號(hào)就成為用戶進(jìn)入系統(tǒng)的合法“身份證”。2 Unix賬號(hào)文件Unix賬號(hào)文件/etc/passwd是登錄驗(yàn)證的關(guān)鍵，該文件包含所有用戶的信息，如用戶的登錄名、口令和用戶標(biāo)識(shí)號(hào)等等信息。該文件的擁有者是超級(jí)用戶，只有超級(jí)用戶才有寫的權(quán)力，而一

8、般用戶只有讀取的權(quán)力。 124.3 系統(tǒng)訪問控制文件/etc/passwd中具有的內(nèi)容：#cat /etc/passwdroot:!:0:0:/:/bin/kshdaemon:!:1:1:/etc:bin:!:2:2:/bin:sys:!:3:3:/usr/sys:adm:!:4:4:/var/adm:uucp:!:5:5:/usr/lib/uucp:guest:!:100:100:/home/guest:nobody:!:429496724294967294:4294967294:/:lpd:!:9:4294967294:/:nuucp:*:6:5:uucp login user:/var/

9、spool/uucppublic:/usr/sbin/uucp/uuciconetinst:*:200:1:/home/netinst:/usr/bin/kshzhang:!:208:1:/home/zhang:/usr/bin/kshwang:!:213:1:/home/wang:/usr/bin/ksh134.3 系統(tǒng)訪問控制3. Windows NT系統(tǒng)登錄Windows NT要求每一個(gè)用戶提供唯一的用戶名和口令來登錄到計(jì)算機(jī)上，這種強(qiáng)制性登錄過程不能關(guān)閉。 成功的登錄過程有4個(gè)步驟：（1）Win 32的WinLogon過程給出一個(gè)對(duì)話框，要求要有一個(gè)用戶名和口令，這個(gè)信息被傳遞給安全性

10、賬戶管理程序。（2）安全性賬戶管理程序查詢安全性賬戶數(shù)據(jù)庫，以確定指定的用戶名和口令是否屬于授權(quán)的系統(tǒng)用戶。（3）如果訪問是授權(quán)的，安全性系統(tǒng)構(gòu)造一個(gè)存取令牌，并將它傳回到Win 32的 WinLogin過程。（4）WinLogin調(diào)用Win 32子系統(tǒng)，為用戶創(chuàng)建一個(gè)新的進(jìn)程，傳遞存取令牌給子系統(tǒng)，Win 32對(duì)新創(chuàng)建的過程連接此令牌。 144.3 系統(tǒng)訪問控制4. 賬戶鎖定為了防止有人企圖強(qiáng)行闖入系統(tǒng)中，用戶可以設(shè)定最大登錄次數(shù)，如果用戶在規(guī)定次數(shù)內(nèi)未成功登錄，則系統(tǒng)會(huì)自動(dòng)被鎖定，不可能再用于登錄。 5. Windows NT安全性標(biāo)識(shí)符（SID）在安全系統(tǒng)上標(biāo)識(shí)一個(gè)注冊(cè)用戶的唯一名字，它

11、可以用來標(biāo)識(shí)一個(gè)用戶或一組用戶。例如：s-1-5-21-76968-1001154.3 系統(tǒng)訪問控制4.3.2 身份認(rèn)證身份認(rèn)證（Identification and Authentication）可以定義為，為了使某些授予許可權(quán)限的權(quán)威機(jī)構(gòu)滿意，而提供所要求的用戶身份驗(yàn)證的過程。1用生物識(shí)別技術(shù)進(jìn)行鑒別 指紋是一種已被接受的用于唯一地識(shí)別一個(gè)人的方法。手印是又一種被用于讀取整個(gè)手而不是僅僅手指的特征和特性。聲音圖像對(duì)每一個(gè)人來說也是各不相的同。筆跡或簽名不僅包括字母和符號(hào)的組合方式，也包括了簽名時(shí)某些部分用力的大小，或筆接觸紙的時(shí)間的長(zhǎng)短和筆移動(dòng)中的停頓等細(xì)微的差別。視網(wǎng)膜掃描是用紅外線檢查

12、人眼各不相同的血管圖像。 164.3 系統(tǒng)訪問控制2用所知道的事進(jìn)行鑒別口令可以說是其中的一種，但口令容易被偷竊，于是人們發(fā)明了一種一次性口令機(jī)制 3使用用戶擁有的物品進(jìn)行鑒別 智能卡（Smart Card）就是一種根據(jù)用戶擁有的物品進(jìn)行鑒別的手段。 一些認(rèn)證系統(tǒng)組合以上這些機(jī)制，加智能卡要求用戶輸入個(gè)人身份證號(hào)碼（PIN），這種方法就結(jié)合了擁有物品（智能卡）和知曉內(nèi)容（PIN）兩種機(jī)制。例如大學(xué)開放實(shí)驗(yàn)室的認(rèn)證系統(tǒng)、自動(dòng)取款機(jī)ATM。 174.3 系統(tǒng)訪問控制4.3.3 怎樣保護(hù)系統(tǒng)的口令口令是訪問控制的簡(jiǎn)單而有效的方法，只要口令保持機(jī)密，非授權(quán)用戶就無法使用該賬1怎樣選擇一個(gè)安全的口令最有

13、效的口令是用戶很容易記住但“黑客”很難猜測(cè)或破解的。建立口令時(shí)最好遵循如下的規(guī)則： （1）選擇長(zhǎng)的口令，口令越長(zhǎng)，黑客猜中的概率就越（2）最好的口令包括英文字母和數(shù)字的組合。（3）不要使用英語單詞。（4）不要使用相同的口令訪問多個(gè)系統(tǒng)。 184.3 系統(tǒng)訪問控制（5）不要使用名字，自己名字、家人的名字和寵物的名字等。（6）別選擇記不住的口令，這樣會(huì)給自己帶來麻煩。（7）使用Unix安全程序，如 passwd+和npasswd程序來測(cè)試口令的安全性 。2口令的生命期和控制用戶應(yīng)該定期改變自己的口令，例如一個(gè)月?lián)Q一次。如果口令被偷就會(huì)引起安全問題，經(jīng)常更換口令可以幫助減少損失。比如兩個(gè)星期更換一次

14、口令總比一直保留原有口令損失要小。 管理員可以為口令設(shè)定生命期，這樣當(dāng)口令生命期到后，系統(tǒng)就會(huì)強(qiáng)制用戶更改系統(tǒng)密碼。 194.3 系統(tǒng)訪問控制口令生命期控制信息保存在/etc/passwd或/etc/shadow文件當(dāng)中，它位于口令的后面，通常用逗號(hào)分開并表示下述信息：（1）口令有效的最大周數(shù)；（2）用戶可以再次改變其口令必須經(jīng)過的最小周數(shù)；（3）口令最近的改變時(shí)間。例如： 2ALNSS48eJGY， A2：210：105口令已被設(shè)置了生命期，“A”值定義了口令到期前的最大周數(shù)，“2”值定義了用戶能夠再次更改口令前必須經(jīng)過的最小周數(shù)。通過查表，就可以知道“A”代表12周，而“2”代表4周。20

15、3Windows NT的賬戶口令管理214.3 系統(tǒng)訪問控制4.3.4 關(guān)于口令維護(hù)的問題口令維護(hù)時(shí)應(yīng)注意如下問題。（1）不要將口令告訴別人，也不要幾個(gè)人共享一個(gè)口令，不要把它記在本子上或計(jì)算機(jī)周圍。（2）不要用系統(tǒng)指定的口令，如 root、demo和test等，第一次進(jìn)入系統(tǒng)就修改口令，不要沿用系統(tǒng)給用戶的缺省口令，關(guān)閉掉Unix供貨商隨操作系統(tǒng)配備的所有缺省賬號(hào)，這個(gè)操作也要在每次系統(tǒng)升級(jí)或系統(tǒng)安裝之后來進(jìn)行。（3）最好不要用電子郵件傳送口令，如果一定需要這樣做，則最好對(duì)電子郵件進(jìn)行加密處理。224.3 系統(tǒng)訪問控制（4）如果賬戶長(zhǎng)期不用，管理員應(yīng)將其暫停。如果雇員離開公司，則管理員應(yīng)及時(shí)

16、把他的賬戶消除，不要保留一些不用的賬號(hào)，這是很危險(xiǎn)的。（5）管理員也可以限制用戶的登錄時(shí)間，比如說只有在工作時(shí)間，用戶才能登錄到計(jì)算機(jī)上。（6）限制登錄次數(shù)。為了防止對(duì)賬戶多次嘗試口令以闖入系統(tǒng)，系統(tǒng)可以限制登記企圖的次數(shù)，這樣可以防止有人不斷地嘗試使用不同的口令和登錄名。（7）最后一次登錄，該方法報(bào)告最后一次系統(tǒng)登錄的時(shí)間、日期，以及在最后一次登錄后發(fā)生過多少次未成功的登錄企圖。這樣可以提供線索了解是否有人非法訪問。234.3 系統(tǒng)訪問控制（8）通過使用T Protocol）獲取口令文件。為了檢驗(yàn)系統(tǒng)的安全性，通過TFTP命令連接到系統(tǒng)上，然后獲取/etc/passwd文件。如果用戶能夠完成

17、這種操作，那么網(wǎng)絡(luò)上的任何人都能獲取用戶的passwd文件。因此，應(yīng)該去掉TFTP服務(wù)。如果必須要有TFTP服務(wù)，要確保它是受限訪問的。（9）定期地查看日志文件，以便檢查登錄成功和不成功的su（l）命令的使用，一定要定期地查看登錄末成功的消息日志文件，一定要定期地查看 Login Refused消息日志文件。（10）根據(jù)場(chǎng)所安全策略，確保除了root之外沒有任何公共的用戶賬號(hào)。也就是說，一個(gè)賬號(hào)不能被兩個(gè)或兩個(gè)以上的用戶知道。去掉guest賬號(hào)，或者更安全的方法是，根本就不創(chuàng)建guest賬號(hào)。244.3 系統(tǒng)訪問控制（11）使用特殊的用戶組來限制哪些用戶可以使用su命令來成為root，例如：在

18、 SunOS下的wheel用戶組。（12）一定要關(guān)閉所有沒有口令卻可以運(yùn)行命令的賬號(hào)，例如：sync。刪除這些賬號(hào)擁有的文件或改變這些賬號(hào)擁有的文件的擁有者。確保這些賬號(hào)沒有任何的cron或at作業(yè)。最安全的方法是徹底刪除這些賬號(hào)。254.4 選擇性訪問控制選擇性訪問控制（Discretionary Access Control，DAC）是基于主體或主體所在組的身份的，這種訪問控制是可選擇性的，也就是說，如果一個(gè)主體具有某種訪問權(quán)，則它可以直接或間接地把這種控制權(quán)傳遞給別的主體（除非這種授權(quán)是被強(qiáng)制型控制所禁止的）。選擇性訪問控制被內(nèi)置于許多操作系統(tǒng)當(dāng)中，是任何安全措施的重要成部分。文件擁有者

19、可以授予一個(gè)用戶或一組用戶訪問權(quán)。選擇性訪問控制在網(wǎng)絡(luò)中有著廣泛的應(yīng)用，下面將著重介紹網(wǎng)絡(luò)上的選擇性訪問控制的應(yīng)用。 264.4 選擇性訪問控制在網(wǎng)絡(luò)上使用選擇性訪問控制應(yīng)考慮如下幾點(diǎn)：（1）某人可以訪問什么程序和服務(wù)？（2）某人可以訪問什么文件？（3）誰可以創(chuàng)建、讀或刪除某個(gè)特定的文件？（4）誰是管理員或“超級(jí)用戶”？（5）誰可以創(chuàng)建、刪除和管理用戶？（6）某人屬于什么組，以及相關(guān)的權(quán)利是什么？（7）當(dāng)使用某個(gè)文件或目錄時(shí)，用戶有哪些權(quán)利？ 274.4 選擇性訪問控制Windows NT提供兩種選擇性訪問控制方法來幫助控制某人在系統(tǒng)中可以做什么，一種是安全級(jí)別指定，另一種是目錄文件安全。 下

20、面是常見的安全級(jí)別內(nèi)容其中也包括了一些網(wǎng)絡(luò)權(quán)力。（1）管理員組享受廣泛的權(quán)力，包括生成、消除和管理用戶賬戶、全局組和局部組，共享目錄和打印機(jī)，認(rèn)可資源的許可和權(quán)利，安裝操作系統(tǒng)文件和程序。（2）服務(wù)器操作員具有共享和停止共享資源、鎖住和解鎖服務(wù)器、格式化服務(wù)器硬盤、登錄到服務(wù)器以及備份和恢復(fù)服務(wù)器的權(quán)力。284.4 選擇性訪問控制（3）打印操作員具有共享和停止共享打印機(jī)、管理打印機(jī)、從控制臺(tái)登錄到服務(wù)器以及關(guān)掉服務(wù)器等權(quán)力。（4）備份操作員具有備份和恢復(fù)服務(wù)器、從控制臺(tái)登錄到服務(wù)器和關(guān)掉服務(wù)器等權(quán)力。（5）賬戶操作員具有生成、取消和修改用戶、全局組和局部組，不能修改管理員組或服務(wù)器操作員組的權(quán)

21、力。（6）復(fù)制者與目錄復(fù)制服務(wù)聯(lián)合使用。（7）用戶組可執(zhí)行授予它們的權(quán)力，訪問授予它們?cè)L問權(quán)的資源。（8）訪問者組僅可執(zhí)行一些非常有限的權(quán)力，所能訪問的資源也很有限。294.4 選擇性訪問控制選擇性訪問控制不同于強(qiáng)制性訪問控制（Mandatory Access Control，MAC）。MAC實(shí)施的控制要強(qiáng)于選擇性訪問控制，這種訪問控制是基于被訪問信息的敏感性，這種敏感性是通過標(biāo)簽（Label）來表示的。強(qiáng)制性訪問控制從B1安全級(jí)別開始出現(xiàn)，在安全性低于B1級(jí)別的安全級(jí)別中無強(qiáng)制性訪問控制的要求。30小 結(jié)1計(jì)算機(jī)安全的主要目標(biāo)計(jì)算機(jī)安全的主要目標(biāo)是保護(hù)計(jì)算機(jī)資源免受毀壞、替換、盜竊和丟失。2

22、安全級(jí)別根據(jù)美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)，將安全級(jí)別由最低到最高劃分為D級(jí)、C級(jí)、B級(jí)和A級(jí)，D級(jí)為最低級(jí)別，A級(jí)為最高級(jí)別。3系統(tǒng)訪問控制系統(tǒng)訪問控制是對(duì)進(jìn)入系統(tǒng)的控制。其主要作用是對(duì)需要訪問系統(tǒng)及其數(shù)據(jù)的人進(jìn)行識(shí)別，并檢驗(yàn)其合法身份。31小 結(jié)4選擇性訪問控制選擇性訪問控制是基于主體或主體所在組的身份的，這種訪問控制是可選擇性的，也就是說，如果一個(gè)主體具有某種訪問權(quán)，則它可以直接或間接地把這種控制權(quán)傳遞給別的主體。5強(qiáng)制性訪問控制強(qiáng)制性訪問控制為訪問系統(tǒng)中的信息提供了更為嚴(yán)格的控制，這種訪問控制基于被訪問信息的敏感性，這種敏感性是通過標(biāo)簽（Label）來表示的。 32習(xí)題與思考題 1計(jì)算

23、機(jī)系統(tǒng)安全的主要目標(biāo)是什么？2簡(jiǎn)述計(jì)算機(jī)系統(tǒng)安全技術(shù)的主要內(nèi)容3計(jì)算機(jī)系統(tǒng)安全技術(shù)標(biāo)準(zhǔn)有哪些？4訪問控制的含義是什么？5如何從Unix系統(tǒng)登錄？6如何從Windows NT系統(tǒng)登錄？7怎樣保護(hù)系統(tǒng)的口令？8什么是口令的生命周期？9如何保護(hù)口令的安全？10建立口令應(yīng)遵循哪些規(guī)則？33-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v

24、&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgP

25、dMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQfNbK8G5D2A-

26、x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u%rZoWkThQeMbJ8G4Dv&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeM

27、bJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(

28、u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRg

29、OcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v

30、&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgP

31、dMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeM7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&

32、t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQe

33、MbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+xqYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$

34、qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiNbJ8G5D1A-x*t$qYnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8

35、G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*YmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkS