第8章 身份鑒別技術

1/43第1章密碼學概述 第2章古典密碼技術 第3章分組密碼第4章公鑰密碼體制第5章散列函數(shù)與消息鑒別

第6章數(shù)字簽名技術第7章密鑰管理技術第8章身份鑒別技術第9章序列密碼基礎第10章密碼技術應用課程主要內容問題的提出身份欺詐問題鑒別需求

某一成員（聲稱者）提交一個主體的身份并聲稱它是那個主體。鑒別目的

使別的成員（驗證者）獲得對聲稱者所聲稱的事實的信任。鑒別就是可信地確認實體是它所聲明的。1.身份鑒別的概念為了保護網(wǎng)絡資源及落實安全政策。需要提供可追究責任的機制，這里涉及到三個概念：認證、授權及審計。（1）鑒別Authentication：在做任何動作之前必須要有方法來識別動作執(zhí)行者的真實身份。鑒別又稱為認證。身份認證主要是通過標識和鑒別用戶的身份，防止攻擊者假冒合法用戶獲取訪問權限。（2）授權Authorization：授權是指當用戶身份被確認合法后，賦予該用戶進行文件和數(shù)據(jù)等操作的權限。這種權限包括讀、寫、執(zhí)行及從屬權等。（3）審計Auditing：每一個人都應該為自己所做的操作負責，所以在做完事情之后都要留下記錄，以便核查責任。 身份認證往往是許多應用系統(tǒng)中安全保護的第一道設防，它的失敗可能導致整個系統(tǒng)的失敗。身份鑒別的相關實體

（1）申請者（Claimant），出示身份信息的實體，又稱作示證者（Prover），提出某種認證請求；（2）驗證者（Verifier），檢驗申請者提供的認證信息的正確性和合法性，決定是否滿足其認證要求；（3）攻擊者，可以竊聽和偽裝申請者，騙取驗證者的信任。（4）鑒別系統(tǒng)在必要時會有第三方，即可信賴者（可信第三方）參與仲裁。

對身份鑒別系統(tǒng)的主要要求（1）驗證者正確鑒別合法申請者的概率極大化。（2）不具可傳遞性（Transferability），驗證者B不可能重用申請者A提供給他的信息來偽裝申請者A，而成功地騙取其他人的驗證，從而得到信任。（3）攻擊者偽裝申請者欺騙驗證者成功的概率要小到可以忽略的程度，能抗擊已知密文攻擊，即能對抗攻擊者截獲到申請者和驗證者的多次通信密文，然后偽裝申請者欺騙驗證者。（4）計算有效性，為實現(xiàn)身份鑒別所需的計算量要小。（5）通信有效性，為實現(xiàn)身份鑒別所需通信次數(shù)和數(shù)據(jù)量要小。（6）秘密參數(shù)能安全存儲。（7）相互鑒別，有些應用中要求雙方能互相進行身份鑒別。（8）第三方的實時參與，如在線公鑰檢索服務。（9）第三方的可信賴性。（10）可證明安全性。2.身份鑒別的基本方法(按照證據(jù)特點)其它，如：相信可靠的第三方建立的鑒別（遞推）。基于環(huán)境（如主機IP地址）。所知（Knowledge）驗證實體所知什么，如一個秘密的口令或通行字。

所有（Possesses）驗證實體擁有什么，如信物、通行證、智能IC卡。唯一特征（charecteristics）驗證實體不可改變的特性，如指紋、聲音等生物學測定得來的標識特征。SomethingyouknowSomethingyouhaveSomethingyouare針對身份鑒別的主要威脅和攻擊手段主要威脅：假冒、偽造等。典型攻擊手段

信道截獲：由于認證信息要通過網(wǎng)絡傳遞，并且很多認證系統(tǒng)的口令是未經(jīng)加密的明文，攻擊者通過竊聽網(wǎng)絡數(shù)據(jù)，就很容易分辨出某種特定系統(tǒng)的認證數(shù)據(jù)，并提取出用戶名和口令，或者其它有關的鑒別信息?？诹畈聹y：

重放：非授權用戶截獲信息，然后再傳送給接收者。

修改或偽造：非授權用戶截獲信息，替換或修改信息后再傳送給接收者，或者非授權用戶冒充合法用戶發(fā)送信息。 其它：如反送攻擊、交錯攻擊和選擇性攻擊等。①{IDA，IDB，rA}用戶A用戶B②{rB，Ek(rA)}③

{Ek(rB)}①{IDA，IDB，rT}對手T用戶B②

{rB，Ek(rT)}①

{IDA，IDB，rB}③

{Ek(rB)}方案示意1②

{rB2，Ek(rB)}B等待D返回

Ek(rB)T怎么構造出Ek(rB)

？假定用戶A、B已安全共享對稱密鑰k①{IDA，IDB，rA}用戶A用戶B②{Ek(rA，rB)}③

{rB’}①{IDB，IDA，rB}對手T用戶B②{Ek(rB，rB2)}①{IDA，IDB，rB}②

{Ek(rB，rB2)}③

{rB2’}B等待T返回

Ek(rB，rA

)方案示意2假定用戶A、B已安全共享對稱密鑰k特點：B的質問信息是密文！T怎么構造出Ek(rB，rA

)

？1、時間戳：A接受一個新消息僅當該消息包含一個時間戳，該時間戳在A看來，是足夠接近A所知道的當前時間；這種方法要求不同參與者之間的時鐘需要同步。2、質詢/響應方式（Challenge/Response）：A期望從B獲得一個新消息，首先發(fā)給B一個隨機質詢值(Challenge)，并要求后續(xù)從B收到的消息（Response）包含正確的這個質詢值（或其函數(shù)）。保證消息的實時性的基本方法由于變化的和不可預見的網(wǎng)絡延遲的本性，不能期望分布式時鐘保持精確的同步。

因此，任何基于時間戳的過程必須采用時間窗的方式來處理：一方面時間窗應足夠大以包容網(wǎng)絡延遲，另一方面時間窗應足夠小以最大限度地減小遭受攻擊的機會。安全的時間服務器用以實現(xiàn)時鐘同步可能是最好的方法。質詢/響應方式局限

不適應非連接性的應用，因為它要求在傳輸開始之前先有握手的額外開銷，這就抵消了無連接通信的主要特點。時間戳方法局限：

（1）注冊（2）登錄（3）鑒別（4）口令修改（5）注銷（選）典型身份鑒別協(xié)議的基本過程：靜態(tài)口令鑒別(PAP;PasswordAuthenticationProtocol)一次性口令鑒別(OTP:OnetimePassword)雙因子身份鑒別（如基于智能卡）生物特征鑒別弱身份鑒別機制3.常用身份鑒別技術3.1口令鑒別機制（1）靜態(tài)口令鑒別(PAP;PasswordAuthenticationProtocol)目前常用的身份鑒別機制大都是基于靜態(tài)口令的，屬于最簡單、傳統(tǒng)的鑒別方法。該類系統(tǒng)為每個用戶維護一個二元組信息(用戶ID、口令)，登錄系統(tǒng)時用戶輸入自己的ID和口令，鑒別服務器根據(jù)用戶輸入的信息和自己維護的信息進行匹配來判斷用戶身份的合法性。IDAPWAIDBPWB……用戶A服務器IDA,PWAIDAh(PWA)IDBh(PWB)…….IDA，PWA用戶A服務器·安全性分析：攻擊者可事先計算好各種長度的字符串的消息摘要，并將其存放再文件（稱為字典）中，一但攻擊者的得到了存在服務器中的口令文件，直接和字典中的值相匹配，即可知道用戶的口令(字典攻擊）。引入單向加密機制基于單向函數(shù)的口令鑒別MD5在線破解：/13字節(jié)口令MD5加密MD5破解IDAh(PWA||saltA)IDBh(PWB||saltB)……用戶A服務器IDA，PWAIDAsaltAIDBsaltB……

攻擊者在事先進行計算各種長度的字符組成的口令的消息摘要時，由于每個用戶的salt不同，攻擊者必須把各種口令和salt進行組合進行散列運算，使得攻擊者得到字典的難度增加。引入加擾機制

20世紀70年代UNIX操作系統(tǒng)采取的UNIXcrypt口令算法是一種口令加鹽的方法。DESI=0(64bit)K=用戶口令的前8個ASCII字符交換i與24+i隨機選取12bit為salt（作擾亂因子）（基于當前時間）循環(huán)25次13byte的字符串存放在/etc/passwd文件的PASSWORD域。一次性口令的主要思路是:

在登錄過程中加入不確定因素，使每次登錄傳送的鑒別信息都不相同，以提高登錄過程安全性。（2）一次性口令鑒別機制（OneTimePassword）一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。確定口令的方法

（1）兩端共同擁有一串隨機口令，在該串的某一位置保持同步；

（2）兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步；

（3）使用時戳，兩端維持同步的時鐘。IDAPW1IDAPW2……IDAPW1IDAPW2……IDA,PW11)共享一次性口令表(口令序列)一次性口令有許多形式：客戶端服務器口令卡

給授權用戶分配一個認證設備。通常稱為“令牌”，它產(chǎn)生一登錄時必須使用的代碼。其原理是時間同步的動態(tài)口令。實現(xiàn)方法：—通過種子值和當前時間，采用偽隨機算法產(chǎn)生令牌碼；—安全(令牌服務器）通過基于其記錄中的種子值，產(chǎn)生它自己的一個當前有效代碼。然后與用戶提交的代碼相比較，達到對用戶認證的目的；—缺點是算法不被信息系統(tǒng)使用者所知，存在安全風險，維護成本高。2）基于令牌的鑒別機制3)

基于時間同步的動態(tài)口令以用戶登錄時間作為隨機因素；這種方式對雙方的時間準確度要求較高。IDAf(PWA,x)IDBf(PWB,x)……IDA,PWA智能卡用戶A服務器用戶注冊階段(x為服務器秘密信息，可存儲在智能卡中)PWA’IDATfgxTT’－T≤△T智能卡PWAIDAIDAf(PWA||x)gT比較客戶端服務器基于時間同步的動態(tài)口令PWA’=g(f(PWA||x)||T)PWA’接受拒絕1)攻擊者只知道用戶的口令而沒有用戶的智能卡，則不能通過服務器的鑒別；2）攻擊者只擁有用戶的智能卡而不知道用戶的口令，則不能通過服務器的鑒別；3）如果攻擊者不能服務器進行時間同步，則攻擊者不能通過服務器的鑒別。4)基于質詢/應答機制的動態(tài)口令

IDAf(PWA||x)IDBf(PWB||x)……IDA,PWA

智能卡客戶端服務器用戶注冊階段(x為服務器秘密信息)fg智能卡隨機數(shù)rxPWAIDAg比較客戶端服務器基于質詢/應答機制的動態(tài)口令

PWA’IDArPWA’=g(f(PWA||x)||r)IDAf(PWA||x)PWA’接受拒絕一個基于OTP的用戶鑒別方案（S-key方案）用戶鑒別過程三階段：注冊、登錄、鑒別。IDA（請求登錄）N（≠1）IDA,OTP=hN－1(PWA)若通過驗證，則服務器用OTP替換用戶鑒別信息,N=N－1直到N=1，顯然用戶注冊一次可以登錄N－1次。服務器UIDA

hN(PWA)NIDB

hN(PWB)N……

用戶鑒別信息表服務器計算并驗證等式，h(OTP)?=hN(PWA)問題：此方法如何體現(xiàn)OTP？它是如何保證鑒別的安全性的？1)重放攻擊：由于用戶每次登錄的口令不同，因此攻擊者把上一次的口令傳送給服務器將通不過服務器的認證。2）口令以密文傳輸：口令散列后在通信信道中傳輸，因此攻擊者截獲口令的散列值后要計算用戶的口令是困難的。安全性分析：

3.2基于智能卡鑒別機制：—智能卡（Smartcard）：是一個帶CPU的安全芯片卡具有自己的操作系統(tǒng)COS，安全加解密算法；——一般為接觸式的，用戶需要讀卡器；——內置加密口令或數(shù)字證書、私鑰等，實現(xiàn)身份認證——缺點：費用高，需要讀卡器。

工行U盾使用USB卡物理介質的證書認證方式。它內置微型智能卡處理器，采用1024位非對稱密鑰算法對網(wǎng)上數(shù)據(jù)進行數(shù)字簽名。銀行用數(shù)字證書驗證客戶的身份，確?？蛻魹殂y行真正的客戶，防止其他客戶非法使用。

U盾具有不可復制性，僅由客戶自己保管和使用，因此用了客戶U盾以后，即便是有假網(wǎng)站、病毒感染、黑客入侵，不慎泄露銀行卡和其他資料，只要物理U盾不丟失，PIN碼不泄漏，仍然能確保資金從網(wǎng)上銀行不會盜取。

3.3基于證書的身份認證

目前國內外普遍使用的、技術成熟的、可實際使用的還是基于證書的數(shù)字簽名技術的認證。

作為公鑰基礎設施ＰＫＩ可提供多種網(wǎng)上安全服務，主要是認證、授權、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認性。安全的身份鑒別方案應該滿足的兩個要求：(1)A能向B證明自己的確是A；(2)當A向B證明了自己的身份后，B得不到任何用于假冒A的有用信息，B

無法向第三方聲稱自己是A。即：A向B證明自己的身份，但又不泄漏自己的秘密。身份鑒別的常用方法是：使驗證方能驗證出被驗證方擁有一個不會被泄漏的秘密，

如：CA證書＋“三趟消息”?；诿艽a算法的鑒別協(xié)議、零知識證明技術：（略）

NEk(N)用戶服務器IDRequestEk(N)?

質詢—響應系統(tǒng)提示用戶，要求每次登錄都給出不同的回答。例如，系統(tǒng)可能顯示一個四位數(shù)的詢問數(shù)據(jù)，每個用戶各擁有一個應答函數(shù)（如一次性口令鑒別器）以供計算。身份鑒別技術中的“三趟消息”4.零知識證明（1）目的：

向別人證明自己知道某個秘密信息，同時又不能讓別人知道該秘密信息。（2）基本的零知識證明協(xié)議（J.J.Quisquater，L.C.Guillou）ABCD證明過程：（1）Bob站在A點。（2）Alice走進洞穴，到達C或D點。（3）在Alice消失后，Bob到達B點。（4）Bob命令Alice從左通道或右通道出來（隨機）（5）Alice遵從Bob的命令，必要時利用咒語打開C、D間的密門。（6）Alice和Bob重復第(1)~(5)步n次。

若Alice不知道咒語，完成證明過程的概率只有(1/2)n。

用戶Alice擁有某個秘密信息（如打開C、D間密門的咒語）；用戶Alice要想Bob證明自己掌握該秘密，而又不能泄漏該秘密。零知識證明協(xié)議舉例：

設p和q是兩個大素數(shù)，n＝pq

。假設Alice知道n

的因子。如果Alice想讓Bob相信他知道n的因子，但卻不想讓Bob知道n的因子。

則Alice和Bob可以執(zhí)行下面的協(xié)議：

Bob隨機選取一個大整數(shù)x

，計算

y＝x4modn

Bob將計算結果y

告訴Alice．

(2)Alice計算Bob驗證:y?＝x2modn是否成立。Alice將結果z

告訴Bob

上述協(xié)議重復多次，若

Alice每次都能正確地計算則Bob就可以相信Alice知道n

的因子p和q。因為可以證明計算等價于對n進行因式分解。若Alice不知道n

的因子p和q，則計算是一個困難問題。因此，當在重復執(zhí)行該協(xié)議的情況下，Alice都能正確地給出則Bob可以以非常大的概率認為Alice知道n的因子p

和q。而在協(xié)議執(zhí)行過程中，Bob卻沒有得到關于n

的因子p和q的任何信息。提供機密性、完整性和身份鑒別的安全通信示例（發(fā)送端）對稱密鑰（隨機產(chǎn)生）散列函數(shù)散列碼（數(shù)字指紋）散列運算Alice的私鑰簽名運算Alice的數(shù)字簽名Bob的公鑰加密運算加密信息合并報文發(fā)送（不安全信道）明文消息Alice發(fā)送者Bob接收者數(shù)字信封加密運算Alice的公鑰驗證運算對稱密鑰Bob的私鑰解密運算散列函數(shù)散列運算明文消息報文Bob接收者散列碼解密運算分解Alice的數(shù)字簽名加密信息數(shù)字信封通過（接收）失敗（拒絕）提供機密性、完整性和身份鑒別的安全通信示例（接收端）身份鑒別技術應用實例：

KerberosKerberos需求安全：一個網(wǎng)絡竊聽者應該不能獲得必要的信息來假裝成另一個用戶。更一般地，Kerberos應該足夠強以防止?jié)撛诘膶κ职l(fā)現(xiàn)脆弱的鏈路?？煽浚簩λ幸蕾嘖erberos進行訪問控制的服務來說，無法獲得Kerberos服務就意味著無法獲得所要求的服務。因此，Kerberos應該是高可靠性的，應該使用分布式的服務器結構，一個系統(tǒng)能夠對另一個系統(tǒng)進行備份。透明：理想情況下，除了需要輸入一個口令外，用戶應該沒有意識到鑒別服務的發(fā)生?？蓴U縮：系統(tǒng)應該擁有支持大量客戶和服務器的能力。這意味著需要一個模塊化的、分布式結構。一個簡單的鑒別對話（1）C→AS:IDc||PWc||IDv（2）AS→C:Ticket（3）C→V:IDc||TicketTicket=Ekv[IDc||ADc||IDv]C:客戶IDv:服務器標識符V:服務器PWc:用戶口令AS:鑒別服務器ADc:C的網(wǎng)絡地址IDc:

用戶標識符Kv:AS和V的共享密鑰CVAS(1)(2)(3)更安全的鑒別對話兩個主要問題

1.用戶每次訪問一種新服務就需要一個新的票據(jù)，導致用戶多次輸入口令。

2.用明文傳遞的用戶口令會被竊聽。解決辦法票據(jù)可重用避免明文口令采用票據(jù)許可服務器使用TGS的鑒別對話符號說明：Idtgs：TGS的標識符Kc：由用戶口令導出的密鑰TS1：時間戳TimeStampLifetime1、2：票據(jù)生存期每次用戶的登陸會話:(1)CAS:IDc||IDtgs(2)ASC:

EKc[Tickettgs]每種服務類型一次：(3)CTGS:IDc||IDv||Tickettgs(4)TGSC:

TicketV每種服務會話一次：(5)CV:

IDc||TicketVTickettgs=EKtgs[IDc||ADc||IDtgs||TS1||Lifetime1]票據(jù)許可票據(jù)TicketV=EKv[IDc||ADc||IDV||TS2||Lifetime2]服務許可票據(jù)

Ktgs：AS與TGS的共享密鑰KV：TGS與V的共享密鑰

客戶通過向AS發(fā)送用戶ID、TGSID來請求一張代表該用戶的票據(jù)許可票據(jù)。TGSID說明一個使用TGS服務的請求。AS發(fā)回一張加密過的票據(jù)作為響應，加密密鑰是由用戶口令導出的。當該響應到達客戶端時，客戶端提示用戶輸入口令，產(chǎn)生密鑰，并試圖對收到的報文解密。如果提供的口令正確，票據(jù)就能正確恢復。客戶代表用戶請求一張服務許可票據(jù)。為達到這個目的，客戶向TGS發(fā)送一個包含用戶ID、期望服務的ID和票據(jù)許可票據(jù)的報文。TGS對收到的票據(jù)進行解密，通過檢查TGS的ID是否存在來驗證解密是否成功。它檢查票據(jù)中的生存期，確保它沒有過期。然后比較用戶的ID和網(wǎng)絡地址與收到鑒別用戶的信息是否一致。如果允許用戶訪問v，TGS就發(fā)回一張訪問請求服務的許可票據(jù)。5.客戶代表用戶請求獲得某項服務。為了達到這個目的，客戶向服務器傳送一個包含用戶ID和服務許可票據(jù)的報文。服務器通過票據(jù)的內容進行鑒別。新的問題第一個問題是票據(jù)許可票據(jù)的生存期。如果這個生存期太短(如數(shù)分鐘)，那么用戶將總被要求輸入口令。如果生存期太長(如數(shù)小時)，那么對手就有更多重放的機會。對手可以竊聽網(wǎng)絡，獲得票據(jù)許可可票據(jù)的復制，然后等待合法用戶的退出登錄。這樣對手便可偽造合法用戶的網(wǎng)絡地址，并向TGS發(fā)送步驟(3)中的報文。這將使對手可以沒有限制地訪問合法用戶可獲得的資源和文件。同樣，如果對手截獲服務許可票據(jù)，并在過期前使用它，對手便可訪問相應的服務。因此，我們得出另外一個需求。網(wǎng)絡服務(TGS或應用服務)必須能夠證明使用票據(jù)的人就是申請票據(jù)的人。

新的問題第二個問題是雙向鑒別：

向用戶鑒別它自己。

沒有這樣的鑒別，對手可能會陰謀破壞系統(tǒng)配置，使發(fā)往服務器的報文被轉送到另一個位置。

假的服務器在那充當真正的服務器，并接收來自用戶的任何信息，拒絕向用戶提供真正的服務。Kerberos第4版(a)鑒別服務交換：獲得TGS許可票據(jù)(1)C→AS:IDC║IDtgs║TS1(2)AS→C:EKc［KC,tgs║IDtgs║TS2║Lifetime2║Tickettgs］

Tickettgs=EKtgs[Kc,tgs║IDc║ADc║IDtgs║TS2║Lifetime2］（可重用）(b)票據(jù)許可交換服務：獲得服務許可票據(jù)(3)C→TGS:IDv║Tickettgs║Authenticatorc(4)TGS→C:EKctgs［Ke,v║IDv║TS4║Ticketv

］

Tickettgs=EktgsKc，tgs║IDc║ADc║IDtgs║TS2║Lifetime2］（可重用）

Ticketv=EKv［Kc,v║IDc║ADc║IDv║TS4║Lifetime4］（可重用）

Authenticatorc=EKc,tgs［IDc║ADc║TS3］（對抗重放Tickettgs）(c)客戶/服務器鑒別交換：獲得服務(5)C→V:Ticketv║Authenticatorc

(6)V→C:EKc,v

［TS5+1］（對于相互鑒別）

Ticketv=EKv［Kc,v║IDc║ADc║IDv║TS4║Lifetime4］（可重用）

Authenticatorc=EKc,v［IDc║ADc║TS5］鑒別服務交換階段：獲得TGS許可票據(jù)報文(1)客戶請求票據(jù)許可票據(jù)（C→AS）IDc：從這個客戶將用戶的身份標識告訴ASIDtgs：告訴AS用戶請求TGSTS1：允許AS驗證客戶的時鐘是否與AS的時鐘同步采用了時間戳TS1

，以便讓AS知道報文是及時的。報文(2)AS返回票據(jù)許可票據(jù)（AS→C）EKc：基于用戶口令的加密，使AS和客戶能驗證口令，并保護報文(2)的內容。Kc,tgs：客戶可理解的會話密鑰的副本；由AS生成允許客戶與TGS間無需共享一個永久密鑰就能安全交換報文。IDtgs：證實這張票據(jù)是給TGS的。TS2：通知客戶這張票據(jù)發(fā)出的時間Lifetime2：通知客戶這張票據(jù)的有效期Tickettgs：客戶用來訪問TGS的票據(jù)報文(3)客戶請求服務許可票據(jù)(C→TGS)

IDv： 告訴TGS用戶請求訪問的服務器vTickettgs：使TGS確信這個用戶已經(jīng)經(jīng)過AS的鑒別Authenticatorc：由客戶產(chǎn)生用來證明票據(jù)的有效性，這可以用來防止攻擊者重放票據(jù)許可票據(jù)報文(4)TGS返回的服務許可票據(jù)(TGS→C)Kc,tgs：由C和TGS共享的密鑰；用來保護報文(4)Kc,tgs:

客戶可理解的會話密鑰的副本；由TGS生成，允許客戶與服務器間無需共享一個永久密鑰就能安全交換報文IDv： 證實這張票據(jù)是給服務器v的TS4： 通知客戶這張票據(jù)發(fā)出的時間Ticketv：客戶用來訪問服務器V的票據(jù)票據(jù)許可服務交換：獲得服務許可票據(jù)幾個重要數(shù)據(jù)說明：Tickettgs

可重用，以便用戶不用重新輸人口令IDc:指明這張票據(jù)的合法擁有者ADc：防止在其它工作站上使用該票據(jù)的人不是票據(jù)的初始申請者報文(5)客戶請求服務(C→V)Ticketv：客戶用來訪問服務器V的票據(jù)Authenticatorc：由客戶產(chǎn)生,用來證明票據(jù)有效性的鑒別符客戶/服務器鑒別交換：獲得服務Ticketv=EKv［Kc,v║IDc║ADc║IDv║TS4║Lifetime4］Authenticatorc=EKc,v［IDc║ADc║TS5］報文(6)完成雙向鑒別(V→C)

EKc,v［TS5+1］Kerberos鑒別過程AuthenticatorServer(AS)TicketGrantingServer(TGS)3.請求服務許可票據(jù)1.請求票據(jù)許可票據(jù)2.票據(jù)+會話密鑰4.票據(jù)+會話密鑰提供服務標識符5.請求服務Kerberos領域和多個Kerberos完整服務的Kerberos環(huán)境包含一個Kerberos服務器、許多客戶和許多應用服務器。Kerberos環(huán)境有如下需求：Kerberos服務器的數(shù)據(jù)庫必須包含所有參與用戶的ID和用戶口令的散列碼。所有用戶都向Kerberos服務器注冊。Kerberos服務器必須與每個服務器共享一個密鑰。所有服務器都向Kerberos服務器件注冊。這樣的環(huán)境被稱為一個領域。不同行政組織下的由客戶和服務器組成的網(wǎng)自成不同的領域。換句話說，這通常是不切實際的，或因不能肯定管理的策略，讓在一個管月下的用戶和服務器向別處的Kerberos服務器注冊。然而，在一個領域中用戶可能需要訪問他領域的服務器，同時某些服務器可能也愿意向其他領域的用戶提供服務，如果這些用戶月過鑒別的。Kerberos領域Kerberos提供了一種支持不同領域間鑒別的機制。每個互操作領域中的Kerberos服務器要與另一個領域中的Kerberos服務器共享一個密鑰。兩個Kerberos服務器都必須相互注冊。

這個方案需要一個領域中的Kerberos服務器信任另一個領域中Kerberos服務器鑒別的用戶，并且第二個領域的參與服務器也愿意信任第一個領域中的Kerberos服務器。Kerberos領域AuthenticatorServer(AS)TicketGrantingServer(TGS)3.請求遠程TGS票據(jù)1.請求票據(jù)許可票據(jù)2.票據(jù)+會話密鑰4.遠程TGS票據(jù)ASTGS5.請求遠程服務許可票據(jù)6.遠程服務器票據(jù)第4版與第5版的差異第5版打算兩個方面改進第4版的不足：環(huán)境上的缺點技術上的不足第四版的缺陷環(huán)境上的不足加密系統(tǒng)的依賴性：第4版需要使用DES。在第5版中，密文被附上加密類型標識符以便可以使用任何加密技術。加密密鑰也加上類型和長度標記，允許不同的算法使用同樣的密鑰，允許說明給定算法的不同版本。對Internet協(xié)議的依賴性：第4版需要使用網(wǎng)際協(xié)議(IP)地址。不提供其他地址類型，如ISO網(wǎng)絡地址。第5版中的網(wǎng)絡地址加上了類型和長度標記，允許使用任何類型的網(wǎng)絡地址。第四版的缺陷(續(xù)1)報文字節(jié)序：在第4版中，發(fā)方的報文使用的字節(jié)序由它自己選擇，可在報文中說明是低位字在低地址或者高位字在低地址。在第5版中，所有報文結構采用抽象語法記法(ASN．1)和基本編碼規(guī)則(BER)，這將提供一個明確的字節(jié)序。票據(jù)有效期：有效期的值在第4版中是用8bit量編碼的，每個單位是5分鐘。這樣最長的有效期可表示為28x5；1280分鐘，或者21小時多一點。

這對某些應用來說可能是不夠的(如運行時間很長的仿真在整個執(zhí)行期間都需要Kerberos的鑒別證書)。

在第5版中，票據(jù)包含顯式的開始時間和結束時間，允許票據(jù)有任意大小的有效期。第四版的缺陷(續(xù)2)鑒別的轉發(fā)：第4版不允許發(fā)給一個用戶的鑒別證書被轉發(fā)到其他主機或被其他客戶使用。這種能力可以使一個客戶訪問某服務器時，該服務器能以這個客戶的名義訪問另一個服務器。例如，一個客戶向一個打印服務器發(fā)出請求，然后使用客戶的訪問鑒別證書從一個文件服務器訪問該客戶的文件。第5版提供了這種能力。領域間鑒別在第4版中，N個領域間的互操作需要如前面介紹的N