北京大學(xué)網(wǎng)絡(luò)信息安全課件-身份鑒別

網(wǎng)絡(luò)與信息平安第七講

身份鑒別陳鐘

北京大學(xué)計(jì)算機(jī)系信息平安研究室

2003年春季北京大學(xué)碩士研究生課程1課程體系密碼學(xué)根底：經(jīng)典密碼、對(duì)稱密碼、非對(duì)稱密碼、密鑰管理技術(shù)認(rèn)證理論與技術(shù)：散列算法〔Hash)、數(shù)字簽名、身份鑒別和訪問(wèn)控制網(wǎng)絡(luò)平安：電子郵件的平安、IP的平安、Web的平安、掃描、攻擊與入侵檢測(cè)系統(tǒng)平安：防火墻技術(shù)、操作系統(tǒng)的平安、病毒專題講座：2回憶-密碼學(xué)根底對(duì)稱密碼兩個(gè)根本運(yùn)算：代替和置換兩個(gè)根本分析方法：統(tǒng)計(jì)分析法&窮舉法兩個(gè)根本設(shè)計(jì)原那么：混亂和擴(kuò)散密碼分析攻擊的方式分組密碼現(xiàn)代常規(guī)分組加密算法：3DES、RC5、RC6、SES隨機(jī)數(shù)的產(chǎn)生公鑰密碼算法：D-H/背包算法/RSA/ElGamal/ECC消息鑒別、散列函數(shù)、數(shù)字簽名密鑰管理3討論議題鑒別的根本概念鑒別機(jī)制鑒別與交換協(xié)議典型鑒別實(shí)例4鑒別AuthenticationThepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.Authenticityappliestoentitiessuchasusers,processes,systemsandinformation.鑒別就是確認(rèn)實(shí)體是它所聲明的。鑒別是最重要的平安效勞之一。鑒別效勞提供了關(guān)于某個(gè)實(shí)體身份的保證?！菜衅渌钠桨残诙家蕾囉谠撔凇宠b別可以對(duì)抗假冒攻擊的危險(xiǎn)

5鑒別的需求和目的問(wèn)題的提出身份欺詐鑒別需求：

某一成員〔聲稱者〕提交一個(gè)主體的身份并聲稱它是那個(gè)主體。鑒別目的：

使別的成員〔驗(yàn)證者〕獲得對(duì)聲稱者所聲稱的事實(shí)的信任。

6身份鑒別定義：證實(shí)客戶的真實(shí)身份與其所聲稱的身份是否相符的過(guò)程。依據(jù)：Somethingtheuserknow(所知〕密碼、口令等Somethingtheuserpossesses〔擁有〕身份證、護(hù)照、密鑰盤(pán)等Somethingtheuseris(orHowhebehaves)指紋、筆跡、聲音、虹膜、DNA等7協(xié)議PAPCHAPKerberosX.5098鑒別協(xié)議雙方鑒別(mutualauthentication)單向鑒別(one-wayauthentication)9雙向鑒別協(xié)議最常用的協(xié)議。該協(xié)議使得通信各方互相認(rèn)證鑒別各自的身份，然后交換會(huì)話密鑰?；阼b別的密鑰交換核心問(wèn)題有兩個(gè)：保密性實(shí)效性為了防止偽裝和防止暴露會(huì)話密鑰，根本鑒別和會(huì)話密碼信息必須以保密形式通信，這就要求預(yù)先存在保密或公開(kāi)密鑰供實(shí)現(xiàn)加密使用。第二個(gè)問(wèn)題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴簟?0鑒別的兩種情形鑒別用于一個(gè)特定的通信過(guò)程，即在此過(guò)程中需要提交實(shí)體的身份。實(shí)體鑒別〔身份鑒別〕：某一實(shí)體確信與之打交道的實(shí)體正是所需要的實(shí)體。只是簡(jiǎn)單地鑒別實(shí)體本身的身份，不會(huì)和實(shí)體想要進(jìn)行何種活動(dòng)相聯(lián)系。數(shù)據(jù)原發(fā)鑒別：鑒定某個(gè)指定的數(shù)據(jù)是否來(lái)源于某個(gè)特定的實(shí)體。不是孤立地鑒別一個(gè)實(shí)體，也不是為了允許實(shí)體執(zhí)行下一步的操作而鑒別它的身份，而是為了確定被鑒別的實(shí)體與一些特定數(shù)據(jù)項(xiàng)有著靜態(tài)的不可分割的聯(lián)系。11

在實(shí)體鑒別中，身份由參與某次通信連接或會(huì)話的遠(yuǎn)程參與者提交。這種效勞在連接建立或在數(shù)據(jù)傳送階段的某些時(shí)刻提供使用,使用這種效勞可以確信(僅僅在使用時(shí)間內(nèi)):一個(gè)實(shí)體此時(shí)沒(méi)有試圖冒充別的實(shí)體,或沒(méi)有試圖將先前的連接作非授權(quán)地重演。在數(shù)據(jù)原發(fā)鑒別中，身份和數(shù)據(jù)項(xiàng)一起被提交，并且聲稱數(shù)據(jù)項(xiàng)來(lái)源于身份所代表的主體。這種效勞對(duì)數(shù)據(jù)單元的重復(fù)或篡改不提供保護(hù)。12數(shù)據(jù)原發(fā)鑒別

數(shù)據(jù)原發(fā)鑒別為聲稱者的身份是特定數(shù)據(jù)項(xiàng)的來(lái)源提供了保障。

它不同于實(shí)體鑒別：

聲稱者未必涉及在當(dāng)前的通信活動(dòng)中；

數(shù)據(jù)項(xiàng)可能已經(jīng)通過(guò)許多系統(tǒng)被重放，這些系統(tǒng)可能或沒(méi)有被鑒別；

數(shù)據(jù)項(xiàng)可能在途中被存儲(chǔ)相當(dāng)?shù)闹芷凇?/p>

與完整性有關(guān)的數(shù)據(jù)原發(fā)鑒別必須確保自從數(shù)據(jù)項(xiàng)離開(kāi)它的信源沒(méi)有被修改。然而，數(shù)據(jù)原發(fā)鑒別未必能免遭數(shù)據(jù)項(xiàng)的復(fù)制、重排序或喪失。13數(shù)據(jù)原發(fā)鑒別方法：

1〕加密：給數(shù)據(jù)項(xiàng)附加一個(gè)鑒別項(xiàng)，然后加密該結(jié)果

2〕封裝或數(shù)字簽名

3〕實(shí)體鑒別擴(kuò)展：通過(guò)完整性機(jī)制將數(shù)據(jù)項(xiàng)和鑒別交換聯(lián)系起來(lái)14實(shí)體鑒別實(shí)現(xiàn)平安目標(biāo)的方式作為訪問(wèn)控制效勞的一種必要支持，訪問(wèn)控制效勞的執(zhí)行依賴于確知的身份〔訪問(wèn)控制效勞直接對(duì)到達(dá)機(jī)密性、完整性、可用性及合法使用目標(biāo)提供支持〕；作為提供數(shù)據(jù)起源認(rèn)證的一種可能方法〔當(dāng)它與數(shù)據(jù)完整性機(jī)制結(jié)合起來(lái)使用時(shí)〕；作為對(duì)責(zé)任原那么的一種直接支持，例如，在審計(jì)追蹤過(guò)程中做記錄時(shí)，提供與某一活動(dòng)相聯(lián)系確實(shí)知身份。

15實(shí)體鑒別分類〔1〕實(shí)體鑒別可以分為本地和遠(yuǎn)程兩類。實(shí)體在本地環(huán)境的初始化鑒別〔就是說(shuō)，作為實(shí)體個(gè)人，和設(shè)備物理接觸，不和網(wǎng)絡(luò)中的其他設(shè)備通信〕。連接遠(yuǎn)程設(shè)備、實(shí)體和環(huán)境的實(shí)體鑒別。本地鑒別：需要用戶的進(jìn)行明確的操作遠(yuǎn)程鑒別：通常將本地鑒別結(jié)果傳送到遠(yuǎn)程。〔1〕平安〔2〕易用16實(shí)體鑒別分類〔2〕實(shí)體鑒別可以是單向的也可以是雙向的。

單向鑒別是指通信雙方中只有一方向另一方進(jìn)行鑒別。

雙向鑒別是指通信雙方相互進(jìn)行鑒別。17實(shí)體鑒別系統(tǒng)的組成一方是出示證件的人，稱作示證者P(Prover)，又稱聲稱者(Claimant)。另一方為驗(yàn)證者V〔Verifier),檢驗(yàn)聲稱者提出的證件的正確性和合法性，決定是否滿足要求。第三方是可信賴者TP〔Trustedthirdparty)，參與調(diào)解糾紛。第四方是攻擊者，可以竊聽(tīng)或偽裝聲稱者騙取驗(yàn)證者的信任。18鑒別模型

ATPB19實(shí)體鑒別與消息鑒別的差異實(shí)體鑒別一般都是實(shí)時(shí)的，消息鑒別一般不提供時(shí)間性。實(shí)體鑒別只證實(shí)實(shí)體的身份，消息鑒別除了消息的合法和完整外，還需要知道消息的含義。數(shù)字簽字是實(shí)現(xiàn)身份識(shí)別的有效途徑。但在身份識(shí)別中消息的語(yǔ)義是根本固定的，一般不是“終生〞的，簽字是長(zhǎng)期有效的。20對(duì)身份鑒別系統(tǒng)的要求〔1〕驗(yàn)證者正確識(shí)別合法申請(qǐng)者的概率極大化?！?〕不具有可傳遞性〔Transferability)〔3〕攻擊者偽裝成申請(qǐng)者欺騙驗(yàn)證者成功的概率要小到可以忽略的程度〔4〕計(jì)算有效性〔5〕通信有效性〔6〕秘密參數(shù)能平安存儲(chǔ)*〔7〕交互識(shí)別*〔8〕第三方的實(shí)時(shí)參與*〔9〕第三方的可信賴性*〔10〕可證明的平安性21實(shí)現(xiàn)身份鑒別的途徑三種途徑之一或他們的組合〔1〕所知〔Knowledge〕:密碼、口令〔2〕所有〔Possesses):身份證、護(hù)照、信用卡、鑰匙〔3〕個(gè)人特征：指紋、筆跡、聲紋、手型、血型、視網(wǎng)膜、虹膜、DNA以及個(gè)人動(dòng)作方面的一些特征〔4〕你做的事情〔如手寫(xiě)簽名〕設(shè)計(jì)依據(jù)：平安水平、系統(tǒng)通過(guò)率、用戶可接受性、本錢等22

討論議題鑒別的根本概念鑒別機(jī)制鑒別與交換協(xié)議典型鑒別實(shí)例23鑒別機(jī)制非密碼的鑒別機(jī)制基于密碼算法的鑒別采用對(duì)稱密碼算法的機(jī)制采用公開(kāi)密碼算法的機(jī)制采用密碼校驗(yàn)函數(shù)的機(jī)制零知識(shí)證明協(xié)議24非密碼的鑒別機(jī)制A.口令機(jī)制

B．一次性口令機(jī)制

C．基于地址的機(jī)制

D．基于個(gè)人特征的機(jī)制

E．個(gè)人鑒別令牌25A．口令機(jī)制

口令或通行字機(jī)制是最廣泛研究和使用的身份鑒別法。通常為長(zhǎng)度為5~8的字符串。選擇原那么：易記、難猜、抗分析能力強(qiáng)?？诹钕到y(tǒng)有許多脆弱點(diǎn)：

外部泄露

口令猜測(cè)

線路竊聽(tīng)

危及驗(yàn)證者

重放26對(duì)付外部泄露的措施教育、培訓(xùn)；嚴(yán)格組織管理方法和執(zhí)行手續(xù)；口令定期改變；每個(gè)口令只與一個(gè)人有關(guān)；輸入的口令不再現(xiàn)在終端上；使用易記的口令，不要寫(xiě)在紙上。27對(duì)付口令猜測(cè)的措施教育、培訓(xùn)；嚴(yán)格限制非法登錄的次數(shù)；口令驗(yàn)證中插入實(shí)時(shí)延遲；限制最小長(zhǎng)度，至少6~8字節(jié)以上防止用戶特征相關(guān)口令，口令定期改變；及時(shí)更改預(yù)設(shè)口令；使用機(jī)器產(chǎn)生的口令。28對(duì)付線路竊聽(tīng)的措施使用保護(hù)口令機(jī)制：如單向函數(shù)。

qfididq比較是或不是pid聲稱者驗(yàn)證者消息29主要缺陷及對(duì)策攻擊者很容易構(gòu)造一張q與p對(duì)應(yīng)的表，表中的p盡最大可能包含所期望的值。隨機(jī)串〔Salt〕是使這種攻擊變得困難的一種方法。在口令后使用隨機(jī)數(shù)。只能保護(hù)在多臺(tái)計(jì)算機(jī)上使用相同口令或在同一計(jì)算機(jī)上使用同一口令的不同用戶。30UNIX系統(tǒng)中的口令存儲(chǔ)UNIX系統(tǒng)使用crypt()保證系統(tǒng)密碼的完整性。

這一函數(shù)完成被稱作單向加密的功能，它可以加密一些明碼，但不能夠?qū)⒚艽a轉(zhuǎn)換為原來(lái)的明碼。31改進(jìn)方案

qid

qid比較f是或不是聲稱者驗(yàn)證者pid消息salt32根本的對(duì)付危及驗(yàn)證者的措施使用單向函數(shù)

pididq比較是或不是聲稱者驗(yàn)證者pid消息fqsalt33對(duì)付竊聽(tīng)及危及驗(yàn)證者的措施

聲稱者fqidgidr比較是或不是pidr驗(yàn)證者消息saltsalt34對(duì)付重放攻擊的措施抵抗對(duì)通信線路的主動(dòng)攻擊——重放攻擊。

ridnrvgfidqg比較是或不是p聲稱者驗(yàn)證者消息qidnrvsalt35B．一次性口令機(jī)制一次性口令機(jī)制確保在每次認(rèn)證中所使用的口令不同，以對(duì)付重放攻擊。確定口令的方法：

〔1〕兩端共同擁有一串隨機(jī)口令，在該串的某一位置保持同步；

〔2〕兩端共同使用一個(gè)隨機(jī)序列生成器，在該序列生成器的初態(tài)保持同步；

〔3〕使用時(shí)戳，兩端維持同步的時(shí)鐘。36強(qiáng)度〔1〕沒(méi)有器件而知道口令p，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊；〔2〕擁有器件而不知道口令p，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊；〔3〕除非攻擊者也能進(jìn)行時(shí)間同步，否那么重放不是一個(gè)簡(jiǎn)單的攻擊；〔4〕知道q〔例如通過(guò)瀏覽驗(yàn)證者系統(tǒng)文件〕而不知道設(shè)備平安值dsv，不能導(dǎo)致一個(gè)簡(jiǎn)單的攻擊。37SKEY驗(yàn)證程序其平安性依賴于一個(gè)單向函數(shù)。為建立這樣的系統(tǒng)A輸入一隨機(jī)數(shù)R，計(jì)算機(jī)計(jì)算f〔R〕,f〔f〔R〕〕，f〔f〔f〔R〕〕〕，…,共計(jì)算100次，計(jì)算得到的數(shù)為x1,x2,x3,…x100，A打印出這樣的表，隨身攜帶，計(jì)算機(jī)將x101存在A的名字旁邊。第一次登錄，鍵入x100，以后依次鍵入xi，計(jì)算機(jī)計(jì)算f(xi)，并將它與xi+1比較。38C、基于地址的機(jī)制基于地址的機(jī)制假定聲稱者的可鑒別性是以呼叫的源地址為根底的。在大多數(shù)的數(shù)據(jù)網(wǎng)絡(luò)中，呼叫地址的區(qū)分都是可行的。在不能可靠地區(qū)分地址時(shí)，可以用一個(gè)呼叫—回應(yīng)設(shè)備來(lái)獲得呼叫的源地址。一個(gè)驗(yàn)證者對(duì)每一個(gè)主體都保持一份合法呼叫地址的文件。這種機(jī)制最大的困難是在一個(gè)臨時(shí)的環(huán)境里維持一個(gè)連續(xù)的主機(jī)和網(wǎng)絡(luò)地址的聯(lián)系。地址的轉(zhuǎn)換頻繁、呼叫—轉(zhuǎn)發(fā)或重定向引起了一些主要問(wèn)題。基于地址的機(jī)制自身不能被作為鑒別機(jī)制，但可作為其它機(jī)制的有用補(bǔ)充。39D．基于個(gè)人特征的機(jī)制生物特征識(shí)別技術(shù)主要有：

1〕指紋識(shí)別；

2〕聲音識(shí)別；

3〕手跡識(shí)別；

4〕視網(wǎng)膜掃描；

5〕手形。

這些技術(shù)的使用對(duì)網(wǎng)絡(luò)平安協(xié)議不會(huì)有重要的影響。40E．個(gè)人鑒別令牌物理特性用于支持認(rèn)證“某人擁有某東西〞，但通常要與一個(gè)口令或PIN結(jié)合使用。這種器件應(yīng)具有存儲(chǔ)功能，通常有鍵盤(pán)、顯示器等界面部件，更復(fù)雜的能支持一次性口令，甚至可嵌入處理器和自己的網(wǎng)絡(luò)通信設(shè)備〔如智能卡〕。這種器件通常還利用其它密碼鑒別方法。41采用對(duì)稱密碼的鑒別機(jī)制基于對(duì)稱密碼算法的鑒別依靠一定協(xié)議下的數(shù)據(jù)加密處理。通信雙方共享一個(gè)密鑰〔通常存儲(chǔ)在硬件中〕，該密鑰在詢問(wèn)—應(yīng)答協(xié)議中處理或加密信息交換。42設(shè)計(jì)鑒別協(xié)議介紹在設(shè)計(jì)認(rèn)證協(xié)議時(shí)特別需要注意的問(wèn)題，并給出抵抗這些攻擊的具體設(shè)計(jì)策略。鑒別和密鑰交換協(xié)議的核心問(wèn)題有兩個(gè)：保密性時(shí)效性為了防止偽裝和防止暴露會(huì)話密鑰，根本鑒別與會(huì)話密碼信息必須以保密形式通信。這就要求預(yù)先存在保密或公開(kāi)密鑰供實(shí)現(xiàn)加密使用。第二個(gè)問(wèn)題也很重要，因?yàn)樯婕胺乐瓜⒅胤殴簟?3A、重放常見(jiàn)的消息重放攻擊形式有：1、簡(jiǎn)單重放：攻擊者簡(jiǎn)單復(fù)制一條消息，以后在重新發(fā)送它；2、可被日志記錄的復(fù)制品：攻擊者可以在一個(gè)合法有效的時(shí)間窗內(nèi)重放一個(gè)帶時(shí)間戳的消息；3、不能被檢測(cè)到的復(fù)制品：這種情況可能出現(xiàn)，原因是原始信息已經(jīng)被攔截，無(wú)法到達(dá)目的地，而只有重放的信息到達(dá)目的地。4、反向重放，不做修改。向消息發(fā)送者重放。當(dāng)采用傳統(tǒng)對(duì)稱加密方式時(shí)，這種攻擊是可能的。因?yàn)橄l(fā)送者不能簡(jiǎn)單地識(shí)別發(fā)送的消息和收到的消息在內(nèi)容上的區(qū)別。1〕針對(duì)同一驗(yàn)證者的重放：非重復(fù)值2〕針對(duì)不同驗(yàn)證者的重放：驗(yàn)證者的標(biāo)識(shí)符44B．非重復(fù)值的使用非重復(fù)值的使用：

1〕序列號(hào)：計(jì)數(shù)的策略：對(duì)付重放攻擊的一種方法是在認(rèn)證交換中使用一個(gè)序數(shù)來(lái)給每一個(gè)消息報(bào)文編號(hào)。僅當(dāng)收到的消息序數(shù)順序合法時(shí)才接受之。但這種方法的困難是要求雙方必須保持上次消息的序號(hào)。

2〕時(shí)間戳：A接受一個(gè)新消息僅當(dāng)該消息包含一個(gè)時(shí)間戳，該時(shí)間戳在A看來(lái)，是足夠接近A所知道的當(dāng)前時(shí)間；這種方法要求不同參與者之間的時(shí)鐘需要同步

3〕驗(yàn)證者發(fā)送隨機(jī)值〔如詢問(wèn)〕：不可預(yù)測(cè)、不重復(fù)45時(shí)間戳在網(wǎng)絡(luò)環(huán)境中，特別是在分布式網(wǎng)絡(luò)環(huán)境中，時(shí)鐘同步并不容易做到一旦時(shí)鐘同步失敗要么協(xié)議不能正常效勞，影響可用性(availability)，造成拒絕效勞(DOS)要么放大時(shí)鐘窗口，造成攻擊的時(shí)機(jī)時(shí)間窗大小的選擇應(yīng)根據(jù)消息的時(shí)效性來(lái)確定46詢問(wèn)/應(yīng)答方式(Challenge/Response)A期望從B獲得一個(gè)消息首先發(fā)給B一個(gè)隨機(jī)值(challenge)B收到這個(gè)值之后，對(duì)它作某種變換，并送回去A收到B的response，希望包含這個(gè)隨機(jī)值在有的協(xié)議中，這個(gè)challenge也稱為nonce可能明文傳輸，也可能密文傳輸這個(gè)條件可以是知道某個(gè)口令，也可能是其他的事情變換例子：用密鑰加密，說(shuō)明B知道這個(gè)密鑰;

簡(jiǎn)單運(yùn)算，比方增一，說(shuō)明B知道這個(gè)隨機(jī)值詢問(wèn)/應(yīng)答方法不適應(yīng)非連接性的應(yīng)用，因?yàn)樗笤趥鬏旈_(kāi)始之前先有握手的額外開(kāi)銷，這就抵消了無(wú)連接通信的主要特點(diǎn)。47C、相互鑒別協(xié)議在理論上，相互鑒別可通過(guò)組合兩個(gè)單向鑒別交換協(xié)議來(lái)實(shí)現(xiàn)。然而，這種組合需要被仔細(xì)地考察，因?yàn)橛锌赡苓@樣的組合易受竊聽(tīng)重放攻擊。另外，設(shè)計(jì)協(xié)議消息數(shù)比相應(yīng)的單向交換協(xié)議的消息數(shù)的兩倍少得多的相互鑒別交換協(xié)議是可能的。因此，由于平安性和性能的原因，相互鑒別交換協(xié)議必須為此目的而特別地進(jìn)行設(shè)計(jì)。48采用對(duì)稱密碼的鑒別機(jī)制無(wú)可信第三方參與的鑒別單向鑒別：使用該機(jī)制時(shí)，兩實(shí)體中只有一方被鑒別。雙向鑒別：兩通信實(shí)體使用此機(jī)制進(jìn)行相互鑒別。有可信第三方參與的鑒別49本局部使用以下記法A:實(shí)體A的可區(qū)分標(biāo)識(shí)符B:實(shí)體B的可區(qū)分標(biāo)識(shí)符TP:可信第三方的可區(qū)分標(biāo)識(shí)符KXY:實(shí)體X和實(shí)體Y之間共享的秘密密鑰,只用于對(duì)稱密碼技術(shù)SX:與實(shí)體X有關(guān)的私有簽名密鑰,只用于非對(duì)稱加密技術(shù)NX:由實(shí)體X給出的順序號(hào)RX:由實(shí)體X給出的隨機(jī)數(shù)TX:由實(shí)體X原發(fā)的時(shí)變參數(shù),它或者是時(shí)間標(biāo)記TX,或者是順序號(hào)RXNX:Y||Z:數(shù)據(jù)項(xiàng)Y和Z以Y在前Z在后順序拼接的結(jié)果eK(Z):用密鑰K的對(duì)稱加密算法對(duì)數(shù)據(jù)Z加密的結(jié)果fK(Z):使用以密鑰K和任意數(shù)據(jù)串Z作為輸入的密碼校驗(yàn)函數(shù)f所產(chǎn)生的密碼校驗(yàn)值CertX:由可信第三方簽發(fā)給實(shí)體X的證書(shū)TokenXY:實(shí)體X發(fā)給Y的權(quán)標(biāo),包含使用密碼技術(shù)變換的信息TVP:時(shí)變參數(shù)SSX(Z):用私有簽名密鑰SX對(duì)數(shù)據(jù)Z進(jìn)行私有簽名變換所產(chǎn)生的簽名.50無(wú)可信第三方參與的機(jī)制

單向鑒別

一次傳送鑒別AB〔1〕TokenAB(2)〔1〕TokenAB=Text2||eKAB(TA||B||Text1)NA〔2〕B解密，驗(yàn)證B、時(shí)間標(biāo)記或順序號(hào)的正確性51

無(wú)可信第三方參與的機(jī)制單向鑒別

兩次傳送鑒別AB〔1〕RB||Text1(3)〔2〕TokenAB=Text3||eKAB(RB||B||Text2)〔3〕B解密，驗(yàn)證B、RB的正確性〔2〕TokenAB52

無(wú)可信第三方參與的機(jī)制雙向鑒別

兩次傳送鑒別AB〔1〕TokenAB(2)〔4〕B解密，驗(yàn)證B、RB的正確性〔3〕TokenBA〔1〕TokenAB=Text2||eKAB(TA||B||Text1)NA〔3〕TokenBA=Text4||eKAB(TB||A||Text3)NB(4)53

無(wú)可信第三方參與的機(jī)制雙向鑒別

三次傳送鑒別AB〔1〕RB||Text1(3)〔2〕TokenAB=Text3||eKAB(RA||RB||B||Text2)〔3〕B解密，驗(yàn)證B、RB的正確性〔2〕TokenAB〔4〕TokenBA〔4〕TokenBA=Text5||eKAB(RB||RA||Text4)(5)〔5〕A解密，驗(yàn)證B、RB、RA的正確性54涉及可信第三方的機(jī)制--雙向鑒別四次傳送鑒別AB〔6〕TokenBATP〔4〕TokenAB〔2〕TokenTA〔1〕TVPA||B||Text1(3)(7)(5)〔2〕TokenTA=Text4||eKAT(TVPA||KAB||B||Text3)||eKBT(TTP||KAB||A||Text2)NTP〔4〕TokenAB=Text6||eKBT(TTP||KAB||A||Text2)eKAB(TA||B||Text5)NTPNA〔6〕TokenBA=Text8||eKAB(TB||A||Text7)NB55

涉及可信第三方的機(jī)制--雙向鑒別五次傳送鑒別AB〔7〕TokenBATP〔5〕TokenAB〔3〕TokenTA〔2〕RA||RB||B||Text2(4)(8)(6)〔3〕TokenTA=Text5||eKAT(RA||KAB||B||Text4)||eKBT(RB||KAB||A||Text3)〔5〕TokenAB=Text7||eKBT(RB||KAB||A||Text3)||eKAB(RA||RB||Text6)〔7〕TokenBA=Text9||eKAB(RB||RA||Text8)(1)RB||Text156采用公開(kāi)密碼算法的機(jī)制在該機(jī)制中，聲稱者要通過(guò)證明他知道某秘密簽名密鑰來(lái)證實(shí)身份。由使用他的秘密簽名密鑰簽署某一消息來(lái)完成。消息可包含一個(gè)非重復(fù)值以抵抗重放攻擊。要求驗(yàn)證者有聲稱者的有效公鑰聲稱者有僅由自己知道和使用的秘密簽名私鑰。單向鑒別：僅對(duì)實(shí)體中的一個(gè)進(jìn)行鑒別。雙向鑒別：兩個(gè)通信實(shí)體相互進(jìn)行鑒別。57采用公開(kāi)密碼算法的機(jī)制—

單向鑒別一次傳遞機(jī)制AB〔1〕CertA||TokenAB〔1〕TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA(2)(2)B驗(yàn)證A的公開(kāi)密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)58采用公開(kāi)密碼算法的機(jī)制—

單向鑒別兩次傳遞機(jī)制AB〔1〕RB||Text1(3)〔3〕B驗(yàn)證A的公開(kāi)密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)〔1〕CertA||TokenAB〔2〕TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)59采用公開(kāi)密碼算法的機(jī)制—

雙向鑒別〔1〕AB(2)〔2〕B驗(yàn)證A的公開(kāi)密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)〔3〕CertB||TokenBA兩次傳遞機(jī)制〔1〕CertA||TokenAB〔1〕TokenAB=TA||B||Text2||SSA(TA||B||Text1)NANA(4)〔3〕TokenBA=TB||A||Text4||SSB(TB||A||Text3)NBNB〔4〕A驗(yàn)證B的公開(kāi)密鑰，驗(yàn)證A的標(biāo)識(shí)符號(hào)60采用公開(kāi)密碼算法的機(jī)制—

雙向鑒別〔2〕

三次傳遞機(jī)制AB〔1〕RB||Text1(3)〔3〕B驗(yàn)證A的公開(kāi)密鑰，驗(yàn)證B的標(biāo)識(shí)符號(hào)〔2〕CertA||TokenAB〔2〕TokenAB=RA||RB||B||Text3||SSA(RA||RB||B||Text2)〔4〕CertB||TokenBA〔4〕TokenBA=RB||RA||A||Text5||SSB(RB||RA||A||Text4)〔5〕A驗(yàn)證B的公開(kāi)密鑰，驗(yàn)證A的標(biāo)識(shí)符號(hào)(5)61采用公開(kāi)密碼算法的機(jī)制—

雙向鑒別〔3〕

兩次傳遞并行機(jī)制AB〔1〕CertA||RA||Text1(2)(4)〔4〕A和B驗(yàn)證各自的隨機(jī)數(shù)〔1〕CertB||RB||Text2〔1〕TokenAB=RA||RB||B||Text4||SSA(RA||RB||B||Text3)〔3〕TokenBA〔1〕TokenBA=RB||RA||A||Text6||SSB(RB||RA||A||Text5)〔2〕A和B確保他們擁有另一實(shí)體的公開(kāi)密鑰(2)(4)〔3〕TokenAB62采用密碼校驗(yàn)函數(shù)的機(jī)制在該機(jī)制中，待鑒別的實(shí)體通過(guò)說(shuō)明它擁有某個(gè)秘密鑒別密鑰來(lái)證實(shí)其身份?？捎稍搶?shí)體以其秘密密鑰和特定數(shù)據(jù)作輸入，使用密碼校驗(yàn)函數(shù)獲得密碼校驗(yàn)值來(lái)到達(dá)。聲稱者和驗(yàn)證者共享秘密鑒別密鑰，應(yīng)僅為該兩個(gè)實(shí)體所知，以及他們的信任方。63采用密碼校驗(yàn)函數(shù)的機(jī)制-

單向鑒別

一次傳遞鑒別AB〔1〕TokenAB〔1〕TokenAB=TA||Text2||fKAB(TA||B||Text1)NANA(2)(2)B驗(yàn)證A的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記64采用密碼校驗(yàn)函數(shù)的機(jī)制-

單向鑒別AB〔1〕RB||Text1(3)〔3〕B驗(yàn)證B的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)〔2〕TokenAB〔2〕TokenAB=Text3||fKAB(RB||B||Text2)兩次傳遞機(jī)制65

采用密碼校驗(yàn)函數(shù)的機(jī)制-

雙向鑒別〔1〕AB(2)〔2〕B驗(yàn)證A的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記〔3〕TokenBA兩次傳遞機(jī)制〔1〕TokenAB〔1〕TokenAB=TA||B||Text2||fKAB(TA||B||Text1)NANA(4)〔3〕TokenBA=TB||A||Text4||SSB(TB||A||Text3)NBNB〔4〕A驗(yàn)證B的標(biāo)識(shí)符號(hào)和時(shí)間標(biāo)記66

采用密碼校驗(yàn)函數(shù)的機(jī)制-

雙向鑒別〔2〕

三次傳遞機(jī)制AB〔1〕RB||Text1(3)〔3〕B驗(yàn)證B的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)〔2〕TokenAB〔2〕TokenAB=RA||Text3||fKAB(RA||RB||B||Text2)〔4〕TokenBA〔4〕TokenBA=Text5||fKAB(RB||RA||Text2)〔5〕A驗(yàn)證A的標(biāo)識(shí)符號(hào)和隨機(jī)數(shù)(5)67

ididnrv聲稱者驗(yàn)證者密鑰和id來(lái)自物理令牌或本地存儲(chǔ)器加密，封裝或簽名密鑰id解密或驗(yàn)證是或不是密鑰idnrv消息加密，封裝或簽名簡(jiǎn)化的基于密碼技術(shù)的鑒別機(jī)制68零知識(shí)證明技術(shù)零知識(shí)證明技術(shù)可使信息的擁有者無(wú)需泄露任何信息就能夠向驗(yàn)證者或任何第三方證明它擁有該信息。

在網(wǎng)絡(luò)身份鑒別中，已經(jīng)提出了零知識(shí)技術(shù)的一些變形，例如，F(xiàn)FS方案，F(xiàn)S方案和GQ方案。一般地，驗(yàn)證者公布大量的詢問(wèn)給聲稱者，聲稱者對(duì)每個(gè)詢問(wèn)計(jì)算一個(gè)答復(fù)，而在計(jì)算中使用了秘密信息。

大局部技術(shù)要求傳輸?shù)臄?shù)據(jù)量較大，并且要求一個(gè)更復(fù)雜的協(xié)議，需要一些協(xié)議交換。69

討論議題鑒別的根本概念鑒別機(jī)制鑒別與交換協(xié)議典型鑒別實(shí)例70鑒別和交換協(xié)議如果用于連接完整性效勞的密鑰被在線建立，那么事實(shí)證明將認(rèn)證和密鑰交換功能組合在一個(gè)協(xié)議中是重要的〔鑒別和密鑰交換協(xié)議〕。最常用的協(xié)議，該協(xié)議使得通信各方互相鑒別各自的身份，然后交換會(huì)話密鑰。基于鑒別的密鑰交換核心問(wèn)題有兩個(gè)：保密性時(shí)效性71雙向鑒別傳統(tǒng)加密方法Needham/SchroederProtocol[1978]DenningProtocol[1982]KEHN92公鑰加密方法一個(gè)基于臨時(shí)值握手協(xié)議：WOO92a一個(gè)基于臨時(shí)值握手協(xié)議：WOO92b72Needham/SchroederProtocol[1978]73傳統(tǒng)加密方法1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：EKb[Ks||IDA]4、BA：EKs[N2]5、AB：EKs[f(N2)]保密密鑰Ka和Kb分別是A和KDC、B和KDC之間共享的密鑰。本協(xié)議的目的就是要平安地分發(fā)一個(gè)會(huì)話密鑰Ks給A和B。A在第2步平安地得到了一個(gè)新的會(huì)話密鑰，第3步只能由B解密、并理解。第4步說(shuō)明B道Ks了。第5步說(shuō)明B相信A知道Ks并且消息不是偽造的。第4，5步目的是為了防止某種類型的重放攻擊。特別是，如果敵方能夠在第3步捕獲該消息，并重放之，這將在某種程度上干擾破壞B方的運(yùn)行操作。Needham/SchroederProtocol[1978]74上述方法盡管有第4,5步的握手，但仍然有漏洞。假定攻擊方C已經(jīng)掌握A和B之間通信的一個(gè)老的會(huì)話密鑰。C可以在第3步冒充A利用老的會(huì)話密鑰欺騙B。除非B記住所有以前使用的與A通信的會(huì)話密鑰，否那么B無(wú)法判斷這是一個(gè)重放攻擊。如果C可以中途阻止第4步的握手信息，那么可以冒充A在第5步響應(yīng)。從這一點(diǎn)起，C就可以向B發(fā)送偽造的消息而對(duì)B來(lái)說(shuō)認(rèn)為是用認(rèn)證的會(huì)話密鑰與A進(jìn)行的正常通信。75DenningProtocol[1982]改進(jìn)：1、AKDC：IDA||IDB2、KDCA：EKa[Ks||IDB||T||EKb[Ks||IDA||T]]3、AB：EKb[Ks||IDA||T]4、BA：EKs[N1]5、AB：EKs[f(N1)]|Clock-T|<t1+t2其中：t1是KDC時(shí)鐘與本地時(shí)鐘〔A或B〕之間差異的估計(jì)值；t2是預(yù)期的網(wǎng)絡(luò)延遲時(shí)間。76DenningProtocol比Needham/SchroederProtocol在平安性方面增強(qiáng)了一步。然而，又提出新的問(wèn)題：即必須依靠各時(shí)鐘均可通過(guò)網(wǎng)絡(luò)同步。如果發(fā)送者的時(shí)鐘比接收者的時(shí)鐘要快，攻擊者就可以從發(fā)送者竊聽(tīng)消息，并在以后當(dāng)時(shí)間戳對(duì)接收者來(lái)說(shuō)成為當(dāng)前時(shí)重放給接收者。這種重放將會(huì)得到意想不到的后果?！卜Q為抑制重放攻擊〕。一種克服抑制重放攻擊的方法是強(qiáng)制各方定期檢查自己的時(shí)鐘是否與KDC的時(shí)鐘同步。另一種防止同步開(kāi)銷的方法是采用臨時(shí)數(shù)握手協(xié)議。77KEHN921、AB：IDA||Na2、BKDC：IDB||Nb||EKb[IDA||Na||Tb]3、KDCA：EKa[IDB||Na||Ks||Tb]||EKb[IDA||Ks||Tb]||Nb4、AB：EKb[IDA||Ks||Tb]||EKs[Nb]78公鑰加密方法：一個(gè)使用時(shí)間戳的方法是：1、AAS：IDA||IDB2、ASA：EKRas[IDA||KUa||T

]||EKRas[IDB||KUb||T

]3、AB：EKRas[IDA||KUa||T]||EKRas[IDB||KUb||T]||EKUb[EKRa[Ks||T]]79一個(gè)基于臨時(shí)值握手協(xié)議：WOO92a1、AKDC：IDA||IDB2、KDCA：EKRauth[IDB||KUb]3、AB：EKUb[Na||IDA]4、B

KDC：IDB||IDA||EKUauth[Na]5、KDC

B：EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDB]]6、B

A：EKUa[EKRauth[Na||Ks||IDB]||Nb]7、AB：EKs[Nb]80一個(gè)基于臨時(shí)值握手協(xié)議：WOO92b1、AKDC：IDA||IDB2、KDCA：EKRauth[IDB||KUb]3、AB：EKUb[Na||IDA]4、B

KDC：IDB||IDA||EKUauth[Na]5、KDC

B：EKRauth[IDA||KUa]||EKUb[EKRauth[Na||Ks||IDA||IDB]]6、B

A：EKUa[EKRauth[Na||Ks||IDA||IDB]||Nb]7、AB：EKs[Nb]81單向鑒別One-WayAuthenticationE-mail82傳統(tǒng)加密方法：1、AKDC：IDA||IDB||N12、KDCA：EKa[Ks||IDB||N1||EKb[Ks||IDA]]3、AB：EKb[Ks||IDA]||EKs[M]公鑰加密方法：1、AB：EKUb[Ks]||EKs[M]1、AB：M||EKRa[H(M)]1、AB：EKUb[M||EKRa[H(M)]]1、AB：M||EKRa[H(M)]||EKRas[T||IDA||KUa]83

討論議題鑒別的根本概念鑒別機(jī)制鑒別與交換協(xié)議典型鑒別實(shí)例84典型鑒別實(shí)例KerberosX.509鑒別效勞85引言Kerberos:partofProjectAthenaatMITGreekKerberos:希臘神話故事中一種三個(gè)頭的狗，還有一個(gè)蛇形尾巴。是地獄之門(mén)的守衛(wèi)。ModernKerberos:意指有三個(gè)組成局部的網(wǎng)絡(luò)之門(mén)的保衛(wèi)者?！叭^〞包括：鑒別(authentication)簿記(accounting)審計(jì)(audit)86

80年代中期是MIT的Athena工程的產(chǎn)物版本前三個(gè)版本僅用于內(nèi)部第四版得到了廣泛的應(yīng)用第五版于1989年開(kāi)始設(shè)計(jì)RFC1510,1993年確定標(biāo)準(zhǔn)KerberosKerberos歷史87問(wèn)題在一個(gè)開(kāi)放的分布式網(wǎng)絡(luò)環(huán)境中，用戶通過(guò)工作站訪問(wèn)效勞器上提供的效勞。效勞器應(yīng)能夠限制非授權(quán)用戶的訪問(wèn)并能夠鑒別對(duì)效勞的請(qǐng)求。工作站無(wú)法可信地向網(wǎng)絡(luò)效勞證實(shí)用戶的身份，即工作站存在三種威脅。一個(gè)工作站上一個(gè)用戶可能冒充另一個(gè)用戶操作；一個(gè)用戶可能改變一個(gè)工作站的網(wǎng)絡(luò)地址，從而冒充另一臺(tái)工作站工作；一個(gè)用戶可能竊聽(tīng)他人的信息交換，并用回放攻擊獲得對(duì)一個(gè)效勞器的訪問(wèn)權(quán)或中斷效勞器的運(yùn)行。88Kerberos要解決的問(wèn)題所有上述問(wèn)題可以歸結(jié)為一個(gè)非授權(quán)用戶能夠獲得其無(wú)權(quán)訪問(wèn)的效勞或數(shù)據(jù)。不是為每一個(gè)效勞器構(gòu)造一個(gè)身份鑒別協(xié)議，Kerberos提供一個(gè)中心鑒別效勞器，提供用戶到效勞器和效勞器到用戶的鑒別效勞。Kerberos采用傳統(tǒng)加密算法。KerberosVersion4和Version5(RFC1510)。89信息系統(tǒng)資源保護(hù)的動(dòng)機(jī)單用戶單機(jī)系統(tǒng)。用戶資源和文件受到物理上的平安保護(hù)；多用戶分時(shí)系統(tǒng)。操作系統(tǒng)提供基于用戶標(biāo)識(shí)的訪問(wèn)控制策略，并用logon過(guò)程來(lái)標(biāo)識(shí)用戶。Client/Server網(wǎng)絡(luò)結(jié)構(gòu)。由一組工作站和一組分布式或中心式效勞器組成。90三種可能的平安方案相信每一個(gè)單獨(dú)的客戶工作站可以保證對(duì)其用戶的識(shí)別，并依賴于每一個(gè)效勞器強(qiáng)制實(shí)施一個(gè)基于用戶標(biāo)識(shí)的平安策略。要求客戶端系統(tǒng)向效勞器證實(shí)自己的身份，但相信客戶端系統(tǒng)負(fù)責(zé)對(duì)其用戶的識(shí)別。要求每一個(gè)用戶對(duì)每一個(gè)效勞證明其標(biāo)識(shí)身份，同樣要求效勞器向客戶端證明其標(biāo)識(shí)身份。91Kerberos的解決方案在一個(gè)分布式的client/server體系機(jī)構(gòu)中采用一個(gè)或多個(gè)Kerberos效勞器提供一個(gè)鑒別效勞。92Kerberos系統(tǒng)應(yīng)滿足的要求平安。網(wǎng)絡(luò)竊聽(tīng)者不能獲得必要信息以假冒其它用戶；Kerberos應(yīng)足夠強(qiáng)壯以至于潛在的敵人無(wú)法找到它的弱點(diǎn)連接。可靠。Kerberos應(yīng)高度可靠，并且應(yīng)借助于一個(gè)分布式效勞器體系結(jié)構(gòu)，使得一個(gè)系統(tǒng)能夠備份另一個(gè)系統(tǒng)。透明。理想情況下，用戶除了要求輸入口令以外應(yīng)感覺(jué)不到認(rèn)證的發(fā)生。可伸縮。系統(tǒng)應(yīng)能夠支持大數(shù)量的客戶和效勞器。93KerberosVersion4引入一個(gè)信任的第三方鑒別效勞，采用一個(gè)基于Needham&Schroeder協(xié)議。采用DES，精心設(shè)計(jì)協(xié)議，提供鑒別效勞。94

Kerberos協(xié)議中一些概念Principal(平安個(gè)體)被鑒別的個(gè)體，有一個(gè)名字(name)和口令(password)KDC(Keydistributioncenter)是一個(gè)網(wǎng)絡(luò)效勞，提供ticket和臨時(shí)的會(huì)話密鑰Ticket一個(gè)記錄，客戶可以用它來(lái)向效勞器證明自己的身份，其中包括客戶的標(biāo)識(shí)、會(huì)話密鑰、時(shí)間戳，以及其他一些信息。Ticket中的大多數(shù)信息都被加密，密鑰為效勞器的密鑰Authenticator一個(gè)記錄，其中包含一些最近產(chǎn)生的信息，產(chǎn)生這些信息需要用到客戶和效勞器之間共享的會(huì)話密鑰Credentials一個(gè)ticket加上一個(gè)秘密的會(huì)話密鑰95一個(gè)簡(jiǎn)單的鑒別對(duì)話引入鑒別效勞器(AS)，它知道所有用戶的口令并將它們存儲(chǔ)在一個(gè)中央數(shù)據(jù)庫(kù)中。AS與每一個(gè)效勞器共有一個(gè)唯一的保密密鑰。這些密鑰已經(jīng)物理上或以更平安的手段分發(fā)?？紤]以下假定的對(duì)話：(1)CAS:IDC||PC||IDV(2)ASC:Ticket(3)CV:IDC||TicketTicket=EKV[IDC||ADC||IDV]其中：C :client AS:AuthenticationServerV:server IDC :identifierofuseronCIDV :identifierofVPC :passwordofuseronCADC :networkaddressofCKV :AS與V共有的保密密鑰CVAS(1)(2)(3)96更平安的鑒別對(duì)話兩個(gè)主要問(wèn)題希望用戶輸入口令的次數(shù)最少。口令以明文傳送會(huì)被竊聽(tīng)。解決方法ticketreusableticket-grantingserver97改進(jìn)后的假想的對(duì)話：Onceperuserlogonsession:(1)CAS:IDC||IDtgs(2)ASC:EKC[Tickettgs]Oncepertypeofservice(3)CTGS:IDC||IDv||Tickettgs(4)TGSC:TicketVOnceperservicesession(5)CV:IDC||TicketVTickettgs=EKtgs[IDC||ADC||IDtgs||TS1||Lifetime1]TicketV=EKV[IDC||ADC||IDV||TS2||Lifetime2]CVAS(1)(2)(3)TGS(4)(5)Kerberos98KerberosV4AuthenticationDialogue兩個(gè)問(wèn)題與ticket-grantingticket相關(guān)的Lifetime問(wèn)題；需要效勞器向客戶進(jìn)行鑒別；解決方案sessionkey99SummaryofKerberosVersion4MessageExchanges(a)AuthenticationServiceExchange:toobtainticket-grantingticket(1)CAS:IDC||IDtgs||TS1(2)ASC:EKC[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs] Tickettgs=EKtgs[Kc,tgs||IDC||ADC||IDtgs||TS2||Lifetime2](b)Ticket-grantingServiceExchange:toobtainservice-grantingticket(3)CTGS:IDV||Tickettgs||Authenticatorc(4)TGSC:EKc,tgs[Kc,v||IDV||TS4||Ticketv] Tickettgs=EKtgs[Kc,tgs||IDC||ADC||IDtgs||TS2||Lifetime2] Ticketv=EKV[Kc,v||IDC||ADC||IDv||TS4||Lifetime4] Authenticatorc=EKc,tgs[IDc||ADc||TS3](c)Client/ServerAuthenticationExchange:Toobtainservice(5)CV:Ticketv||Authenticatorc(6)VC:EKc,v[TS5+1](formutualauthentication) Ticketv=EKV[Kc,v||IDc||ADc||IDv||TS4||Lifetime4] Authenticatorc=EKc,v[IDc||ADc||TS5]100RationalefortheElementsoftheKerberosVersion4Protocol(a)AuthenticationServiceExchangeMessage(1) Client請(qǐng)求ticket-grantingticketIDC: 告訴AS本client端的用戶標(biāo)識(shí)；IDtgs: 告訴AS用戶請(qǐng)求訪問(wèn)TGS；TS1: 讓AS驗(yàn)證client端的時(shí)鐘是與AS的時(shí)鐘同步的；Message(2) AS返回ticket-grantingticketEKC: 基于用戶口令的加密，使得AS和client可以驗(yàn)證口令， 并保護(hù)Message(2)。Kc,tgs:sessionkey的副本，由AS產(chǎn)生，client可用于在AS與client 之間信息的平安交換，而不必共用一個(gè)永久的key。IDtgs: 確認(rèn)這個(gè)ticket是為T(mén)GS制作的。TS2: 告訴client該ticket簽發(fā)的時(shí)間。Lifetime2: 告訴client該ticket的有效期；Tickettgs: client用來(lái)訪問(wèn)TGS的ticket。

101(b)Ticket-grantingServiceExchangeMessage(3) client請(qǐng)求service-grantingticketIDv: 告訴TGS用戶要訪問(wèn)效勞器V；Tickettgs: 向TGS證實(shí)該用戶已被AS認(rèn)證；Authenticatorc:由client生成，用于驗(yàn)證ticket；Message(4) TGS返回service-grantingticketEKc,tgs: 僅由C和TGS共享的密鑰；用以保護(hù)Message(4)；Kc,tgs: sessionkey的副本，由TGS生成，供client和server之間 信息的平安交換，而無(wú)須共用一個(gè)永久密鑰。IDv: 確認(rèn)該ticket是為serverV簽發(fā)的；TS4: 告訴client該ticket簽發(fā)的時(shí)間；TicketV: client用以訪問(wèn)效勞器V的ticket；Tickettgs: 可重用，從而用戶不必重新輸入口令；EKtgs: ticket用只有AS和TGS才知道的密鑰加密，以預(yù)防篡改；Kc,tgs: TGS可用的sessionkey副本，用于解密authenticator,從而 鑒別ticket；IDc: 指明該ticket的正確主人；102Kerberos處理過(guò)程概要CVAS(1)(2)(3)TGS(4)(5)Kerberos(6)103104Kerberos管轄范圍與多重效勞一個(gè)完整的Kerberos環(huán)境包括一個(gè)Kerberos效勞器，一組工作站，和一組應(yīng)用效勞器，滿足以下要求：Kerberos效勞器必須在其數(shù)據(jù)庫(kù)中擁有所有參與用戶的ID(UID)和口令散列表。所有用戶均在Kerberos效勞器上注冊(cè)。Kerberos效勞器必須與每一個(gè)效勞器之間共享一個(gè)保密密鑰。所有效勞器均在Kerberos效勞器上注冊(cè)。這樣的環(huán)境被視為一個(gè)管轄國(guó)界(realm)。每一個(gè)轄區(qū)的Kerberos效勞器與其它轄區(qū)內(nèi)的Kerberos效勞器之間共享一個(gè)保密密鑰。兩個(gè)Kerberos效勞器互相注冊(cè)。105106(1)CAS: IDC||IDtgs||TS1

(2)ASC: EKC[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs](3)CTGS: IDtgsrem