第9章 数字签名与身份认证.ppt

《第9章 数字签名与身份认证.ppt》由会员分享，可在线阅读，更多相关《第9章 数字签名与身份认证.ppt（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第9章章 数字签名与身份认证数字签名与身份认证 1数字签名数字签名数字签名（数字签名（Digital Signature）是公开密钥是公开密钥体系加密技术发展的一个重要的成果。体系加密技术发展的一个重要的成果。2不可否认性的应用需求不可否认性的应用需求网络通信中，希望有效防止通信双方的欺骗和网络通信中，希望有效防止通信双方的欺骗和抵赖行为。抵赖行为。简单的报文鉴别技术只能使通信免受来自第三简单的报文鉴别技术只能使通信免受来自第三方的攻击方的攻击,无法防止通信双方之间的互相攻击。无法防止通信双方之间的互相攻击。Y 伪造一个不同的消息，但声称是从伪造一个不同的消息，但声称是从 X 收到的；收到的

2、；X可以否认发过该消息，可以否认发过该消息，Y 无法证明无法证明 X 确实发了确实发了该消息；该消息；原因：鉴别技术基于秘密共享。原因：鉴别技术基于秘密共享。数字签名技术为此提供了一种解决方案。数字签名技术为此提供了一种解决方案。3数字签名的功能数字签名的功能是对现实生活中笔迹签名的功能模拟。是对现实生活中笔迹签名的功能模拟。必须能够用来证实签名的作者和签名的时间。必须能够用来证实签名的作者和签名的时间。对消息进行签名时，必须能够对消息的内容进对消息进行签名时，必须能够对消息的内容进行鉴别。行鉴别。签名应具有法律效力，必须能被第三方证实用签名应具有法律效力，必须能被第三方证实用以解决争端。以解

3、决争端。必须包含对签名进行鉴别的功能。必须包含对签名进行鉴别的功能。4数字签名的设计目标数字签名的设计目标 签名的比特模式是依赖于消息报文的，也就是说，数签名的比特模式是依赖于消息报文的，也就是说，数据签名是以消息报文作为输入计算出来的，签名能够据签名是以消息报文作为输入计算出来的，签名能够对消息的内容进行鉴别；对消息的内容进行鉴别；数据签名对发送者来说必须是惟一的，能够防止伪造数据签名对发送者来说必须是惟一的，能够防止伪造和抵赖；和抵赖；产生数字签名的算法必须相对简单易于实现，且能够产生数字签名的算法必须相对简单易于实现，且能够在存储介质上保存备份；在存储介质上保存备份；对数字签名的识别、证

4、实和鉴别也必须相对简单，易对数字签名的识别、证实和鉴别也必须相对简单，易于实现；于实现；伪造数字签名在计算上是不可行的，无论攻击者采用伪造数字签名在计算上是不可行的，无论攻击者采用何种方法（利用数字签名伪造报文，或者对报文伪造何种方法（利用数字签名伪造报文，或者对报文伪造数字签名）。数字签名）。5数字签名的解决方案数字签名的解决方案 可分为两类：可分为两类：直接数字签名方案；直接数字签名方案；基于仲裁的数字签名方案。基于仲裁的数字签名方案。6直接数字签名直接数字签名实现比较简单，在技术上仅涉及到通信的源点实现比较简单，在技术上仅涉及到通信的源点X和终点和终点Y双方。双方。终点终点Y需要了解源点

5、需要了解源点X的公开密钥的公开密钥发送方发送方A可以使用其私有密钥可以使用其私有密钥 对整个消息报对整个消息报文进行加密来生成数字签名。文进行加密来生成数字签名。更好的方法是使用更好的方法是使用 对消息报文的散列码进行对消息报文的散列码进行加密来形成数字签名。加密来形成数字签名。7直接数字签名的安全性直接数字签名的安全性方案的安全性依赖于发送方方案的安全性依赖于发送方X私有密钥的安全私有密钥的安全性。性。发送方可以声称自己的私有密钥丢失或被盗用，而发送方可以声称自己的私有密钥丢失或被盗用，而否认其发送过某个报文。否认其发送过某个报文。改进：每个签名报文中包含一个时间戳。改进：每个签名报文中包含

6、一个时间戳。问题：问题：X 的私有密钥确实在时间的私有密钥确实在时间 T 被窃取；被窃取；攻击者窃取攻击者窃取 X 的密钥后，则可能发送带有的密钥后，则可能发送带有 X 的签名报文，的签名报文，附上一个等于附上一个等于 T 的时间戳，接受者无法判别。的时间戳，接受者无法判别。8基于仲裁的数字签名基于仲裁的数字签名通过引入仲裁来解决直接签名方案中的问题。通过引入仲裁来解决直接签名方案中的问题。仲裁者必须是一个所有通信方都能充分信任的仲裁者必须是一个所有通信方都能充分信任的仲裁机构。仲裁机构。基本工作方式（假定用户基本工作方式（假定用户X和和Y之间进行通信）：之间进行通信）：每个从每个从X发往发往

7、Y的签名报文首先被送给仲裁者的签名报文首先被送给仲裁者A；A检验该报文及其签名的出处和内容，然后对报文注检验该报文及其签名的出处和内容，然后对报文注明日期，并附加上一个明日期，并附加上一个“仲裁证实仲裁证实”的标记发给的标记发给Y。9基于仲裁的数字签名基于仲裁的数字签名-对称密钥加密方式对称密钥加密方式发送方发送方X和仲裁和仲裁A共享一个密钥共享一个密钥Kax。数字签名由数字签名由X的标识符的标识符IDx和报文的散列码和报文的散列码H(M)构成构成，用密钥，用密钥Kax进行加密。进行加密。过程：过程：(1)X A：M (IDxH(M)。(2)A Y：(IDxM (IDxH(M)T)。(3)Y存

8、储报文存储报文M及签名。及签名。10基于仲裁的数字签名基于仲裁的数字签名-对称密钥加密方式对称密钥加密方式争端解决方式争端解决方式Y A：EKay(IDxMEKax(IDxH(M)。仲裁仲裁A可用可用Kay恢复出恢复出IDx、M及签名，然后再用及签名，然后再用Kax对对签名解密并验证其散列码。签名解密并验证其散列码。特点：特点：Y 不能直接验证不能直接验证 X 的签名。的签名。双方都需要高度相信双方都需要高度相信 AY 相信相信 A 已对消息认证，已对消息认证，X 不能否认其签名；不能否认其签名；X 信任信任 A 没有暴露没有暴露 Kax，无人无人可伪造可伪造 签名；签名；双方都信任双方都信任

9、 A 处理争议是公正。处理争议是公正。问题：问题：报文报文 M 明文传送给，有可能被窃听。明文传送给，有可能被窃听。11基于仲裁的数字签名基于仲裁的数字签名-对称密钥加密方式对称密钥加密方式明文加密的方案明文加密的方案(1)X A：IDxEKxy(M)EKax(IDxH(EKxy(M)。(2)A Y：EKay(IDxEKxy(M)EKax(IDxH(EKxy(M)T)。特征：特征：X 与与 Y 之间共享密钥之间共享密钥 Kxy。DS 的构成：的构成：IDx 和消息密文的散列码用和消息密文的散列码用 Kxa 加密。加密。DS 的验证：的验证：A 解密签名，用散列码验证消息。解密签名，用散列码验证

10、消息。A 只能验证消息的密文，而不能读取其内容。只能验证消息的密文，而不能读取其内容。A 将来自将来自 X 的所有信息加上时间戳并用的所有信息加上时间戳并用 Kay 加密后发送给加密后发送给Y。问题：问题：A 和发送方和发送方 X 联手可以否认签名的信息。联手可以否认签名的信息。A和接收方和接收方 Y 联手可以伪造发送方联手可以伪造发送方 X 的签名。的签名。12基于仲裁的数字签名基于仲裁的数字签名公开密钥加密方式公开密钥加密方式特点：仲裁者看不见消息的内容特点：仲裁者看不见消息的内容。过程：过程：X 对报文对报文 M 进行两次加密进行两次加密。经过双重加密后，报文经过双重加密后，报文 M 只

11、有只有 Y 能够阅读，能够阅读，A 不能读取不能读取 XA：IDx|EKRx IDx|EKUy EKRx(M)A 能进行外层的解密，从而证实报文确实是来自能进行外层的解密，从而证实报文确实是来自 X 的的因为只有因为只有 X 拥有拥有KRx。验证后验证后 A 向向 Y 发送用发送用 KUy 加密的报文，其中包括时间戳加密的报文，其中包括时间戳 T AY：EKUy IDx|EKUy EKRx(M)|T优点：优点：通信各方之间无须共享任何信息，从而避免了联手作弊；通信各方之间无须共享任何信息，从而避免了联手作弊；只要只要 KRa 安全，则不会出现伪造安全，则不会出现伪造 A 发送的消息；发送的消息

12、；消息的内容是保密的，包括对消息的内容是保密的，包括对 A 在内。在内。13认证（认证（Certification）证实通信中某一方的身份。证实通信中某一方的身份。两个基本的方式两个基本的方式：相互鉴别相互鉴别(mutual Certification)；单向鉴别单向鉴别(one-way Certification)。14相互鉴别相互鉴别目的：用于通信各方相互之间进行身份认证，目的：用于通信各方相互之间进行身份认证，同时交换会话密钥。同时交换会话密钥。需要解决的核心问题：需要解决的核心问题：密钥交换的机密性和时效性。密钥交换的机密性和时效性。机密性机密性防止会话密钥被篡改或和泄露；防止会话密钥

13、被篡改或和泄露；用户身份信息和会话密钥都必须以密文形式交换；用户身份信息和会话密钥都必须以密文形式交换；前提：通信各方与事先保存一个密钥（共享或公开前提：通信各方与事先保存一个密钥（共享或公开密钥）。密钥）。时效性时效性为了防止消息的重放攻击。为了防止消息的重放攻击。15报文重放（报文重放（replay）攻击攻击攻击过程：攻击过程：窃听。窃听。复制或部分复制一个报文。复制或部分复制一个报文。在以后的某个时间重放在以后的某个时间重放 可以拦截原信息，用重放消息取代；可以拦截原信息，用重放消息取代；可以在一个合法有效的时间窗内重放一个带时间戳的消息。可以在一个合法有效的时间窗内重放一个带时间戳的消

14、息。后果后果扰乱接收者正常的工作。扰乱接收者正常的工作。窃取会话密钥，假扮成一个通信方欺骗其他人。窃取会话密钥，假扮成一个通信方欺骗其他人。16重放攻击问题的解决方式重放攻击问题的解决方式报文序号方式报文序号方式在认证交换中对消息报文编排序号，消息序号合法在认证交换中对消息报文编排序号，消息序号合法时才接受。时才接受。问题：通信各方必须保持序号同步。问题：通信各方必须保持序号同步。时间戳方式时间戳方式在报文中附加发送的时间戳；接收时只有报文时间在报文中附加发送的时间戳；接收时只有报文时间戳与本地时间足够接近时，才认为是一个合法的新戳与本地时间足够接近时，才认为是一个合法的新报文。报文。问题：问

15、题：通信各方的时钟同步比较困难；通信各方的时钟同步比较困难；时间窗口的大小如何确定。时间窗口的大小如何确定。17基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别 须具备的条件须具备的条件可信的密钥分配中心（可信的密钥分配中心（KDC）；）；通信各方都与通信各方都与 KDC 共享一个主密钥；共享一个主密钥；主密钥主密钥 Ka 和和 Kb 是安全。是安全。目的：目的：KDC 为通信双方为通信双方A、B产生短期的会话密钥产生短期的会话密钥 Ks。工作过程：工作过程：(1)A KDC：IDA|IDB|N1(2)KDC A：EKa Ks|IDB|N1|EKb(Ks|IDA)(3)A B：EKb Ks

16、|IDA(4)B A：EKs N2(5)A B：EKs f(N2)18基于对称密钥加密的相互鉴别过程基于对称密钥加密的相互鉴别过程1.A在会话开始时首先向在会话开始时首先向KDC发送报文，包含发送报文，包含A和和B的标识的标识和一个与时间相关的现时标识符和一个与时间相关的现时标识符N1。2.A就可安全地从就可安全地从KDC获得一个新的会话密钥获得一个新的会话密钥Ks。3.A将用将用Kb加密的会话密钥加密的会话密钥Ks发送给发送给B，这个会话密钥只有，这个会话密钥只有B能够通过解密获得。能够通过解密获得。4.B向向A发送用会话密钥加密的现时值发送用会话密钥加密的现时值N2，向，向A证实证实B已经

17、已经正确获得了会话密钥正确获得了会话密钥 Ks5.A使用新建立的会话密钥使用新建立的会话密钥Ks对对f(N2)加密后返回给加密后返回给B 19基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别问题：过期的会话密钥问题：过期的会话密钥 X可冒充可冒充A，使用过期密钥，并重放第，使用过期密钥，并重放第3步的报文，步的报文，就可以欺骗就可以欺骗B。改进改进：1.增加时间戳机制增加时间戳机制：需要通信各方周期性地与：需要通信各方周期性地与KDC通信进行时钟校准。通信进行时钟校准。2.通信时使用现时握手。通信时使用现时握手。3.1，2结合。结合。20基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别

18、 改进后的协议过程改进后的协议过程（增加时间戳）：（增加时间戳）：(1)A KDC：IDA|IDB(2)KDC A：EKa Ks|IDB|T|EKb(Ks|IDA|T)(3)A B：EKb Ks|IDA|T(4)B A：EKs N1(5)A B：EKs f(N1)T 是时间戳，需满足：是时间戳，需满足：其中，其中，C 本地时间，本地时间，t1 时钟偏差，时钟偏差，t2 网络时延。网络时延。21基于对称密钥加密的相互鉴别基于对称密钥加密的相互鉴别 改进后的协议过程改进后的协议过程（增加时间戳和现时握手（增加时间戳和现时握手）(1)A B：IDA Na(2)B KDC：IDBNbEKb(IDANa

19、Tb)(3)KDC A：EKa(IDBNaKsTb)EKb(IDAKsTb)Nb(4)A B：EKb(IDAKsTb)EKs(Nb)其中，称其中，称EKb(IDANaTb)为访问为访问B的的“票据票据”（ticket）。）。22基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别 过程过程(1)A AS：IDAIDB(2)AS A：CACB(3)A B：CACB EKUb(EKRa(KsT)其中：其中：A 的公钥和私钥分别为的公钥和私钥分别为 KUa 和和 KRa；B 的的公钥和私钥分别为公钥和私钥分别为 KUb 和和 KRb；AS（鉴别中心）（鉴别中心）的公钥和私钥分别为的公钥和私钥分别为

20、KUas 和和 KRas；CA=EKRas(IDAKUaT)，A 的公开密钥证书；的公开密钥证书；CB=EKRas(IDBKUbT)，B 的公开密钥证书。的公开密钥证书。23基于公开密钥加密的相互鉴别基于公开密钥加密的相互鉴别 改进（使用现时值改进（使用现时值N代替时间戳）代替时间戳）(1)A KDC：IDAIDB(2)KDC A：EKRk(IDBKUb)(3)A B：EKUb(NaIDA)(4)B KDC：IDBIDAEKUk(Na)(5)KDC B：EKRk(IDAKUa)EKUb(EKRk(NaKsIDB)(6)B A：EKUa(EKRk(NaKsIDB)Nb)(7)A B：EKs(Nb

21、)24单向鉴别单向鉴别 One-Way Authentication。主要用于电子邮件认证等应用。主要用于电子邮件认证等应用。特点：发方和收方无需同时在线。特点：发方和收方无需同时在线。鉴别时收发方不能在线交互。鉴别时收发方不能在线交互。25基于对称密钥加密的单向鉴别基于对称密钥加密的单向鉴别 以以KDC策略为基础。策略为基础。具体过程：具体过程：(1)A KDC：IDAIDBN1(2)KDC A：EKa(KsIDBN1EKb(KsIDA)(3)A B：EKb(KsIDA)EKs(M)其中，其中，Ka、Kb分别为分别为A和和B与与KDC间的共享主密钥，间的共享主密钥，N1为一个现时值。为一个现

22、时值。26基于公开密钥加密的单向鉴别基于公开密钥加密的单向鉴别保密性为主：保密性为主：A B：EKUb(Ks)EKs(M)。签名和鉴别：签名和鉴别：A B：MEKRa(H(M)。保密和鉴别：保密和鉴别：A B：EKUb(MEKRa(H(M)。数字证书：数字证书：A B：MEKRa(H(M)EKRas(TIDAKUa)。27身份认证技术及协议身份认证技术及协议数字签名和鉴别技术的一个最主要的应数字签名和鉴别技术的一个最主要的应用领域就是身份认证。用领域就是身份认证。28纯认证系统模型纯认证系统模型 认证的基本思想是通过验证称谓者的一个或多个参数的认证的基本思想是通过验证称谓者的一个或多个参数的真

23、实性和有效性，以验证其是否名副其实。真实性和有效性，以验证其是否名副其实。身份认证是系统对网络主体进行验证的过程，用户必须身份认证是系统对网络主体进行验证的过程，用户必须向证明他是谁。向证明他是谁。29身份认证技术和数字签名的区别身份认证技术和数字签名的区别两者都是确保数据真实性的安全措施。两者都是确保数据真实性的安全措施。认证一般是基于收发双方共享的保密数据，以认证一般是基于收发双方共享的保密数据，以证实被鉴别对象的真实性；而用于验证签名的证实被鉴别对象的真实性；而用于验证签名的数据是公开的。数据是公开的。认证允许收发双方互相验证其真实性，数字签认证允许收发双方互相验证其真实性，数字签名则允

24、许第三者验证。名则允许第三者验证。对于数字签名来说，发送方不能抵赖、接收方对于数字签名来说，发送方不能抵赖、接收方不能伪造，并且可由仲裁进行调解，而认证却不能伪造，并且可由仲裁进行调解，而认证却不一定具备这些特点。不一定具备这些特点。认证技术的实现可能需要使用数字签名技术。认证技术的实现可能需要使用数字签名技术。30身份认证系统的特征身份认证系统的特征 验证者正确识别合法客户的概率极大。验证者正确识别合法客户的概率极大。攻击者伪装示证者骗取验证者信任的成功率极小化。攻击者伪装示证者骗取验证者信任的成功率极小化。通过重放认证信息进行欺骗和伪装的成功率极小。通过重放认证信息进行欺骗和伪装的成功率极

25、小。计算有效性，实现身份认证的算法计算量足够小。计算有效性，实现身份认证的算法计算量足够小。通信有效性，实现身份认证所需的通信量足够小。通信有效性，实现身份认证所需的通信量足够小。秘密参数能够安全存储。秘密参数能够安全存储。第三方的可信赖性。第三方的可信赖性。可证明安全性。可证明安全性。31基本的身份认证方法基本的身份认证方法 主体特征认证主体特征认证视网膜扫描、声音验证、指纹识别器。视网膜扫描、声音验证、指纹识别器。口令机制口令机制口令是约定的代码，假设只有用户和系统知道。口令是约定的代码，假设只有用户和系统知道。智能卡智能卡访问不但需要口令，也需要使用物理智能卡。访问不但需要口令，也需要使

26、用物理智能卡。一次性口令一次性口令用户每次使用不同的口令，需要口令发生器设备。用户每次使用不同的口令，需要口令发生器设备。PAP 协议（协议（Password Authentication Protocol）用于用于 PPP（点对点）协议的身份认证协议，明文口令传输。（点对点）协议的身份认证协议，明文口令传输。CHAP 协议（协议（Challenge Handshake Authentication Protocol）不在网络上传送口令信息，不在网络上传送口令信息，比比 PAP 具有更强的安全性。具有更强的安全性。32分布式环境中的身份认证分布式环境中的身份认证分布式网络环境分布式网络环境由大

27、量的客户工作站和分布在网络中的公共服务器组成；由大量的客户工作站和分布在网络中的公共服务器组成；服务器向网络用户提供各种网络应用的服务，是关键；服务器向网络用户提供各种网络应用的服务，是关键；用户需要访问分布在网络不同位置上的服务。用户需要访问分布在网络不同位置上的服务。服务器的安全服务器的安全服务器需要通过授权来限制用户对资源的访问；服务器需要通过授权来限制用户对资源的访问；授权和访问限制建立用户身份认证基础上的。授权和访问限制建立用户身份认证基础上的。网络系统的安全性可采用不同身份认证策略实现：网络系统的安全性可采用不同身份认证策略实现：基于客户工作站的用户身份认证；基于客户工作站的用户身

28、份认证；基于客户系统的身份认证；基于客户系统的身份认证；基于服务的用户身分认证。基于服务的用户身分认证。33身份认证协议身份认证协议 Kerberos是美国麻省理工学院（是美国麻省理工学院（MIT）开发的一种身份鉴）开发的一种身份鉴别服务。别服务。“Kerberos”的本意是希腊神话中守护地狱之门的本意是希腊神话中守护地狱之门的守护者。的守护者。Kerberos提供了一个集中式的认证服务器结构，提供了一个集中式的认证服务器结构，认证服务器的功能是实现用户与其访问的服务器认证服务器的功能是实现用户与其访问的服务器间的相互鉴别。间的相互鉴别。Kerberos建立的是一个实现身份认证的框架结构。建立

29、的是一个实现身份认证的框架结构。其实现采用的是对称密钥加密技术，而未采用公其实现采用的是对称密钥加密技术，而未采用公开密钥加密。开密钥加密。公开发布的公开发布的Kerberos版本包括版本版本包括版本4和版本和版本5。34Kerberos 的设计目标的设计目标 安全性安全性能够有效防止攻击者假扮成另一个合法的授权用户。能够有效防止攻击者假扮成另一个合法的授权用户。可靠性可靠性分布式服务器体系结构，提供相互备份。分布式服务器体系结构，提供相互备份。对用户透明性对用户透明性可伸缩可伸缩能够支持大数量的客户和服务器。能够支持大数量的客户和服务器。35Kerberos的设计思路（的设计思路（1）基本思

30、路：基本思路：使用一个（或一组）独立的认证服务器（使用一个（或一组）独立的认证服务器（AS Authentication Server），来为网络中的客户提供身），来为网络中的客户提供身份认证服务；份认证服务；认证服务器认证服务器(AS)，用户口令由，用户口令由 AS 保存在数据库中；保存在数据库中；AS 与每个服务器共享一个惟一保密密钥（已被安与每个服务器共享一个惟一保密密钥（已被安全分发）。全分发）。会话过程：会话过程：(1)C AS:IDC|PC|IDV(2)AS C:Ticket(3)C V :IDC|Ticket Ticket =EKVIDC|ADC|IDV36Kerberos的设计

31、思路的设计思路（2）问题：问题：用户希望输入口令的次数最少。用户希望输入口令的次数最少。口令以明文传送会被窃听。口令以明文传送会被窃听。解决办法解决办法 票据重用（票据重用（ticket reusable）。）。引入票据许可服务器（引入票据许可服务器（TGS-ticket-granting server）用于向用户分发服务器的访问票据；用于向用户分发服务器的访问票据；认证服务器认证服务器 AS 并不直接向客户发放访问应用服务器的票并不直接向客户发放访问应用服务器的票据，而是由据，而是由 TGS 服务器来向客户发放。服务器来向客户发放。37Kerberos中的中的票据票据两种票据两种票据服务许可

32、票据（服务许可票据（Service granting ticket）是客户时需要提供的票据；是客户时需要提供的票据；用用 TicketV 表示访问应用服务器表示访问应用服务器 V 的票据。的票据。TicketV 定义为定义为 EKv IDCADCIDVTS2LT2。票据许可票据（票据许可票据（Ticket granting ticket）客户访问客户访问 TGS 服务器需要提供的票据，目的是为了申请服务器需要提供的票据，目的是为了申请某一个应用服务器的某一个应用服务器的“服务许可票据服务许可票据”；票据许可票据由票据许可票据由 AS 发放；发放；用用 Tickettgs 表示访问表示访问 TG

33、S 服务器的票据；服务器的票据；Tickettgs 在用户登录时向在用户登录时向 AS 申请一次，可多次重复使用；申请一次，可多次重复使用；Tickettgs 定义为定义为 EKtgs IDCADCIDtgsTS1LT1。38Kerberos V4认证过程示意图认证过程示意图 39Kerberos V4认证过程认证过程(1)第一阶段，认证服务器的交互，用于获取票据许可第一阶段，认证服务器的交互，用于获取票据许可票据：票据：(1)C AS：IDCIDtgsTS1(2)AS C：EKc KC,tgsIDtgsTS2LT2Tickettgs 其中：其中：Tickettgs=EKtgs KC,tgsI

34、DCADCIDtgsTS2LT240Kerberos V4认证过程认证过程(2)第二阶段，票据许可服务器的交互，用第二阶段，票据许可服务器的交互，用于获取服务许可票据：于获取服务许可票据：(3)C TGS：IDVTickettgsAUC(4)TGS C：EKc,tgs KC,VIDVTS4TicketV 其中：其中：Tickettgs =EKtgs KC,tgsIDCADCIDtgsTS2LT2TicketV =EKv KC,VIDCADCIDVTS4LT4AUC =EKc,tgs IDCADCTS341Kerberos V4认证过程认证过程(3)第三阶段，客户与应用服务器的交互，用于获第三阶段，客户与应用服务器的交互，用于获得服务：得服务：(5)C V：TicketVAUC(6)V C：EKc,v TS5+1其中：其中：TicketV =EKv KC,VIDCADCIDVTS4LT4 AUC =EKc,v IDCADCTS542Kerberos V4中各关键元素的说明中各关键元素的说明(1)43Kerberos V4中各关键元素的说明中各关键元素的说明(2)44Kerberos V4中各关键元素的说明中各关键元素的说明(3)45