消息認(rèn)證與身份認(rèn)證方法

消息認(rèn)證與身份認(rèn)證方法目錄1.消息認(rèn)證2.身份認(rèn)證的方法3.身份認(rèn)證協(xié)議2023/1/152華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1消息認(rèn)證4.1.1消息認(rèn)證的概念消息認(rèn)證是指使意定的接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法。驗(yàn)證的內(nèi)容包括消息的源和宿消息的完整性消息的序號(hào)和時(shí)間2023/1/153華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.2消息認(rèn)證的方法信息的來(lái)源信息源和宿的認(rèn)證可使用數(shù)字簽名技術(shù)和身份識(shí)別技術(shù)信息的完整性消息認(rèn)證碼（MAC）篡改檢測(cè)碼（MDC）信息的序號(hào)和時(shí)間:目的是阻止消息的重放攻擊流水作業(yè)號(hào)鏈接認(rèn)證符隨機(jī)數(shù)認(rèn)證法數(shù)字時(shí)戳2023/1/154華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.3消息認(rèn)證的模式1單向認(rèn)證2雙向認(rèn)證2023/1/155華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.1.4認(rèn)證函數(shù)（1）信息加密函數(shù)：用完整信息的密文作為對(duì)信息的認(rèn)證。(公鑰算法和對(duì)稱加密算法均可用于驗(yàn)證)（2）信息認(rèn)證碼MAC：對(duì)信源消息的一個(gè)編碼。（3）散列函數(shù)：一個(gè)公開的函數(shù)，它將任意長(zhǎng)的信息映射成一個(gè)固定長(zhǎng)度的信息。2023/1/156華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息認(rèn)證碼MACABMAC=H(M)MMAC=H(M)ABMAC=H(M)MAC’=H(M’)CM=M’MAC’=H(M’)MACMMACM’MAC’2023/1/157華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息驗(yàn)證碼MAC(con.)方法一:A和B共享一個(gè)密鑰K(其它人均不知)A計(jì)算散列值MAC=H(M,K),附在M之后發(fā)送給B.MAC=MD5(M+K)B收到M和H(M,K)之后計(jì)算H(M,K)并與收到的MAC比較ABMAC=H(M,K)MMAC’=H(M,K)MAC2023/1/158華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息驗(yàn)證碼MAC(con.)方法二:(對(duì)稱加密用于驗(yàn)證信息完整性)A和B共享一個(gè)密鑰KA計(jì)算散列值Hash=H(M),用密鑰K和對(duì)稱加密算法DES加密該散列值MAC=DESK(MD5(M))B收到M和MAC之后用K和DES算法解密出散列值，并與由M算得的散列值作比較MHMAChEKMMAC2023/1/159華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2身份認(rèn)證的方法4.2.1身份認(rèn)證的概念身份認(rèn)證又稱身份識(shí)別，是通信和數(shù)據(jù)系統(tǒng)正確識(shí)別通信用戶或終端的個(gè)人身份的重要途徑當(dāng)前用于身份識(shí)別的技術(shù)方法主要有：所知、所有、生物特征以及多種方法技術(shù)的交互使用等。2023/1/1510華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)對(duì)用戶來(lái)看，身份認(rèn)證是用戶獲得對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的訪問權(quán)限的第一步。對(duì)計(jì)算機(jī)系統(tǒng)來(lái)看，身份認(rèn)證是安全防御的第一道防線，是防止非授權(quán)用戶或進(jìn)程進(jìn)入計(jì)算機(jī)系統(tǒng)的有效安全保障措施。身份認(rèn)證即身份識(shí)別與驗(yàn)證(I&A)，是大多數(shù)訪問控制的基礎(chǔ)，也是建立用戶審計(jì)能力的基礎(chǔ)。訪問控制通常要求計(jì)算機(jī)系統(tǒng)能夠識(shí)別和區(qū)分用戶，而且通常是基于最小特權(quán)原理(LeastPrivilegeTheorem)。2023/1/1511華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)識(shí)別是用戶向系統(tǒng)提供聲明身份的方法,驗(yàn)證則是建立這種聲明有效性的手段。計(jì)算機(jī)系統(tǒng)識(shí)別用戶依賴的是系統(tǒng)接收到的驗(yàn)證數(shù)據(jù)：收集驗(yàn)證數(shù)據(jù)問題安全傳輸數(shù)據(jù)問題怎樣知道使用計(jì)算機(jī)系統(tǒng)的用戶就是當(dāng)初驗(yàn)證通過(guò)的用戶問題2023/1/1512華師漢口分校信息科學(xué)與技術(shù)學(xué)院身份認(rèn)證的方法(con.)目前用來(lái)驗(yàn)證用戶身份的方法有：用戶知道什么秘密，如口令、個(gè)人身份號(hào)碼(PIN)、密鑰等用戶擁有什么令牌，如ATM卡或智能卡等個(gè)人特征生物特征，如聲音識(shí)別、手寫識(shí)別或指紋識(shí)別等2023/1/1513華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.2口令認(rèn)證最普通的身份認(rèn)證形式是用戶標(biāo)識(shí)(ID)和口令(Password)的組合口令認(rèn)證是基于知識(shí)的傳統(tǒng)口令技術(shù)，僅僅依賴于用戶知道什么的事實(shí)口令系統(tǒng)的運(yùn)作:需要用戶輸入用戶標(biāo)識(shí)和口令(或PIN碼)系統(tǒng)對(duì)輸入的口令與此前為該用戶標(biāo)識(shí)存儲(chǔ)的口令進(jìn)行比較如果匹配，該用戶就可得到授權(quán)并獲得訪問權(quán)。2023/1/1514華師漢口分校信息科學(xué)與技術(shù)學(xué)院2023/1/1515華師漢口分校信息科學(xué)與技術(shù)學(xué)院1.口令認(rèn)證的過(guò)程：（1）為用戶分配唯一的ID標(biāo)識(shí)（2）計(jì)算機(jī)系統(tǒng)將用戶的身份標(biāo)識(shí)和相應(yīng)的口令存入口令列表，其中口令保密，身份標(biāo)識(shí)可以公開2.口令選擇的原則易記、不易猜中、不易分析2023/1/1516華師漢口分校信息科學(xué)與技術(shù)學(xué)院3.口令的管理：系統(tǒng)中用戶與口令的存儲(chǔ)如下:將用戶的口令用單向散列函數(shù)計(jì)算出摘要值去除口令代碼,僅將摘要和與之相對(duì)應(yīng)的用戶ID存入系統(tǒng)檢驗(yàn)時(shí)用戶輸入用戶名與口令系統(tǒng)隨即計(jì)算口令的哈希值,如果與存儲(chǔ)在系統(tǒng)內(nèi)的摘要值相匹配,用戶則可以通過(guò)2023/1/1517華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.一次性口令：一次性口令系統(tǒng)允許用戶每次登錄時(shí)使用不同的口令。系統(tǒng)在用戶登錄時(shí)給用戶提供一個(gè)隨機(jī)數(shù)，用戶將這個(gè)隨機(jī)數(shù)送入口令發(fā)生器，口令發(fā)生器以用戶的密鑰對(duì)隨機(jī)數(shù)加密，然后用戶再將口令發(fā)生器輸出的加密口令送入系統(tǒng)。系統(tǒng)再進(jìn)行同樣方法計(jì)算出一個(gè)結(jié)果，比較兩個(gè)結(jié)果決定是否該身份有效。在登錄過(guò)程中加入不確定因素，使每次登陸過(guò)程中傳送的信息都不同，以提高登錄過(guò)程安全性。(如現(xiàn)在的網(wǎng)絡(luò)系統(tǒng)登陸時(shí)需要輸入驗(yàn)證碼)2023/1/1518華師漢口分校信息科學(xué)與技術(shù)學(xué)院口令的優(yōu)點(diǎn)：

在很長(zhǎng)時(shí)間內(nèi)已經(jīng)成功地為計(jì)算機(jī)系統(tǒng)提供了安全保護(hù)。已經(jīng)集成到很多操作系統(tǒng)中，用戶和管理員較熟悉。在可控環(huán)境下、管理適當(dāng)，可提供有效的安全保護(hù)。存在的問題：

口令系統(tǒng)的安全依賴于口令的保密性。只要用戶訪問一個(gè)新的服務(wù)器，都必須提供新口令?？诹蠲鎸?duì)的威脅有：外部泄漏、猜測(cè)、通信竊取、重放等2023/1/1519華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.3持證認(rèn)證（令牌認(rèn)證）基于用戶擁有什么的身份認(rèn)證技術(shù),使用的是令牌技術(shù)。記憶令牌和智能卡2023/1/1520華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)基于個(gè)人令牌的驗(yàn)證：個(gè)人令牌使用了用戶必須出示自己所擁有的某些東西這一因素，即要出示由個(gè)人正式擁有的某種小型的硬件設(shè)備。令牌通常與口令結(jié)合起來(lái)使用，對(duì)攻擊者來(lái)說(shuō)，要想偽裝成合法的用戶，僅知道口令或者偷取令牌是不夠，他必須二者兼而有之，這稱為“雙因素驗(yàn)證”。要謀劃一個(gè)針對(duì)雙因素的成功攻擊是非常困難的。2023/1/1521華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)基于個(gè)人令牌的運(yùn)作方式有：（1）儲(chǔ)存式令牌。將某個(gè)秘密的數(shù)據(jù)值如數(shù)字簽名用的私有密鑰儲(chǔ)存在令牌中，在用戶給出了正確的口令解開令牌鎖后由驗(yàn)證協(xié)議來(lái)使用。（2）同步一次性口令生成器。令牌定期生成一個(gè)新的口令，如每隔一分鐘生成一次，令牌持有者使用該口令對(duì)支持該驗(yàn)證方式的主機(jī)進(jìn)行驗(yàn)證。一次性口令可以通過(guò)使用正確的日期時(shí)間的單向函數(shù)和儲(chǔ)存在令牌中的某個(gè)永久的秘密值來(lái)進(jìn)行計(jì)算機(jī)主機(jī)與令牌必須保持時(shí)間的同步。2023/1/1522華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)（3）提問-答復(fù)。令牌運(yùn)行在提問-答復(fù)協(xié)議的客戶端，通過(guò)對(duì)目標(biāo)主機(jī)送來(lái)的提問值和儲(chǔ)存在令牌中的永久秘密值運(yùn)用單向函數(shù)進(jìn)行運(yùn)算，生成答復(fù)信息。（4）數(shù)字簽名令牌。令牌持有數(shù)字簽名所需要的私有密鑰，和運(yùn)用該私有密鑰對(duì)給定的數(shù)據(jù)值計(jì)算數(shù)字簽名所需要的邏輯條件。可以將數(shù)字簽名用在某個(gè)難協(xié)議中。在生成數(shù)字簽名之前，通常需要先給出正確的口令來(lái)對(duì)令牌解鎖。2023/1/1523華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式人機(jī)界面令牌：一種帶有數(shù)字顯示的手持式設(shè)備，顯示屏上顯示出持有者隨后進(jìn)入某個(gè)網(wǎng)絡(luò)系統(tǒng)終端如臺(tái)式電腦的數(shù)字。如果驗(yàn)證方法中需要持有者向令牌輸入數(shù)據(jù)，如口令或提問值勤，則信牌還可能帶有一個(gè)小型的健盤。智能卡：訪問不但需要口令，也需要物理智能卡。在允許進(jìn)入系統(tǒng)之前需要檢查其智能卡。智能卡內(nèi)有微處理器和存儲(chǔ)器，可已加密的形式保存卡的ID及其他身份認(rèn)證數(shù)據(jù)。2023/1/1524華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式(con.)PCMCIA卡：這是一種可以插在標(biāo)準(zhǔn)的多眼插座上的袖珍型令牌，常用于手提電腦與調(diào)制解調(diào)器或與其它接入設(shè)備的接口。與智能卡相比，PCMICA令牌有更強(qiáng)大的處理功能和存儲(chǔ)邏輯，還具有更高的接口帶寬。USB令牌：這是一種可以連接到通用串行總線端口的令牌，這種令牌有很強(qiáng)的處理功能和存儲(chǔ)邏輯。2023/1/1525華師漢口分校信息科學(xué)與技術(shù)學(xué)院個(gè)人令牌存在的物理形式(con.)NB:記憶令牌只存儲(chǔ)信息，不對(duì)信息進(jìn)行處理，令牌上信息的讀取和寫入是用專門的讀/寫設(shè)備來(lái)完成的。記憶令牌的最通用形式是磁卡。通常用于計(jì)算機(jī)認(rèn)證的記憶令牌是ATM卡，它是采用用戶擁有什么(卡)和用戶知道什么(身份識(shí)別碼)的組合。2023/1/1526華師漢口分校信息科學(xué)與技術(shù)學(xué)院令牌認(rèn)證(con.)令牌的優(yōu)點(diǎn)：和身份識(shí)別碼一起使用時(shí)比單獨(dú)使用口令的機(jī)制更安全。面臨的問題：需要專門的讀取器。令牌的丟失問題。智能卡通過(guò)在令牌中采用集成電路以增加其功能,還需要用戶提供身份識(shí)別碼或口令等基于用戶知道的知識(shí)的認(rèn)證手段。2023/1/1527華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.2.4生物識(shí)別采用的是生物特征識(shí)別技術(shù)，采用的是用戶獨(dú)特的生理特征來(lái)認(rèn)證用戶的身份:生理屬性(如指紋、視網(wǎng)膜識(shí)別等)行為屬性(如聲音識(shí)別、手寫簽名識(shí)別等)。2023/1/1528華師漢口分校信息科學(xué)與技術(shù)學(xué)院優(yōu)點(diǎn)：比前兩種認(rèn)證技術(shù)有著更好的安全性缺點(diǎn)：技術(shù)還不是很成熟實(shí)際使用過(guò)程中的穩(wěn)定性不是很好費(fèi)用很高2023/1/1529華師漢口分校信息科學(xué)與技術(shù)學(xué)院課堂討論(一)：

個(gè)人特征的身份證明技術(shù)華師漢口分校信息科學(xué)與技術(shù)學(xué)院4.3身份認(rèn)證協(xié)議一次一密機(jī)制X.509認(rèn)證協(xié)議Kerberos認(rèn)證協(xié)議零知識(shí)身份識(shí)別2023/1/1531華師漢口分校信息科學(xué)與技術(shù)學(xué)院一次一密機(jī)制主要有兩種實(shí)現(xiàn)方式:請(qǐng)求-應(yīng)答方式第一種方法,用戶登錄時(shí)系統(tǒng)隨機(jī)提示一條信息,用戶根據(jù)這一信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字,用戶輸入該口令字,完成一次登錄過(guò)程,或者用戶對(duì)這一條信息實(shí)施數(shù)字簽名,發(fā)送給出驗(yàn)證者進(jìn)行鑒別另一種方法采用時(shí)鐘同步機(jī)制,即根據(jù)這個(gè)同步時(shí)鐘信息連同其個(gè)人化數(shù)據(jù)共同產(chǎn)生一個(gè)口令字2023/1/1532華師漢口分校信息科學(xué)與技術(shù)學(xué)院質(zhì)詢-回應(yīng)協(xié)議（1）A向B發(fā)送一個(gè)消息TA，表示想和B通話。（2）B無(wú)法判斷這個(gè)消息是來(lái)自A還是其他人，因此B回應(yīng)一個(gè)質(zhì)詢RB。RB是一個(gè)隨機(jī)數(shù)。（3）A用與B共享的密鑰KAB加密RB，得到密文KAB(RB)，再發(fā)送給B；B收到密文KAB(RB)，用自己同樣擁有的KAB加密RB，對(duì)比結(jié)果，如果相同就確認(rèn)了A的身份。此時(shí)B已完成了對(duì)A的單向認(rèn)證。2023/1/1533華師漢口分校信息科學(xué)與技術(shù)學(xué)院質(zhì)詢-回應(yīng)協(xié)議（4）A同樣需要確定B的身份，于是發(fā)送一個(gè)質(zhì)詢RA給B。RA也是一個(gè)隨機(jī)數(shù)。（5）B用與A共享的密鑰KAB加密RA，得到密文KAB(RA)，再發(fā)送給A；A收到密文KAB(RA)，用自己同樣擁有的KAB加密RA，對(duì)比結(jié)果，如果相同就確認(rèn)了B的身份，完成了雙向認(rèn)證。（6）A確認(rèn)B的身份之后，選取一個(gè)會(huì)話密鑰KS，并且用KAB加密之后發(fā)送給B。2023/1/1534華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos——第三方認(rèn)證所謂第三方認(rèn)證就是在相互不認(rèn)識(shí)的實(shí)體之間提供安全通信Kerberos認(rèn)證系統(tǒng)原是MIT(美國(guó)麻省理工學(xué)院)的Athena計(jì)劃的一部分,原義為希臘神話中守護(hù)地獄之門的一只兇猛的三頭狗,意喻該協(xié)議具有極其強(qiáng)大的安全性能。近年來(lái),較新的版本的擴(kuò)充也支持了X.509認(rèn)證。基于X.509數(shù)字證書是由國(guó)際標(biāo)準(zhǔn)化組織開發(fā)的眾多標(biāo)準(zhǔn)中的一部分。認(rèn)證是基于公開密鑰，或者非對(duì)稱密碼系統(tǒng)的。2023/1/1535華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos概述網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可信仲裁者的作用，可提供安全的網(wǎng)絡(luò)鑒別，允許個(gè)人訪問網(wǎng)絡(luò)中不同的機(jī)器。基于對(duì)稱密碼學(xué)，與網(wǎng)絡(luò)上的每個(gè)實(shí)體分別共享一個(gè)不同的秘密密鑰，是否知道該秘密密鑰便是身份的證明。主要包括以下幾個(gè)部分：客戶機(jī)（Client）服務(wù)器（Server）認(rèn)證服務(wù)器（AS）票據(jù)授予服務(wù)器（TGS）2023/1/1536華師漢口分校信息科學(xué)與技術(shù)學(xué)院

Kerberos組成2023/1/1537華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos概述(con.)Kerberos有一個(gè)所有客戶和自己安全通信所需的秘密密鑰數(shù)據(jù)庫(kù)(KDC)，知道每個(gè)人的秘密密鑰，能產(chǎn)生消息向每個(gè)實(shí)體證實(shí)另一個(gè)實(shí)體的身份。Kerberos還能產(chǎn)生會(huì)話密鑰，只供一個(gè)客戶機(jī)和一個(gè)服務(wù)器使用，會(huì)話密鑰用來(lái)加密雙方的通信消息，通信完畢，會(huì)話密鑰即被銷毀。Kerberos使用DES加密Kerberos第4版提供非標(biāo)準(zhǔn)的鑒別模型，該模型的弱點(diǎn)是它無(wú)法檢測(cè)密文的某些改變。Kerberos第5版使用CBC模式。2023/1/1538華師漢口分校信息科學(xué)與技術(shù)學(xué)院KerberosV4認(rèn)證消息對(duì)話2023/1/1539華師漢口分校信息科學(xué)與技術(shù)學(xué)院(1)客戶登錄到本地，向認(rèn)證服務(wù)器(AS)發(fā)送一個(gè)服務(wù)請(qǐng)求，請(qǐng)求獲得指定應(yīng)用服務(wù)器的“憑證”①，所獲憑證可直接用于應(yīng)用服務(wù)器或票據(jù)授予服務(wù)器(TGS)。

CAS:IDc||IDtgs||TS1

該消息包含客戶ID以及票據(jù)授予服務(wù)器的ID和時(shí)間戳。(2)認(rèn)證服務(wù)器(AS)以憑證作為響應(yīng)，并用客戶的密鑰加密憑證消息②。 憑證＝票據(jù)授予服務(wù)器“票據(jù)”(Ticket)＋臨時(shí)加密密鑰Kc,tgs(會(huì)話密鑰)。ASC:EKc[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs]Tickettgs＝EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]2023/1/1540華師漢口分校信息科學(xué)與技術(shù)學(xué)院2023/1/1541華師漢口分校信息科學(xué)與技術(shù)學(xué)院(3)擁有了票據(jù)和會(huì)話密鑰，客戶C向TGS服務(wù)器發(fā)送消息請(qǐng)求獲得訪問某個(gè)特定應(yīng)用服務(wù)器的票據(jù)Ticketv消息③。

CTGS:IDv||Tickettgs||Authenticatorc Authenticatorc＝EKc,tgs[IDc||ADc||TS3] Tickettgs＝EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]消息包含了身份驗(yàn)證器(Authenticatorc)、C用戶的ID和地址以及時(shí)間戳對(duì)比：票據(jù)可以重復(fù)使用，身份驗(yàn)證器只能使用一次且生命周期很短。2023/1/1542華師漢口分校信息科學(xué)與技術(shù)學(xué)院(4)?TGS服務(wù)器返回應(yīng)用服務(wù)器票據(jù)以應(yīng)答消息④，客戶請(qǐng)求。

TGSC:EKc,tgs[Kc,v||IDv||TS4||Ticketv] Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]

消息已經(jīng)用TGS和C共享的會(huì)話密鑰進(jìn)行了加密，它包含了C和服務(wù)器V共享的會(huì)話密鑰Kc,v，V的ID和票據(jù)的時(shí)間戳，也包含了會(huì)話密鑰?，F(xiàn)在C就擁有了V可重用的票據(jù)，當(dāng)C出具此票據(jù)時(shí)就發(fā)出了身份驗(yàn)證碼，應(yīng)用服務(wù)器可以解密票據(jù)，恢復(fù)會(huì)話密鑰并解密身份驗(yàn)證碼。2023/1/1543華師漢口分校信息科學(xué)與技術(shù)學(xué)院2023/1/1544華師漢口分校信息科學(xué)與技術(shù)學(xué)院(5)客戶將該Ticket傳送給應(yīng)用服務(wù)器消息⑤。

CV:Ticketv||Authenticatorc Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4] Authenticatorc＝EKc,v[IDc||ADc||TS5]2023/1/1545華師漢口分校信息科學(xué)與技術(shù)學(xué)院

(6)現(xiàn)在客戶和應(yīng)用服務(wù)器已經(jīng)共享會(huì)話密鑰，如果需要互相驗(yàn)證身份，服務(wù)器可以發(fā)送消息⑥進(jìn)行響應(yīng)。服務(wù)器返回身份驗(yàn)證碼中的時(shí)間戳值加1，再用會(huì)話密鑰進(jìn)行加密，C可以將消息解密，恢復(fù)增加1后的時(shí)間戳。消息是由會(huì)話密鑰加密的，只有V才能創(chuàng)建，時(shí)間戳保證不是以前的應(yīng)答。

VC:EKc,v[TS5+1]

共享的會(huì)話密鑰還可用于加密以后的通信或交換加密的單獨(dú)子會(huì)話密鑰2023/1/1546華師漢口分校信息科學(xué)與技術(shù)學(xué)院消息①和②只在用戶首次登錄系統(tǒng)時(shí)使用；消息③和④在用戶每次申請(qǐng)某個(gè)特定應(yīng)用服務(wù)器的服務(wù)時(shí)使用；消息⑤則用于每個(gè)服務(wù)的認(rèn)證。消息⑥可選，只用于互相認(rèn)證。2023/1/1547華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos基礎(chǔ)結(jié)構(gòu)和交叉領(lǐng)域認(rèn)證當(dāng)一個(gè)系統(tǒng)跨越多個(gè)組織時(shí)，需要多個(gè)認(rèn)證服務(wù)器各自負(fù)責(zé)系統(tǒng)中部分用戶和服務(wù)器的認(rèn)證，稱某個(gè)特定認(rèn)證服務(wù)器所注冊(cè)的用戶和服務(wù)器的全體為一個(gè)領(lǐng)域(Realm)。交叉域認(rèn)證允許一個(gè)委托人(Principle)向注冊(cè)在另外一個(gè)域的服務(wù)器驗(yàn)明自己的身份。2023/1/1548華師漢口分校信息科學(xué)與技術(shù)學(xué)院2023/1/1549華師漢口分校信息科學(xué)與技術(shù)學(xué)院Kerberos客戶(委托人)向遠(yuǎn)程領(lǐng)域驗(yàn)證自己的身份：首先需要從本地認(rèn)證服務(wù)器