认证理论与技术

认证理论与技术第6讲认证理论与技术

§6.1概述

§6.2认证函数

§6.3数字签名

§6.4零知识证明

§6.5身份认证第2页,共55页，2024年2月25日，星期天信息安全概论32024/5/4网络系统安全要考虑两个方面。一方面，用密码保护传送的信息使其不被破译；另一方面，就是防止对手对系统进行主动攻击，如伪造，篡改信息等。认证（authentication）则是防止主动攻击的重要技术，它对于开放的网络中的各种信息系统的安全性有重要作用。认证的主要目的：第一，验证信息的发送者是真的，而不是冒充的，此为实体认证，包括信源、信宿等的认证和识别；第二，验证信息的完整性，此为消息认证，验证数据在传送或存储过程中未被篡改，重放或延迟等。§6.1概述第3页,共55页，2024年2月25日，星期天信息安全概论42024/5/4

保密和认证同时是信息系统安全的两个方面，但它们是两个不同属性的问题，认证不能自动地提供保密性，而保密也不能自然地提供认证功能。一个纯认证系统的模型如下图所示：密钥源窜扰者信宿信源认证编码器认证译码器信道安全信道§6.1概述第4页,共55页，2024年2月25日，星期天信息安全概论52024/5/4

消息认证是一种过程，它使得通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）在传输的过程中没有被假冒、伪造和篡改，是否感染上病毒等，即保证信息的完整性和有效性。消息认证的目的在于如何让接收报文的目的站来鉴别报文的真伪，消息认证的内容应包括：（1）证实报文的源和宿；（2）报文内容是否曾受到偶然的或有意的篡改；（3）报文的序号和时间栏。认证只在相应通信的双方之间进行，而不允许第三者进行上述认证。认证不一定是实时的。§6.1概述第5页,共55页，2024年2月25日，星期天信息安全概论62024/5/4认证的函数有三类：（1）信息加密函数用完整信息的密文作为对信息的认证。（2）信息认证码MAC(MessageAuthenticationCode)

是对信源消息的一个编码函数。（3）Hash函数是一个公开的函数，它将任意长的信息映射成一个固定长度的信息。§6.2认证函数第6页,共55页，2024年2月25日，星期天信息安全概论72024/5/4一、信息加密函数：分二种：一种是常规的对称密钥加密函数，另一种是公开密钥的双密钥加密函数。下图的通信过程：用户A为发信方，用户B为接收方。用户B接收到信息后，通过解密来判决信息是否来自A，信息是否完整，有无窜扰。

(a)常规加密：具有机密性，可认证信源信宿MEEk(M)DMA方B方kkDk(Ek(M))§6.2认证函数第7页,共55页，2024年2月25日，星期天信息安全概论82024/5/4(b)公钥加密：具有机密性(c)公钥加密：认证和签名MEEPKb(M)DMA方B方SKb

PKbMEESKa(M)DMA方B方PKa

SKa§6.2认证函数第8页,共55页，2024年2月25日，星期天信息安全概论92024/5/4(d)公钥加密：机密性，可认证和签名MEESKa(M)EEPKb(ESKa(M))A方SKaPKbDESKa(M)DMB方SKbPKa§6.2认证函数第9页,共55页，2024年2月25日，星期天信息安全概论102024/5/4二、消息认证码(MAC)：

MAC(MessageAuthenticationCode)是一种实现消息认证的方法。MAC是由消息M和密钥K的一个函数值

MAC=Ck(M)其中M是变长的消息，K是仅由收发双方共享的密钥，Ck(M)是定长的认证码。§6.2认证函数第10页,共55页，2024年2月25日，星期天信息安全概论112024/5/4双方设计一个编码法则。发方A根据规则对信源S进行编码，M表示所有可能的消息集合。发方A通信时，发送的是消息。用简单的例子说明：设S={0,1}，M={00,01,10,11}，定义四个不同的编码法则e0,e1,e2,e3。这就构成一个认证码MAC。编码规则00011011e001e101e201e301§6.2认证函数第11页,共55页，2024年2月25日，星期天信息安全概论122024/5/4发方A和收方B在通信前先秘密约定使用的编码法则。例如，若决定采用e0，则以发送消息00代表信源0；发送消息10代表信源1，我们称消息00和10在e0之下是合法的。而消息01和11在e0之下不合法，收方将拒收这二个消息。信息的认证和保密是不同的两个方面，一个认证码可具有保密功能，也可没有保密功能。认证编码的基本方法是要在发送的消息中引入多余度，使通过信道传送的可能序列集Y大于消息集X。§6.2认证函数第12页,共55页，2024年2月25日，星期天信息安全概论132024/5/4对于任何选定的编码规则(相应于某一特定密钥)：发方从Y中选出用来代表消息的许用序列，即码字；收方根据编码规则唯一地确定出发方按此规则向他传来的消息。窜扰者由于不知道密钥，因而所伪造的假码字多是Y中的禁用序列，收方将以很高的概率将其检测出来而被拒绝。认证系统设计者的任务是构造好的认证码(AuthenticationCode)，使接收者受骗概率极小化。

MAC类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。§6.2认证函数第13页,共55页，2024年2月25日，星期天信息安全概论142024/5/4三、Hash函数：如一个合法文件有数兆字节长，为了进行签名认证，自然按160比特分划成一块一块，用相同的密钥独立地签每一个块。然而，这样太慢。解决办法：引入可公开的密码Hash函数。对数字签名来说，Hash函数h这样使用：消息：x任意长消息摘要：Z=h(x)160bits

签名：y=sigk(Z)320bits验证签名(x,y)，其中y=sigk(h(x))，使用公开的Hash函数h，重构作Z'=h(x)。然后检验Verk(Z,y)，看是否Z=Z'。§6.2认证函数第14页,共55页，2024年2月25日，星期天信息安全概论152024/5/4Hash函数应具有的性质：（1）Hash函数可以作用于一个任意长度的数据分组，产生一个固定长度的输出。（2）任意给定消息M，计算h=H(M)容易。（3）任意给定h，找到M满足H(M)=h很难，计算上不可行性，即单向性。（4）任意给定的数据块M，找到不等于M的M’，使H(M)=H(M’)在计算是不可行性。即弱无碰撞。（5）找到任意数据对(x,y)，满足H(x)=H(y)是计算不可行的。即强无碰撞。§6.2认证函数第15页,共55页，2024年2月25日，星期天信息安全概论162024/5/4Hash函数的构造形式：（1）利用数学难题，如因子分解、离散对数问题等（2）利用某些私钥密码体制，如DES等（3）通过直接构造复杂的非线性关系，如MD4,MD5,SHA-1等§6.2认证函数第16页,共55页，2024年2月25日，星期天信息安全概论172024/5/4对Hash函数的攻击有两类（1）强力攻击（或穷举攻击）。典型防范：生日攻击任找23人，从中总能选出两人具有相同生日的概率至少为1/2。根据此特点，一个40bit的消息摘要将是不安全的。因为在100万个随机散列值中将找到一个碰撞的概率为1/2。通常建议，消息摘要的尺寸为128bits。（2）特殊攻击。§6.2认证函数第17页,共55页，2024年2月25日，星期天信息安全概论182024/5/4常用的Hash算法（1）MD5算法：由麻省理工学院(MIT)Rivest提出，MD5不基于任何假设和密码体制，采用直接构造法。输入：任意长度的消息；输出：128位消息摘要；处理：以512位输入数据块为单位；安全性：采用穷举攻击寻找一个消息具有给定Hash值的计算困难性为2128，若采用生日攻击，寻找有相同Hash值的两个消息需要试验264个消息。单轮MD5已有攻击结果，但对MD5全部四轮无有效攻击法。§6.2认证函数第18页,共55页，2024年2月25日，星期天信息安全概论192024/5/4（2）安全散列算法(SHA)：由美国国家标准技术研究所(NIST)提出，作为联邦信息处理标准于1993年发表（FIPSPUB180），1995年修订，称为SHA-1，SHA-1基于MD4设计。设计目的是用于数字签名标准算法DSS。输入：最大长度为264位的消息；输出：160位消息摘要；处理：输入以512位数据块为单位处理；安全性：消息摘要比MD5长32位，采用穷举攻击计算困难性为2160，若采用生日攻击计算困难性为280，安全性更高。但硬件实现速度较MD5慢25％。§6.2认证函数第19页,共55页，2024年2月25日，星期天信息安全概论202024/5/4数字签名是以密码学的方法对数据文件产生的一组代表签名者身份和数据完整性的数据信息。它提供了一种鉴别方法，以解决伪造、抵赖、冒充等问题。数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。数字签名和手写签名不同，其区别在于：手书签字是模拟的，它反映某个人的个性特征是不变的；数字签名是数字串，它随被签的对象而变化，即同一当事者对不同文件的数字签名是不相同的，这样任一文件的数字签名不可能被直接复制到不同的文件上进行伪造签名。§6.3数字签名—概述第20页,共55页，2024年2月25日，星期天信息安全概论212024/5/4数字签名是一种包括防止源点或终点否认的认证技术。可用来保护信息的真实性、完整性和信息的来源。数字签名必须保证以下五点：（1）可验证：签字是可以被确认的；（2）防抵赖：发送者事后不承认发送报文并签名；（3）防假冒：攻击者冒充发送者向收方发送文件；（4）防篡改：收方对收到的文件进行篡改；（5）防伪造：收方伪造对报文的签名。§6.3数字签名—概述第21页,共55页，2024年2月25日，星期天信息安全概论222024/5/4

数字签名技术是公钥密码体制的一种应用。签名者使用自己私钥对签名明文的“摘要”加密，就生成了该文件的“数字签名”。签名者将明文和数字签名一起发送给接收者，接收者用该签名者公布的公钥来解开数字签名，将其与明文的“摘要”进行比较，便可检验文件的真伪，并确定签名者的身份。数字签名体制一般由签名算法和验证算法两部分组成。签名算法或签名密钥是秘密的，只有签名人掌握；验证算法应当公开，以便于他人进行验证。§6.3数字签名—概述第22页,共55页，2024年2月25日，星期天信息安全概论232024/5/4对消息的签名与对消息的加密有所不同，消息加解密可能是一次性的，它只要求在解密之前是安全的；而一个签名的消息很可能在多年后仍需验证其签名，且可能需要多次验证此签名。因此，签名的安全性和防伪造的要求更高些，且要求验证速度比签名速度要快些，尤其是对在线实时验证。§6.3数字签名—概述第23页,共55页，2024年2月25日，星期天信息安全概论242024/5/4

RSA签名体制是一种比较普遍的数字签名方案，其安全性依赖于大整数因子分解的困难性。RSA数字签名体制的算法描述：（1）体制参数令n=pq，选e并计算出d使ed=1mod

(n)

，公开n和e，将p、q和d保密。（2）签字过程对消息m，用户A计算：S=Sigk(m)=mdmodns即为m的数字签名。（3）验证过程用户B收到m,s，验证Verk(m,s)=真mse(modn)§6.3数字签名—RSA数字签名第24页,共55页，2024年2月25日，星期天信息安全概论252024/5/4RSA签名体制的缺陷：（1）任何人可以通过某个s计算：m=semodn伪造用户对m的签名s（2）若知道消息m1、m2的签名分别为s1、s2，则可伪造消息

m1m2的签名S=Sigk(m1m2)=s1s2

modn（3）签名速度慢。通过增加单向散列函数可以克服上述缺陷。§6.3数字签名—RSA数字签名第25页,共55页，2024年2月25日，星期天信息安全概论262024/5/4

ElGamal数字签名方案的安全性主要是基于有限域上离散对数问题的难解性。ElGamal数字签名体制的算法描述：（1）体制参数

p为素数，gFp*是一个本原元，随机选择整数x，0<x<p-1，计算

p、g为系统公开参数，x为私钥，y为公钥§6.3数字签名—ElGamal数字签名第26页,共55页，2024年2月25日，星期天信息安全概论272024/5/4（2）签名算法设消息为m，用户A秘密选取随机数k，0<k<p-1并计算：r=gkmodps=(m-xr)k-1mod(p-1)(r,s)即为m的数字签名。（3）验证过程：用户B收到m,r,s后，验证

Ver(m,r,s)=真yrrsgm(modp)因为

ElGamal数字签名对同一消息m，由于随机数k不同而有不同的签名结果。§6.3数字签名—ElGamal数字签名第27页,共55页，2024年2月25日，星期天信息安全概论282024/5/4对ElGamal签名方案安全性的讨论：若Oscar在不知道x的情况下企图伪造一个给定消息m的签名：

Sigoscar(m,k)=(r,s)（1）Oscar先选定一个s，然后企图找r，这样，他就必须解一个关于未知数r的方程：yrrsgm(modp)这个方程是一个已知无可行解法的难处理问题！（2）Oscar先选定一个r，使其满足：yrrsgm(modp)，于是，rsy-rgm(modp)，这样他就必须计算离散对数

logr(y-rgm)，这自然是难处理的问题！§6.3数字签名—ElGamal数字签名第28页,共55页，2024年2月25日，星期天信息安全概论292024/5/4（3）若两者r,s都被

Oscar首先选定，然后企图解出一个随机消息m，使得yrrsgm(modp)，Oscar无法成功。（4）Oscar同时选择r,s和m来伪造签名问题：假设i和j是整数，0<i<p-1，0<j<p-1，且(j,p-1)=1，先完成下列计算：

r=giyj(modp)s=-rj-1(modp-1)m=-rij-1(modp-1)(其中j-1是用模p-1来计算的)§6.3数字签名—ElGamal数字签名第29页,共55页，2024年2月25日，星期天信息安全概论302024/5/4可以证实(r,s)是一个消息m的有效签名:

§6.3数字签名—ElGamal数字签名第30页,共55页，2024年2月25日，星期天信息安全概论312024/5/4

DSS签名标准是1991年8月由美国NIST公布，并于1994年12月1日采纳为标准DSS。它是在ElGamal方案基础上设计的。DSS中所采用的算法为DSA。DSA算法描述：（1）体制参数

p：素数且2511<p<2512；q：素数且2159<p<2160且q|p-1；

g：，其中h是小于(p-1)且满足的任意数；

x：小于q的正整数，y：算法使用一个单向散列函数H(m)，标准指定为SHA算法。其中p、q、g为系统公开参数，公钥为y，私钥为x§6.3数字签名—DSS数字签名标准第31页,共55页，2024年2月25日，星期天信息安全概论322024/5/4（2）签名算法设消息为m(0<m<p)，用户A随机选取小于q的随机数k，并计算：r=(gkmodp)modqs=(H(m)+xr)k-1modq(r,s)即为m的数字签名。（3）验证算法用户B收到m,r,s后，计算§6.3数字签名—DSS数字签名标准第32页,共55页，2024年2月25日，星期天信息安全概论332024/5/4如果v=r，则签名有效。因为§6.3数字签名—DSS数字签名标准第33页,共55页，2024年2月25日，星期天信息安全概论342024/5/4零知识证明是这样一种技术，即当示证者P掌握某些秘密信息，P设法向验证者V证明自己掌握这些信息，验证者V可以验证P是否真的掌握这些秘密信息,但同时P又不想让V也知道那些信息（如果连V都不知道那些秘密信息，第三者想盗取那些信息当然就更难了）。该技术比传统的密码技术更安全并且使用更少的处理资源。但是它需要更复杂的数据交换协议，需要更多的数据传输，因此会消耗大量通信资源。一般来说，被示证者P掌握的秘密信息可以是某些长期没有解决的猜想问题。如大整数因式分解和求解离散对数问题等，还可以是一些单向函数等。但信息的本质是可以验证的，即可通过具体的步骤来检测它的正确性。§6.4零知识证明第34页,共55页，2024年2月25日，星期天信息安全概论352024/5/4零知识证明需满足的条件：（1）示证者几乎不可能欺骗验证者，若P知道证明，则可使V几乎确信P知道证明；若P不知道证明，则他使V相信他知道证明的概率近于零。（2）验证者几乎不可能得到证明的信息，特别是他不可能向其他人出示此证明。（3）验证者从示证者那里得不到任何有关证明的知识。§6.4零知识证明第35页,共55页，2024年2月25日，星期天信息安全概论362024/5/4例1：洞穴问题（见图）。设P知道咒语，可打开C和D之间的秘密门，不知道者都将走入死胡同中。现在看看P如何向V出示证明使V相信他知道这个秘密，但又不告诉V有关咒语：（1）V站在A点；（2）P进入洞中任意一点C或D；（3）当P进洞之后，V走到B点；（4）V叫P：“从左边出来”或“从右边出来”；（5）P按要求实现；（6）P和V重复执行（1）至（5）共n次。§6.4零知识证明第36页,共55页，2024年2月25日，星期天信息安全概论372024/5/4例2：Hamilton回路零知识证明协议。（1）P对图G作一随机置换，得一个与其同构的新图G1，P很容易知道G1的Hamilton回路；（2）P将图G1发给V；（3）V随机的要求P完成：“证明图G和G1同构”或“指出图G1的一个Hamilton回路”；（4）P按要求实现：“证明图G和G1同构，但不指出图G和G1的Hamilton回路”或“指出图G1的一个Hamilton回路，但不指出图G和G1同构”；（5）P和V重复执行（1）至（4）共n次。§6.4零知识证明第37页,共55页，2024年2月25日，星期天信息安全概论382024/5/4非交互零知识证明协议是指证明者P和验证者V之间只需通过单向的、非交互的通信传递，就实现零知识性。证明者P可以公布证明，任何人可以花时间去检验该证明的正确性。非交互零知识证明，最好采用单向Hash函数代替V的功能。单向Hash函数为无偏的随机数，而使P不能进行欺诈。§6.4零知识证明第38页,共55页，2024年2月25日，星期天信息安全概论392024/5/4身份认证又称作识别(Identification)、实体认证(EntityAuthentication)、身份证实(IdentityVerification)等。它与消息认证的区别在于：身份认证一般都是实时的，而消息认证本身不提供时间性；另一方面，身份认证通常证实身份本身，而消息认证除了认证消息的合法性和完整性外，还要知道消息的含义。在一个竞争和斗争的现实社会，身份欺诈是不可避免的。因此常常需要证明个人的身份。传统的身份认证一般是通过检验“物”的有效性来确认持该物者的身份。“物”可以为徽章、工作证、信用卡、身份证、护照等，卡上含有个人照片，并有权威机构签章。§6.5身份认证第39页,共55页，2024年2月25日，星期天信息安全概论402024/5/4随着信息化和网络化业务的发展，这类依靠人工的识别工作已逐步由机器通过数字化方式来实现。在信息化社会中，随着信息业务的扩大，要求验证的对象集合也迅速加大，大大增加了身份认证的复杂性和实现的困难性。通常，身份认证是通过三种基本方式或其组合方式来完成：（1）用户所知道的某个秘密信息，如用户口令。（2）用户所持有的某个秘密信息（硬件），即用户必须持有合法的随身携带的物理介质，如磁卡、智能卡或用户所申请领取的公钥证书。（3）用户所具有的某些生物特征，如指纹，声音，DNA图案，视网膜扫描等。§6.5身份认证第40页,共55页，2024年2月25日，星期天信息安全概论412024/5/4口令认证：最简单、最普遍的身份识别技术，如各类系统的登录等。口令具有共享秘密的属性，口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令；还有基于时间的口令。§6.5身份认证第41页,共55页，2024年2月25日，星期天信息安全概论422024/5/4这种方法的缺点是：（1）其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，因此这种方案不能抵御口令猜测攻击。（2）大多数系统的口令是明文传送到验证服务器的，容易被截获。（3）口令维护的成本较高。为保证安全性，口令应当经常更换。另外为避免对口令的字典攻击，口令应当保证一定的长度，并且尽量采用随机的字符。但缺点是难于记忆。（4）口令容易在输入的时候被攻击者偷窥，而且用户无法及时发现。§6.5身份认证第42页,共55页，2024年2月25日，星期天信息安全概论432024/5/4数字证书：这是一种检验用户身份的电子文件，也是企业现在可以使用的一种工具。这种证书可以授权购买，提供更强的访问控制，并具有很高的安全性和可靠性。非对称体制身份识别的关键是将用户身份与密钥绑定。CA(CertificateAuthority)通过为用户发放数字证书来证明用户公钥与用户身份的对应关系。验证者向用户提供一随机数；用户以其私钥SK对随机数进行签名，将签名和自己的证书提交给验证方；验证者验证证书的有效性，从证书中获得用户公钥PK，以PK验证用户签名的随机数。§6.5身份认证第43页,共55页，2024年2月25日，星期天信息安全概论442024/5/4智能卡：网络通过用户拥有什么东西来识别的方法，一般是用智能卡或其它特殊形式的标志，这类标志可以从连接到计算机上的读取器读出来。访问不但需要口令，也需要使用物理智能卡。智能卡技术将成为用户接入和用户身份认证等安全要求的首选技术。用户将从持有认证执照的可信发行者手里取得智能卡安全设备，也可从其他公共密钥密码安全方案发行者那里获得。这样智能卡的读取器必将成为用户接入和认证安全解决方案的一个关键部分。§6.5身份认证第44页,共55页，2024年2月25日，星期天信息安全概论452024/5/4主体特征认证：目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器等。安全性高。例如：系统中存储了他的指纹，他接入网络时，就必须在连接到网络的电子指纹机上提供他的指纹（这就防止他以假的指纹或其它电子信息欺骗系统），只有指纹相符才允许他访问系统。更普通的是通过视网膜膜血管分布图来识别，原理与指纹识别相同，声波纹识别也是商业系统采用的一种识别方式。

§6.5身份认证第45页,共55页，2024年2月25日，星期天信息安全概论462024/5/4一、Kerberos简介

Kerberos：希腊神话“三个头的狗——地狱之门守护者”希望有三个功能：身份认证、记账、审核。

Kerberos针对分布式环境，一些工作站可能安装于不安全场所，而且用户也并非是完全可信的。客户在登录时，需要认证。用户必须获得由认证服务器发行的许可证，才能使用目标服务器上的服务。许可证提供被认证的用户访问一个服务时所需的授权资格。所有客户和服务器间的会话都是暂时的。§6.5身份认证—Kerberos认证系统第46页,共55页，2024年2月25日，星期天信息安全概论472024/5/4当用户C申请得到某服务程序S的服务时，用户和服务程序向Kerberos要求认证对方的身份，认证建立在用户和服务程序对Kerberos信任基础上。在申请认证时，C和S都是Kerberos认证服务的用户。当用户登录到工作站时，Kerberos对用户进行初始认证，此后用户可以在整个登录时间得到相应的服务。

Kerberos不依赖用户的终端或请求服务的安全机制，认证工作由认证服务器完成。时间戳技术被应用于防止重放攻击。

Kerberos保存用户及其密钥的数据库。共享密钥只被用户和Kerberos知道，由用户在登记时与Kerberos商定。使用共享密钥，Kerberos可以创建消息确认用户的真实性。Kerberos还产生一个会话密钥，通信双方在具体的通信中使用。§6.5身份认证—Kerberos认证系统第47页,共55页，2024年2月25日，星期天信息安全概论482024/5/4

Kerberos提供三种安全等级：1)只在网络开始连接时进行认证，认为连接建立起来后的通信是可靠的。2)安全消息传递：对每次消息都进行认证工作，但是不保证每条消息不被泄露。3)私有消息传递：不仅对每条消息进行认证，而且对每条消息进行加密。Kerberos在发送密码时就采用私有消息模式。§6.5身份认证—Kerberos认证系统第48页,共55页，2024年2月25日，星期天信息安全概论492024/5/4二、Kerberos工作原理常用术语的简写：C：客户机AS：认证服务器V：服务器IDc、IDv、IDtgs分别为C、V、TGS的身份ADc：用户的网络地址TSi：第i个时戳Lifetime：第I个有效期限Pc：C上的用户口令Kc：C和AS的共享密钥Kv：V和TGS的共享密钥Ktgs：TGS和AS的共享密钥Kc,tgs：C与TGS的共享密钥Kc,v：C与V的共享密钥CVAS(1)(2)(3)TGS(4)(5)(6)§6.5身份认证—Kerberos认证系统第49页,共55页，2024年2月25日，星期天信息安全概论502024/5/4用户C请求服务S的整个Kerberos认证过程：1、认证服务交换（1）CAS：IDC||IDtgs||TS1（2）ASC：EKc[Kc，tgs||IDtgs||TS2||Lifetime2||Tickettgs]其中：Tickettgs=EKtgs[Kc,tgs||IDc||ADc||IDtgs||TS2||Lifetime2]说明：不输入C的口令，就不能解开来自

AS的信息TS1时戳用来防止重放攻击；Kc

由用户口令导出；Kc，tgs

是

C和

TGS间的会话密钥。

§6.5身份认证—Kerberos认证系统第50页,共55页，2024