信息安全原理与应用第八章课件

信息安全原理与应用第八章鉴别协议本章由王昭主写1信息安全原理与应用1讨论议题密码协议鉴别协议鉴别与密钥交换协议2讨论议题密码协议2协议(protocol)协议指的是双方或多方通过一系列规定的步骤来完成某项任务。协议的含义：第一，协议自开始至终是有序的过程，每一步骤必须依次执行。第二，协议至少需要两个参与者第三，通过执行协议必须完成某项任务。3协议(protocol)协议指的是双方或多方通过一系列规定的对协议的攻击攻击目标攻击协议使用的密码算法和密码技术攻击协议本身攻击方式被动攻击：与协议无关的人能窃听协议的一部分或全部。主动攻击：改变协议以便对自己有利。假冒、删除、代替、重放4对协议的攻击攻击目标4密码协议使用密码的具有安全性功能的协议称为安全协议或密码协议.根据协议的功能:密钥建立协议(keyestablishmentprotocol):建立共享秘密鉴别协议(authenticationprotocol):向一个实体提供对他想要进行通信的另一个实体的身份的某种程度的确认.鉴别的密钥建立协议(authenticatedkeyestablishmentprotocol):与另一个身份已被或可被证实的实体之间建立共享秘密.……5密码协议使用密码的具有安全性功能的协议称为安全协议或密码协议认证、鉴别和识别认证(certification)资质的证明鉴别(authentication)真伪的证明，结果只有两个识别(identification)区分不同的东西6认证、鉴别和识别认证(certification)6

讨论议题密码协议鉴别协议鉴别与密钥交换协议7讨论议题密码协议7讨论议题鉴别协议实体鉴别的基本概念鉴别机制8讨论议题鉴别协议8实体鉴别(EntityAuthentication)Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.Authenticityappliestoentitiessuchasusers,processes,systemsandinformation.实体鉴别就是确认实体是它所声明的。实体鉴别是最重要的安全服务之一。鉴别服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务）实体鉴别可以对抗假冒攻击的危险9实体鉴别(EntityAuthentication)The实体鉴别的需求和目的实体鉴别需求：

某一成员（声称者）提交一个主体的身份并声称它是那个主体。实体鉴别目的：

使别的成员（验证者）获得对声称者所声称的事实的信任。

10实体鉴别的需求和目的实体鉴别需求：

某一成员（声称者

实体鉴别与消息鉴别的差别实体鉴别一般都是实时的，消息鉴别一般不提供时间性。实体鉴别只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。数字签字主要用于证实消息的真实来源。但在身份鉴别中消息的语义是基本固定的，一般不是“终生”的，签字是长期有效的。11实体鉴别与消息鉴别的差别实体鉴别一般都是实时的，消息鉴别实体鉴别系统的组成一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trustedthirdparty)，参与调解纠纷。第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。12实体鉴别系统的组成一方是出示证件的人，称作示证者P(Prov鉴别模型

13鉴别模型13对身份鉴别系统的要求

（1）验证者正确识别合法申请者的概率极大化。（2）不具有可传递性（Transferability)

（3）攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度（4）计算有效性（5）通信有效性（6）秘密参数能安全存储*（7）交互识别*（8）第三方的实时参与*（9）第三方的可信赖性*（10）可证明的安全性14对身份鉴别系统的要求（1）验证者正确识别合法申请者的概率极实现身份鉴别的途径三种途径之一或他们的组合（1）所知（Knowledge）:密码、口令（2）所有（Possesses):身份证、护照、信用卡、钥匙（3）个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征设计依据：安全水平、系统通过率、用户可接受性、成本等15实现身份鉴别的途径三种途径之一或他们的组合15

讨论议题鉴别协议实体鉴别的基本概念鉴别机制16讨论议题鉴别协议16鉴别机制的基本类别

17鉴别机制的基本类别17讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别18讨论议题鉴别机制18口令机制

常规的口令方案涉及不随时间变化的口令，提供所谓的弱鉴别(weakauthentication)。口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为5~8的字符串。选择原则：易记、难猜、抗分析能力强。口令系统有许多脆弱点：

外部泄露

口令猜测

线路窃听

危及验证者

重放19口令机制常规的口令方案涉及不随时间变化的口令，提供所谓的弱对付外部泄露的措施教育、培训；严格组织管理办法和执行手续；口令定期改变；每个口令只与一个人有关；输入的口令不再现在终端上；使用易记的口令，不要写在纸上。20对付外部泄露的措施教育、培训；20对付口令猜测的措施教育、培训；严格限制非法登录的次数；口令验证中插入实时延迟；限制最小长度，至少6~8字节以上防止用户特征相关口令，口令定期改变；及时更改预设口令；使用机器产生的口令。21对付口令猜测的措施教育、培训；21对付线路窃听的措施使用保护口令机制：如单向函数。22对付线路窃听的措施使用保护口令机制：如单向函数。22对付危及验证者的措施

23对付危及验证者的措施23主要缺陷及对策攻击者很容易构造一张q与p对应的表，表中的p尽最大可能包含所期望的值。随机串（Salt）是使这种攻击变得困难的一种办法。在口令后使用随机数。只能保护在多台计算机上使用相同口令或在同一计算机上使用同一口令的不同用户。24主要缺陷及对策攻击者很容易构造一张q与p对应的表，表中的p尽讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别25讨论议题鉴别机制25一次性口令机制近似的强鉴别（towardsstrongauthentication)一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击。确定口令的方法：两端秘密共享一串随机口令，在该串的某一位置保持同步，此方案有两端需要维护秘密随机串表的缺点；顺序更新一次性口令，使用旧的口令把新的口令加密传输过去。26一次性口令机制近似的强鉴别（towardsstronga双因素动态口令卡基于密钥/时间双因素的身份鉴别机制；27双因素动态口令卡基于密钥/时间双因素的身份鉴别机制；27讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别28讨论议题鉴别机制28强鉴别强鉴别（strongauthentication)：通过密码学的询问-应答(challenge-response)协议实现的身份鉴别，询问-应答协议的思想是一个实体向另一个实体证明他知道有关的秘密知识，但不向验证者提供秘密本身。这通过对一个时变的询问提供应答来实现，应答通常依赖于实体的秘密和询问。询问通常是一个实体选择的一个数（随机和秘密地）。29强鉴别强鉴别（strongauthentication)：

3030讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别31讨论议题鉴别机制31

零知识证明技术零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。32零知识证明技术零知识证明技术可使信息的拥有者无需泄露任何讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别33讨论议题鉴别机制33基于地址的机制基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。基于地址的机制自身不能被作为鉴别机制，但可作为其它机制的有用补充。34基于地址的机制基于地址的机制假定声称者的可鉴别性是以呼叫的源讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别35讨论议题鉴别机制35基于个人特征的机制生物特征识别技术主要有：

1）指纹识别；

2）声音识别；

3）手迹识别；

4）视网膜扫描；

5）手形。

这些技术的使用对网络安全协议不会有重要的影响。36基于个人特征的机制生物特征识别技术主要有：

讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别37讨论议题鉴别机制37个人鉴别令牌物理特性用于支持鉴别“某人拥有某东西”，但通常要与一个口令或PIN结合使用。38个人鉴别令牌物理特性用于支持鉴别“某人拥有某东西”，但通常

讨论议题密码协议鉴别协议鉴别与密钥交换协议39讨论议题密码协议39设计鉴别交换协议鉴别和密钥交换协议的核心问题有两个：保密性时效性针对不同验证者的重放，使用发送验证者的标识符。针对同一验证者的重放对策是使用非重复值：序列号时间戳随机值相互鉴别交换协议必须为此目的而特别地进行设计。40设计鉴别交换协议鉴别和密钥交换协议的核心问题有两个：40讨论议题鉴别与交换协议实例CHAPS/KeyKerberosX.509鉴别服务41讨论议题鉴别与交换协议实例41CHAP(challenge-HandshakeAuthenticationProtocol)询问握手鉴别协议(CHAP)：RFC1994拨号用户鉴别协议，采用提问/应答方式进行鉴别，通过在PPP链接的双方进行一次三次握手，完成对对方身份的鉴别42CHAP(challenge-HandshakeAuth4343

讨论议题鉴别与交换协议实例CHAPS/KeyKerberosX.509鉴别服务44讨论议题鉴别与交换协议实例44S/Key协议S/KEY由贝尔实验室于1994年公开发布并在RF1760中定义，是基于MD4、MD5的一次性口令生成机制

S/keyprotocol主要用于防止重放攻击45S/Key协议45S/KEY协议组成三个组成部分客户端程序：为端用户提供登录程序，并在得到服务器质询值时，获取用户私钥，并调用口令计算器形成本次鉴别口令，然后发送给服务器程序口令计算器：负责产生本次口令服务器程序：验证用户口令整个过程中，用户的私钥不会暴露在网络上46S/KEY协议组成三个组成部分464747

讨论议题鉴别与交换协议实例CHAPS/KeyKerberosX.509鉴别服务48讨论议题鉴别与交换协议实例48

80年代中期是MIT的Athena工程的产物版本前三个版本仅用于内部第四版得到了广泛的应用第五版于1989年开始设计RFC1510,1993年确定标准KerberosKerberos历史4980年代中期Kerberos历史49Kerberos要解决的问题和方案在一个开放的分布式网络环境中，防止一个非授权用户能够获得其无权访问的服务或数据。不是为每一个服务器构造一个身份鉴别协议，Kerberos提供一个中心鉴别服务器，提供用户到服务器和服务器到用户的鉴别服务。Kerberos采用传统加密算法。KerberosVersion4和Version5(RFC1510)。Kerberos系统应满足的要求：安全、可靠、透明、可伸缩。50Kerberos要解决的问题和方案在一个开放的分布式网络环境

Kerberos协议中一些概念Principal(安全个体)被鉴别的个体，有一个名字(name)和口令(password)KDC(Keydistributioncenter)是一个网络服务，提供ticket和临时的会话密钥Ticket一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket中的大多数信息都被加密，密钥为服务器的密钥Authenticator一个记录，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥51Kerberos协议中一些概念Principal(安全Kerberos模型

52Kerberos模型52Kerberos版本4

53Kerberos版本453Kerberos版本5

54Kerberos版本554KerberosVersion5改进version4的环境缺陷加密系统依赖性Internet协议依赖性消息字节次序Ticket的时效性AuthenticationforwardingInter-realmauthentication55KerberosVersion5改进version4KerberosVersion5改进Version4的技术缺陷DoubleencryptionPCBCencryptionSessionkeyPasswordattacks56KerberosVersion5改进Version4

Kerberos鉴别协议小结特点基于口令的鉴别协议利用对称密码技术建立起来的鉴别协议可伸缩性——可适用于分布式网络环境环境特点User-to-serverauthentication57Kerberos鉴别协议小结特点57

讨论议题鉴别与交换协议实例CHAPS/KeyKerberosX.509鉴别服务58讨论议题鉴别与交换协议实例58X.509鉴别交换协议单向鉴别双向鉴别三向鉴别59X.509鉴别交换协议单向鉴别59总结与Kerberos协议相比，X.509鉴别交换协议有一个很大的优点：X.509不需要物理上安全的在线服务器，因为一个证书包含了一个认证授权机构的签名。公钥证书可离线分配。

X.509双向交换拥有Kerberos的缺陷，即依赖于时戳，而X.509三向交换克服了这一缺陷。60总结与Kerberos协议相比，X.509鉴别交换协议有一个

参考文献王昭，袁春编著.陈钟审校.信息安全原理与应用.北京:电子工业出版社，2010.MITKerberosWebSite:/kerberos/wwwUSC/ISIKerberosPage:Password-to-KeyTransformationPropagatingCipherBlockChainingModeWilliamStallings,Cryptographyandnetworksecurity:principlesandpractice,SecondEditionBruceShneier,Appliedcryptography:protocols,algorithms,andsourcecodeinC,SecondEdition.61参考文献王昭，袁春编著.陈钟审校.信息安全原理与应参考文献AlfredJ.Menezes,Handbookofappliedcryptography,CRCPress,1997GB/T15843.1-1999信息技术安全技术实体鉴别第一部分:概述ISO/IEC9798-1：1997GB/T15843.2-1997信息技术安全技术实体鉴别第二部分:采用对称加密算法的机制ISO/IEC9798-2：1994GB/T15843.3-1999信息技术安全技术实体鉴别第三部分:采用非对称签名技术的机制ISO/IECDIS9798-3：1997GB/T15843.4-1999信息技术安全技术实体鉴别第四部分:采用密码校验函数的机制ISO/IEC9798-4：1995……62参考文献AlfredJ.Menezes,Handboo

信息安全原理与应用第八章鉴别协议本章由王昭主写63信息安全原理与应用1讨论议题密码协议鉴别协议鉴别与密钥交换协议64讨论议题密码协议2协议(protocol)协议指的是双方或多方通过一系列规定的步骤来完成某项任务。协议的含义：第一，协议自开始至终是有序的过程，每一步骤必须依次执行。第二，协议至少需要两个参与者第三，通过执行协议必须完成某项任务。65协议(protocol)协议指的是双方或多方通过一系列规定的对协议的攻击攻击目标攻击协议使用的密码算法和密码技术攻击协议本身攻击方式被动攻击：与协议无关的人能窃听协议的一部分或全部。主动攻击：改变协议以便对自己有利。假冒、删除、代替、重放66对协议的攻击攻击目标4密码协议使用密码的具有安全性功能的协议称为安全协议或密码协议.根据协议的功能:密钥建立协议(keyestablishmentprotocol):建立共享秘密鉴别协议(authenticationprotocol):向一个实体提供对他想要进行通信的另一个实体的身份的某种程度的确认.鉴别的密钥建立协议(authenticatedkeyestablishmentprotocol):与另一个身份已被或可被证实的实体之间建立共享秘密.……67密码协议使用密码的具有安全性功能的协议称为安全协议或密码协议认证、鉴别和识别认证(certification)资质的证明鉴别(authentication)真伪的证明，结果只有两个识别(identification)区分不同的东西68认证、鉴别和识别认证(certification)6

讨论议题密码协议鉴别协议鉴别与密钥交换协议69讨论议题密码协议7讨论议题鉴别协议实体鉴别的基本概念鉴别机制70讨论议题鉴别协议8实体鉴别(EntityAuthentication)Thepropertythatensuresthattheidentityofasubjectorresourceistheoneclaimed.Authenticityappliestoentitiessuchasusers,processes,systemsandinformation.实体鉴别就是确认实体是它所声明的。实体鉴别是最重要的安全服务之一。鉴别服务提供了关于某个实体身份的保证。（所有其它的安全服务都依赖于该服务）实体鉴别可以对抗假冒攻击的危险71实体鉴别(EntityAuthentication)The实体鉴别的需求和目的实体鉴别需求：

某一成员（声称者）提交一个主体的身份并声称它是那个主体。实体鉴别目的：

使别的成员（验证者）获得对声称者所声称的事实的信任。

72实体鉴别的需求和目的实体鉴别需求：

某一成员（声称者

实体鉴别与消息鉴别的差别实体鉴别一般都是实时的，消息鉴别一般不提供时间性。实体鉴别只证实实体的身份，消息鉴别除了消息的合法和完整外，还需要知道消息的含义。数字签字主要用于证实消息的真实来源。但在身份鉴别中消息的语义是基本固定的，一般不是“终生”的，签字是长期有效的。73实体鉴别与消息鉴别的差别实体鉴别一般都是实时的，消息鉴别实体鉴别系统的组成一方是出示证件的人，称作示证者P(Prover)，又称声称者(Claimant)。另一方为验证者V（Verifier),检验声称者提出的证件的正确性和合法性，决定是否满足要求。第三方是可信赖者TP（Trustedthirdparty)，参与调解纠纷。第四方是攻击者，可以窃听或伪装声称者骗取验证者的信任。74实体鉴别系统的组成一方是出示证件的人，称作示证者P(Prov鉴别模型

75鉴别模型13对身份鉴别系统的要求

（1）验证者正确识别合法申请者的概率极大化。（2）不具有可传递性（Transferability)

（3）攻击者伪装成申请者欺骗验证者成功的概率要小到可以忽略的程度（4）计算有效性（5）通信有效性（6）秘密参数能安全存储*（7）交互识别*（8）第三方的实时参与*（9）第三方的可信赖性*（10）可证明的安全性76对身份鉴别系统的要求（1）验证者正确识别合法申请者的概率极实现身份鉴别的途径三种途径之一或他们的组合（1）所知（Knowledge）:密码、口令（2）所有（Possesses):身份证、护照、信用卡、钥匙（3）个人特征：指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征设计依据：安全水平、系统通过率、用户可接受性、成本等77实现身份鉴别的途径三种途径之一或他们的组合15

讨论议题鉴别协议实体鉴别的基本概念鉴别机制78讨论议题鉴别协议16鉴别机制的基本类别

79鉴别机制的基本类别17讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别80讨论议题鉴别机制18口令机制

常规的口令方案涉及不随时间变化的口令，提供所谓的弱鉴别(weakauthentication)。口令或通行字机制是最广泛研究和使用的身份鉴别法。通常为长度为5~8的字符串。选择原则：易记、难猜、抗分析能力强。口令系统有许多脆弱点：

外部泄露

口令猜测

线路窃听

危及验证者

重放81口令机制常规的口令方案涉及不随时间变化的口令，提供所谓的弱对付外部泄露的措施教育、培训；严格组织管理办法和执行手续；口令定期改变；每个口令只与一个人有关；输入的口令不再现在终端上；使用易记的口令，不要写在纸上。82对付外部泄露的措施教育、培训；20对付口令猜测的措施教育、培训；严格限制非法登录的次数；口令验证中插入实时延迟；限制最小长度，至少6~8字节以上防止用户特征相关口令，口令定期改变；及时更改预设口令；使用机器产生的口令。83对付口令猜测的措施教育、培训；21对付线路窃听的措施使用保护口令机制：如单向函数。84对付线路窃听的措施使用保护口令机制：如单向函数。22对付危及验证者的措施

85对付危及验证者的措施23主要缺陷及对策攻击者很容易构造一张q与p对应的表，表中的p尽最大可能包含所期望的值。随机串（Salt）是使这种攻击变得困难的一种办法。在口令后使用随机数。只能保护在多台计算机上使用相同口令或在同一计算机上使用同一口令的不同用户。86主要缺陷及对策攻击者很容易构造一张q与p对应的表，表中的p尽讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别87讨论议题鉴别机制25一次性口令机制近似的强鉴别（towardsstrongauthentication)一次性口令机制确保在每次鉴别中所使用的口令不同，以对付重放攻击。确定口令的方法：两端秘密共享一串随机口令，在该串的某一位置保持同步，此方案有两端需要维护秘密随机串表的缺点；顺序更新一次性口令，使用旧的口令把新的口令加密传输过去。88一次性口令机制近似的强鉴别（towardsstronga双因素动态口令卡基于密钥/时间双因素的身份鉴别机制；89双因素动态口令卡基于密钥/时间双因素的身份鉴别机制；27讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别90讨论议题鉴别机制28强鉴别强鉴别（strongauthentication)：通过密码学的询问-应答(challenge-response)协议实现的身份鉴别，询问-应答协议的思想是一个实体向另一个实体证明他知道有关的秘密知识，但不向验证者提供秘密本身。这通过对一个时变的询问提供应答来实现，应答通常依赖于实体的秘密和询问。询问通常是一个实体选择的一个数（随机和秘密地）。91强鉴别强鉴别（strongauthentication)：

9230讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别93讨论议题鉴别机制31

零知识证明技术零知识证明技术可使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。94零知识证明技术零知识证明技术可使信息的拥有者无需泄露任何讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别95讨论议题鉴别机制33基于地址的机制基于地址的机制假定声称者的可鉴别性是以呼叫的源地址为基础的。基于地址的机制自身不能被作为鉴别机制，但可作为其它机制的有用补充。96基于地址的机制基于地址的机制假定声称者的可鉴别性是以呼叫的源讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别97讨论议题鉴别机制35基于个人特征的机制生物特征识别技术主要有：

1）指纹识别；

2）声音识别；

3）手迹识别；

4）视网膜扫描；

5）手形。

这些技术的使用对网络安全协议不会有重要的影响。98基于个人特征的机制生物特征识别技术主要有：

讨论议题鉴别机制口令机制一次性口令机制基于密码算法的鉴别零知识证明协议基于地址的机制基于个人特征的机制基于设备的鉴别99讨论议题鉴别机制37个人鉴别令牌物理特性用于支持鉴别“某人拥有某东西”，但通常要与一个口令或PIN结合使用。100个人鉴别令牌物理特性用于支持鉴别“某人拥有某东西”，但通常

讨论议题密码协议鉴别协议鉴别与密钥交换协议101讨论议题密码协议39设计鉴别交换协议鉴别和密钥交换协议的核心问题有两个：保密性时效性针对不同验证者的重放，使用发送验证者的标识符。针对同一验证者的重放对策是使用非重复值：序列号时间戳随机值相互鉴别交换协议必须为此目的而特别地进行设计。102设计鉴别交换协议鉴别和密钥交换协议的核心问题有两个：40讨论议题鉴别与交换协议实例CHAPS/KeyKerberosX.509鉴别服务103讨论议题鉴别与交换协议实例41CHAP(challenge-HandshakeAuthenticationProtocol)询问握手鉴别协议(CHAP)：RFC1994拨号用户鉴别协议，采用提问/应答方式进行鉴别，通过在PPP链接的双方进行一次三次握手，完成对对方身份的鉴别104CHAP(challenge-HandshakeAuth10543

讨论议题鉴别与交换协议实例CHAPS/KeyKerberosX.509鉴别服务106讨论议题鉴别与交换协议实例44S/Key协议S/KEY由贝尔实验室于1994年公开发布并在RF1760中定义，是基于MD4、MD5的一次性口令生成机制

S/keyprotocol主要用于防止重放攻击107S/Key协议45S/KEY协议组成三个组成部分客户端程序：为端用户提供登录程序，并在得到服务器质询值时，获取用户私钥，并调用口令计算器形成本次鉴别口令，然后发送给服务器程序口令计算器：负责产生本次口令服务器程序：验证用户口令整个过程中，用户的私钥不会暴露在网络上108S/KEY协议组成三个组成部分4610947

讨论议题鉴别与交换协议实例CHAPS/KeyKerberosX.509鉴别服务110讨论议题鉴别与交换协议实例48

80年代中期是MIT的Athena工程的产物版本前三个版本仅用于内部第四版得到了广泛的应用第五版于1989年开始设计RFC1510,1993年确定标准KerberosKerberos历史11180年代中期Kerberos历史49Kerberos要解决的问题和方案在一个开放的分布式网络环境中，防止一个非授权用户能够获得其无权访问的服务或数据。不是为每一个服务器构造一个身份鉴别协议，Kerberos提供一个中心鉴别服务器，提供用户到服务器和服务器到用户的鉴别服务。Kerberos采用传统加密算法。KerberosVersion4和Version5(RFC1510)。Kerberos系统应满足的要求：安全、可靠、透明、可伸缩。112Kerberos要解决的问题和方案在一个开放的分布式网络环境

Kerberos协议中一些概念Principal(安全个体)被鉴别的个体，有一个名字(name)和口令(password)KDC(Keydistributioncenter)是一个网络服务，提供ticket和临时的会话密钥Ticket一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket中的大多数信息都被加密，密钥为服务器的密钥Authenticator一个记录，其中包含一些最近产生的信息，产生这些信息需要用到客户和服务器之间共享的会话密钥113Kerberos协议中一些概念Principal(安全Kerberos模型

114Kerberos模型52Kerberos版本4

115Kerberos版本453Kerberos版本5

116Kerberos版本554KerberosVersion5改进version4的环境缺陷加密系统依赖性Internet协