第8章 身份鉴别技术

1/43第1章密码学概述 第2章古典密码技术 第3章分组密码第4章公钥密码体制第5章散列函数与消息鉴别

第6章数字签名技术第7章密钥管理技术第8章身份鉴别技术第9章序列密码基础第10章密码技术应用课程主要内容问题的提出身份欺诈问题鉴别需求

某一成员（声称者）提交一个主体的身份并声称它是那个主体。鉴别目的

使别的成员（验证者）获得对声称者所声称的事实的信任。鉴别就是可信地确认实体是它所声明的。1.身份鉴别的概念为了保护网络资源及落实安全政策。需要提供可追究责任的机制，这里涉及到三个概念：认证、授权及审计。（1）鉴别Authentication：在做任何动作之前必须要有方法来识别动作执行者的真实身份。鉴别又称为认证。身份认证主要是通过标识和鉴别用户的身份，防止攻击者假冒合法用户获取访问权限。（2）授权Authorization：授权是指当用户身份被确认合法后，赋予该用户进行文件和数据等操作的权限。这种权限包括读、写、执行及从属权等。（3）审计Auditing：每一个人都应该为自己所做的操作负责，所以在做完事情之后都要留下记录，以便核查责任。 身份认证往往是许多应用系统中安全保护的第一道设防，它的失败可能导致整个系统的失败。身份鉴别的相关实体

（1）申请者（Claimant），出示身份信息的实体，又称作示证者（Prover），提出某种认证请求；（2）验证者（Verifier），检验申请者提供的认证信息的正确性和合法性，决定是否满足其认证要求；（3）攻击者，可以窃听和伪装申请者，骗取验证者的信任。（4）鉴别系统在必要时会有第三方，即可信赖者（可信第三方）参与仲裁。

对身份鉴别系统的主要要求（1）验证者正确鉴别合法申请者的概率极大化。（2）不具可传递性（Transferability），验证者B不可能重用申请者A提供给他的信息来伪装申请者A，而成功地骗取其他人的验证，从而得到信任。（3）攻击者伪装申请者欺骗验证者成功的概率要小到可以忽略的程度，能抗击已知密文攻击，即能对抗攻击者截获到申请者和验证者的多次通信密文，然后伪装申请者欺骗验证者。（4）计算有效性，为实现身份鉴别所需的计算量要小。（5）通信有效性，为实现身份鉴别所需通信次数和数据量要小。（6）秘密参数能安全存储。（7）相互鉴别，有些应用中要求双方能互相进行身份鉴别。（8）第三方的实时参与，如在线公钥检索服务。（9）第三方的可信赖性。（10）可证明安全性。2.身份鉴别的基本方法(按照证据特点)其它，如：相信可靠的第三方建立的鉴别（递推）。基于环境（如主机IP地址）。所知（Knowledge）验证实体所知什么，如一个秘密的口令或通行字。

所有（Possesses）验证实体拥有什么，如信物、通行证、智能IC卡。唯一特征（charecteristics）验证实体不可改变的特性，如指纹、声音等生物学测定得来的标识特征。SomethingyouknowSomethingyouhaveSomethingyouare针对身份鉴别的主要威胁和攻击手段主要威胁：假冒、伪造等。典型攻击手段

信道截获：由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和口令，或者其它有关的鉴别信息。口令猜测：

重放：非授权用户截获信息，然后再传送给接收者。

修改或伪造：非授权用户截获信息，替换或修改信息后再传送给接收者，或者非授权用户冒充合法用户发送信息。 其它：如反送攻击、交错攻击和选择性攻击等。①{IDA，IDB，rA}用户A用户B②{rB，Ek(rA)}③

{Ek(rB)}①{IDA，IDB，rT}对手T用户B②

{rB，Ek(rT)}①

{IDA，IDB，rB}③

{Ek(rB)}方案示意1②

{rB2，Ek(rB)}B等待D返回

Ek(rB)T怎么构造出Ek(rB)

？假定用户A、B已安全共享对称密钥k①{IDA，IDB，rA}用户A用户B②{Ek(rA，rB)}③

{rB’}①{IDB，IDA，rB}对手T用户B②{Ek(rB，rB2)}①{IDA，IDB，rB}②

{Ek(rB，rB2)}③

{rB2’}B等待T返回

Ek(rB，rA

)方案示意2假定用户A、B已安全共享对称密钥k特点：B的质问信息是密文！T怎么构造出Ek(rB，rA

)

？1、时间戳：A接受一个新消息仅当该消息包含一个时间戳，该时间戳在A看来，是足够接近A所知道的当前时间；这种方法要求不同参与者之间的时钟需要同步。2、质询/响应方式（Challenge/Response）：A期望从B获得一个新消息，首先发给B一个随机质询值(Challenge)，并要求后续从B收到的消息（Response）包含正确的这个质询值（或其函数）。保证消息的实时性的基本方法由于变化的和不可预见的网络延迟的本性，不能期望分布式时钟保持精确的同步。

因此，任何基于时间戳的过程必须采用时间窗的方式来处理：一方面时间窗应足够大以包容网络延迟，另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。安全的时间服务器用以实现时钟同步可能是最好的方法。质询/响应方式局限

不适应非连接性的应用，因为它要求在传输开始之前先有握手的额外开销，这就抵消了无连接通信的主要特点。时间戳方法局限：

（1）注册（2）登录（3）鉴别（4）口令修改（5）注销（选）典型身份鉴别协议的基本过程：静态口令鉴别(PAP;PasswordAuthenticationProtocol)一次性口令鉴别(OTP:OnetimePassword)双因子身份鉴别（如基于智能卡）生物特征鉴别弱身份鉴别机制3.常用身份鉴别技术3.1口令鉴别机制（1）静态口令鉴别(PAP;PasswordAuthenticationProtocol)目前常用的身份鉴别机制大都是基于静态口令的，属于最简单、传统的鉴别方法。该类系统为每个用户维护一个二元组信息(用户ID、口令)，登录系统时用户输入自己的ID和口令，鉴别服务器根据用户输入的信息和自己维护的信息进行匹配来判断用户身份的合法性。IDAPWAIDBPWB……用户A服务器IDA,PWAIDAh(PWA)IDBh(PWB)…….IDA，PWA用户A服务器·安全性分析：攻击者可事先计算好各种长度的字符串的消息摘要，并将其存放再文件（称为字典）中，一但攻击者的得到了存在服务器中的口令文件，直接和字典中的值相匹配，即可知道用户的口令(字典攻击）。引入单向加密机制基于单向函数的口令鉴别MD5在线破解：/13字节口令MD5加密MD5破解IDAh(PWA||saltA)IDBh(PWB||saltB)……用户A服务器IDA，PWAIDAsaltAIDBsaltB……

攻击者在事先进行计算各种长度的字符组成的口令的消息摘要时，由于每个用户的salt不同，攻击者必须把各种口令和salt进行组合进行散列运算，使得攻击者得到字典的难度增加。引入加扰机制

20世纪70年代UNIX操作系统采取的UNIXcrypt口令算法是一种口令加盐的方法。DESI=0(64bit)K=用户口令的前8个ASCII字符交换i与24+i随机选取12bit为salt（作扰乱因子）（基于当前时间）循环25次13byte的字符串存放在/etc/passwd文件的PASSWORD域。一次性口令的主要思路是:

在登录过程中加入不确定因素，使每次登录传送的鉴别信息都不相同，以提高登录过程安全性。（2）一次性口令鉴别机制（OneTimePassword）一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。确定口令的方法

（1）两端共同拥有一串随机口令，在该串的某一位置保持同步；

（2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；

（3）使用时戳，两端维持同步的时钟。IDAPW1IDAPW2……IDAPW1IDAPW2……IDA,PW11)共享一次性口令表(口令序列)一次性口令有许多形式：客户端服务器口令卡

给授权用户分配一个认证设备。通常称为“令牌”，它产生一登录时必须使用的代码。其原理是时间同步的动态口令。实现方法：—通过种子值和当前时间，采用伪随机算法产生令牌码；—安全(令牌服务器）通过基于其记录中的种子值，产生它自己的一个当前有效代码。然后与用户提交的代码相比较，达到对用户认证的目的；—缺点是算法不被信息系统使用者所知，存在安全风险，维护成本高。2）基于令牌的鉴别机制3)

基于时间同步的动态口令以用户登录时间作为随机因素；这种方式对双方的时间准确度要求较高。IDAf(PWA,x)IDBf(PWB,x)……IDA,PWA智能卡用户A服务器用户注册阶段(x为服务器秘密信息，可存储在智能卡中)PWA’IDATfgxTT’－T≤△T智能卡PWAIDAIDAf(PWA||x)gT比较客户端服务器基于时间同步的动态口令PWA’=g(f(PWA||x)||T)PWA’接受拒绝1)攻击者只知道用户的口令而没有用户的智能卡，则不能通过服务器的鉴别；2）攻击者只拥有用户的智能卡而不知道用户的口令，则不能通过服务器的鉴别；3）如果攻击者不能服务器进行时间同步，则攻击者不能通过服务器的鉴别。4)基于质询/应答机制的动态口令

IDAf(PWA||x)IDBf(PWB||x)……IDA,PWA

智能卡客户端服务器用户注册阶段(x为服务器秘密信息)fg智能卡随机数rxPWAIDAg比较客户端服务器基于质询/应答机制的动态口令

PWA’IDArPWA’=g(f(PWA||x)||r)IDAf(PWA||x)PWA’接受拒绝一个基于OTP的用户鉴别方案（S-key方案）用户鉴别过程三阶段：注册、登录、鉴别。IDA（请求登录）N（≠1）IDA,OTP=hN－1(PWA)若通过验证，则服务器用OTP替换用户鉴别信息,N=N－1直到N=1，显然用户注册一次可以登录N－1次。服务器UIDA

hN(PWA)NIDB

hN(PWB)N……

用户鉴别信息表服务器计算并验证等式，h(OTP)?=hN(PWA)问题：此方法如何体现OTP？它是如何保证鉴别的安全性的？1)重放攻击：由于用户每次登录的口令不同，因此攻击者把上一次的口令传送给服务器将通不过服务器的认证。2）口令以密文传输：口令散列后在通信信道中传输，因此攻击者截获口令的散列值后要计算用户的口令是困难的。安全性分析：

3.2基于智能卡鉴别机制：—智能卡（Smartcard）：是一个带CPU的安全芯片卡具有自己的操作系统COS，安全加解密算法；——一般为接触式的，用户需要读卡器；——内置加密口令或数字证书、私钥等，实现身份认证——缺点：费用高，需要读卡器。

工行U盾使用USB卡物理介质的证书认证方式。它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行数字签名。银行用数字证书验证客户的身份，确保客户为银行真正的客户，防止其他客户非法使用。

U盾具有不可复制性，仅由客户自己保管和使用，因此用了客户U盾以后，即便是有假网站、病毒感染、黑客入侵，不慎泄露银行卡和其他资料，只要物理U盾不丢失，PIN码不泄漏，仍然能确保资金从网上银行不会盗取。

3.3基于证书的身份认证

目前国内外普遍使用的、技术成熟的、可实际使用的还是基于证书的数字签名技术的认证。

作为公钥基础设施ＰＫＩ可提供多种网上安全服务，主要是认证、授权、数据保密性、数据完整性和不可否认性。安全的身份鉴别方案应该满足的两个要求：(1)A能向B证明自己的确是A；(2)当A向B证明了自己的身份后，B得不到任何用于假冒A的有用信息，B

无法向第三方声称自己是A。即：A向B证明自己的身份，但又不泄漏自己的秘密。身份鉴别的常用方法是：使验证方能验证出被验证方拥有一个不会被泄漏的秘密，

如：CA证书＋“三趟消息”。基于密码算法的鉴别协议、零知识证明技术：（略）

NEk(N)用户服务器IDRequestEk(N)?

质询—响应系统提示用户，要求每次登录都给出不同的回答。例如，系统可能显示一个四位数的询问数据，每个用户各拥有一个应答函数（如一次性口令鉴别器）以供计算。身份鉴别技术中的“三趟消息”4.零知识证明（1）目的：

向别人证明自己知道某个秘密信息，同时又不能让别人知道该秘密信息。（2）基本的零知识证明协议（J.J.Quisquater，L.C.Guillou）ABCD证明过程：（1）Bob站在A点。（2）Alice走进洞穴，到达C或D点。（3）在Alice消失后，Bob到达B点。（4）Bob命令Alice从左通道或右通道出来（随机）（5）Alice遵从Bob的命令，必要时利用咒语打开C、D间的密门。（6）Alice和Bob重复第(1)~(5)步n次。

若Alice不知道咒语，完成证明过程的概率只有(1/2)n。

用户Alice拥有某个秘密信息（如打开C、D间密门的咒语）；用户Alice要想Bob证明自己掌握该秘密，而又不能泄漏该秘密。零知识证明协议举例：

设p和q是两个大素数，n＝pq

。假设Alice知道n

的因子。如果Alice想让Bob相信他知道n的因子，但却不想让Bob知道n的因子。

则Alice和Bob可以执行下面的协议：

Bob随机选取一个大整数x

，计算

y＝x4modn

Bob将计算结果y

告诉Alice．

(2)Alice计算Bob验证:y?＝x2modn是否成立。Alice将结果z

告诉Bob

上述协议重复多次，若

Alice每次都能正确地计算则Bob就可以相信Alice知道n

的因子p和q。因为可以证明计算等价于对n进行因式分解。若Alice不知道n

的因子p和q，则计算是一个困难问题。因此，当在重复执行该协议的情况下，Alice都能正确地给出则Bob可以以非常大的概率认为Alice知道n的因子p

和q。而在协议执行过程中，Bob却没有得到关于n

的因子p和q的任何信息。提供机密性、完整性和身份鉴别的安全通信示例（发送端）对称密钥（随机产生）散列函数散列码（数字指纹）散列运算Alice的私钥签名运算Alice的数字签名Bob的公钥加密运算加密信息合并报文发送（不安全信道）明文消息Alice发送者Bob接收者数字信封加密运算Alice的公钥验证运算对称密钥Bob的私钥解密运算散列函数散列运算明文消息报文Bob接收者散列码解密运算分解Alice的数字签名加密信息数字信封通过（接收）失败（拒绝）提供机密性、完整性和身份鉴别的安全通信示例（接收端）身份鉴别技术应用实例：

KerberosKerberos需求安全：一个网络窃听者应该不能获得必要的信息来假装成另一个用户。更一般地，Kerberos应该足够强以防止潜在的对手发现脆弱的链路。可靠：对所有依赖Kerberos进行访问控制的服务来说，无法获得Kerberos服务就意味着无法获得所要求的服务。因此，Kerberos应该是高可靠性的，应该使用分布式的服务器结构，一个系统能够对另一个系统进行备份。透明：理想情况下，除了需要输入一个口令外，用户应该没有意识到鉴别服务的发生。可扩缩：系统应该拥有支持大量客户和服务器的能力。这意味着需要一个模块化的、分布式结构。一个简单的鉴别对话（1）C→AS:IDc||PWc||IDv（2）AS→C:Ticket（3）C→V:IDc||TicketTicket=Ekv[IDc||ADc||IDv]C:客户IDv:服务器标识符V:服务器PWc:用户口令AS:鉴别服务器ADc:C的网络地址IDc:

用户标识符Kv:AS和V的共享密钥CVAS(1)(2)(3)更安全的鉴别对话两个主要问题

1.用户每次访问一种新服务就需要一个新的票据，导致用户多次输入口令。

2.用明文传递的用户口令会被窃听。解决办法票据可重用避免明文口令采用票据许可服务器使用TGS的鉴别对话符号说明：Idtgs：TGS的标识符Kc：由用户口令导出的密钥TS1：时间戳TimeStampLifetime1、2：票据生存期每次用户的登陆会话:(1)CAS:IDc||IDtgs(2)ASC:

EKc[Tickettgs]每种服务类型一次：(3)CTGS:IDc||IDv||Tickettgs(4)TGSC:

TicketV每种服务会话一次：(5)CV:

IDc||TicketVTickettgs=EKtgs[IDc||ADc||IDtgs||TS1||Lifetime1]票据许可票据TicketV=EKv[IDc||ADc||IDV||TS2||Lifetime2]服务许可票据

Ktgs：AS与TGS的共享密钥KV：TGS与V的共享密钥

客户通过向AS发送用户ID、TGSID来请求一张代表该用户的票据许可票据。TGSID说明一个使用TGS服务的请求。AS发回一张加密过的票据作为响应，加密密钥是由用户口令导出的。当该响应到达客户端时，客户端提示用户输入口令，产生密钥，并试图对收到的报文解密。如果提供的口令正确，票据就能正确恢复。客户代表用户请求一张服务许可票据。为达到这个目的，客户向TGS发送一个包含用户ID、期望服务的ID和票据许可票据的报文。TGS对收到的票据进行解密，通过检查TGS的ID是否存在来验证解密是否成功。它检查票据中的生存期，确保它没有过期。然后比较用户的ID和网络地址与收到鉴别用户的信息是否一致。如果允许用户访问v，TGS就发回一张访问请求服务的许可票据。5.客户代表用户请求获得某项服务。为了达到这个目的，客户向服务器传送一个包含用户ID和服务许可票据的报文。服务器通过票据的内容进行鉴别。新的问题第一个问题是票据许可票据的生存期。如果这个生存期太短(如数分钟)，那么用户将总被要求输入口令。如果生存期太长(如数小时)，那么对手就有更多重放的机会。对手可以窃听网络，获得票据许可可票据的复制，然后等待合法用户的退出登录。这样对手便可伪造合法用户的网络地址，并向TGS发送步骤(3)中的报文。这将使对手可以没有限制地访问合法用户可获得的资源和文件。同样，如果对手截获服务许可票据，并在过期前使用它，对手便可访问相应的服务。因此，我们得出另外一个需求。网络服务(TGS或应用服务)必须能够证明使用票据的人就是申请票据的人。

新的问题第二个问题是双向鉴别：

向用户鉴别它自己。

没有这样的鉴别，对手可能会阴谋破坏系统配置，使发往服务器的报文被转送到另一个位置。

假的服务器在那充当真正的服务器，并接收来自用户的任何信息，拒绝向用户提供真正的服务。Kerberos第4版(a)鉴别服务交换：获得TGS许可票据(1)C→AS:IDC║IDtgs║TS1(2)AS→C:EKc［KC,tgs║IDtgs║TS2║Lifetime2║Tickettgs］

Tickettgs=EKtgs[Kc,tgs║IDc║ADc║IDtgs║TS2║Lifetime2］（可重用）(b)票据许可交换服务：获得服务许可票据(3)C→TGS:IDv║Tickettgs║Authenticatorc(4)TGS→C:EKctgs［Ke,v║IDv║TS4║Ticketv

］

Tickettgs=EktgsKc，tgs║IDc║ADc║IDtgs║TS2║Lifetime2］（可重用）

Ticketv=EKv［Kc,v║IDc║ADc║IDv║TS4║Lifetime4］（可重用）

Authenticatorc=EKc,tgs［IDc║ADc║TS3］（对抗重放Tickettgs）(c)客户/服务器鉴别交换：获得服务(5)C→V:Ticketv║Authenticatorc

(6)V→C:EKc,v

［TS5+1］（对于相互鉴别）

Ticketv=EKv［Kc,v║IDc║ADc║IDv║TS4║Lifetime4］（可重用）

Authenticatorc=EKc,v［IDc║ADc║TS5］鉴别服务交换阶段：获得TGS许可票据报文(1)客户请求票据许可票据（C→AS）IDc：从这个客户将用户的身份标识告诉ASIDtgs：告诉AS用户请求TGSTS1：允许AS验证客户的时钟是否与AS的时钟同步采用了时间戳TS1

，以便让AS知道报文是及时的。报文(2)AS返回票据许可票据（AS→C）EKc：基于用户口令的加密，使AS和客户能验证口令，并保护报文(2)的内容。Kc,tgs：客户可理解的会话密钥的副本；由AS生成允许客户与TGS间无需共享一个永久密钥就能安全交换报文。IDtgs：证实这张票据是给TGS的。TS2：通知客户这张票据发出的时间Lifetime2：通知客户这张票据的有效期Tickettgs：客户用来访问TGS的票据报文(3)客户请求服务许可票据(C→TGS)

IDv： 告诉TGS用户请求访问的服务器vTickettgs：使TGS确信这个用户已经经过AS的鉴别Authenticatorc：由客户产生用来证明票据的有效性，这可以用来防止攻击者重放票据许可票据报文(4)TGS返回的服务许可票据(TGS→C)Kc,tgs：由C和TGS共享的密钥；用来保护报文(4)Kc,tgs:

客户可理解的会话密钥的副本；由TGS生成，允许客户与服务器间无需共享一个永久密钥就能安全交换报文IDv： 证实这张票据是给服务器v的TS4： 通知客户这张票据发出的时间Ticketv：客户用来访问服务器V的票据票据许可服务交换：获得服务许可票据几个重要数据说明：Tickettgs

可重用，以便用户不用重新输人口令IDc:指明这张票据的合法拥有者ADc：防止在其它工作站上使用该票据的人不是票据的初始申请者报文(5)客户请求服务(C→V)Ticketv：客户用来访问服务器V的票据Authenticatorc：由客户产生,用来证明票据有效性的鉴别符客户/服务器鉴别交换：获得服务Ticketv=EKv［Kc,v║IDc║ADc║IDv║TS4║Lifetime4］Authenticatorc=EKc,v［IDc║ADc║TS5］报文(6)完成双向鉴别(V→C)

EKc,v［TS5+1］Kerberos鉴别过程AuthenticatorServer(AS)TicketGrantingServer(TGS)3.请求服务许可票据1.请求票据许可票据2.票据+会话密钥4.票据+会话密钥提供服务标识符5.请求服务Kerberos领域和多个Kerberos完整服务的Kerberos环境包含一个Kerberos服务器、许多客户和许多应用服务器。Kerberos环境有如下需求：Kerberos服务器的数据库必须包含所有参与用户的ID和用户口令的散列码。所有用户都向Kerberos服务器注册。Kerberos服务器必须与每个服务器共享一个密钥。所有服务器都向Kerberos服务器件注册。这样的环境被称为一个领域。不同行政组织下的由客户和服务器组成的网自成不同的领域。换句话说，这通常是不切实际的，或因不能肯定管理的策略，让在一个管月下的用户和服务器向别处的Kerberos服务器注册。然而，在一个领域中用户可能需要访问他领域的服务器，同时某些服务器可能也愿意向其他领域的用户提供服务，如果这些用户月过鉴别的。Kerberos领域Kerberos提供了一种支持不同领域间鉴别的机制。每个互操作领域中的Kerberos服务器要与另一个领域中的Kerberos服务器共享一个密钥。两个Kerberos服务器都必须相互注册。

这个方案需要一个领域中的Kerberos服务器信任另一个领域中Kerberos服务器鉴别的用户，并且第二个领域的参与服务器也愿意信任第一个领域中的Kerberos服务器。Kerberos领域AuthenticatorServer(AS)TicketGrantingServer(TGS)3.请求远程TGS票据1.请求票据许可票据2.票据+会话密钥4.远程TGS票据ASTGS5.请求远程服务许可票据6.远程服务器票据第4版与第5版的差异第5版打算两个方面改进第4版的不足：环境上的缺点技术上的不足第四版的缺陷环境上的不足加密系统的依赖性：第4版需要使用DES。在第5版中，密文被附上加密类型标识符以便可以使用任何加密技术。加密密钥也加上类型和长度标记，允许不同的算法使用同样的密钥，允许说明给定算法的不同版本。对Internet协议的依赖性：第4版需要使用网际协议(IP)地址。不提供其他地址类型，如ISO网络地址。第5版中的网络地址加上了类型和长度标记，允许使用任何类型的网络地址。第四版的缺陷(续1)报文字节序：在第4版中，发方的报文使用的字节序由它自己选择，可在报文中说明是低位字在低地址或者高位字在低地址。在第5版中，所有报文结构采用抽象语法记法(ASN．1)和基本编码规则(BER)，这将提供一个明确的字节序。票据有效期：有效期的值在第4版中是用8bit量编码的，每个单位是5分钟。这样最长的有效期可表示为28x5；1280分钟，或者21小时多一点。

这对某些应用来说可能是不够的(如运行时间很长的仿真在整个执行期间都需要Kerberos的鉴别证书)。

在第5版中，票据包含显式的开始时间和结束时间，允许票据有任意大小的有效期。第四版的缺陷(续2)鉴别的转发：第4版不允许发给一个用户的鉴别证书被转发到其他主机或被其他客户使用。这种能力可以使一个客户访问某服务器时，该服务器能以这个客户的名义访问另一个服务器。例如，一个客户向一个打印服务器发出请求，然后使用客户的访问鉴别证书从一个文件服务器访问该客户的文件。第5版提供了这种能力。领域间鉴别在第4版中，N个领域间的互操作需要如前面介绍的N