第2 章 网络安全技术 35 V→C:E Kc,v [TS5+1] 其中AuthenticatorV= E Kc,v [IDC‖ADC ‖TS5] 具体解释如下: (1)客户向 AS 发出访问 TGS 的请求,请求中的时戳用以向 AS 表示这一请求是新的
(2)AS向C发出应答,应答由从用户的口令导出的密钥Kc加密,使得只有C能解读
应答的内容包括C与TGS会话所使用的密钥Kc,tgs、用以向C表示TGS身份的IDtgs、时戳TS2、AS向C发放的票据许可票据Tickettgs以及这一票据的截止期限lifetime2
(3)C 向 TGS 发出一个由请求提供服务的服务器的身份、第 2 步获得的票据以及一个认证符构成的消息
其中认证符中包括 C 上用户的身份、C 的地址及一个时戳
与票据不同,票据可重复使用且有效期较长,而认证符只能使用一次且有效期很短
TGS用与AS共享的密钥Ktgs解密票据后知道C已从AS处得到与自己会话的会话密钥Kc,tgs,票据Tickettgs在这里的含义事实上是“使用Kc,tgs的人就是C”
TGS也使用Kc,tgs解读认证符,并将认证符中的数据与票据中的数据加以比较,从而可相信票据的发送者的确是票据的实际持有者,这时认证符的含义实际上是“在时间TS3,C使用Kc,tgs”
这时的票据不能证明任何人的身份,只是用来安全地分配密钥,而认证符则是用来证明客户的身份
因为认证符仅能被使用一次且有效期很短,可防止票据和认证符被盗用
(4)TGS向C应答的消息由TGS和C共享的会话密钥加密后发往C,应答中的内容有C和V共享的会话密钥Kc,v、V的身份IDV、服务许可票据TicketV及票据的时戳
(5)C向服务器V发出服务许可票据TicketV和认证符Authenticatorc
服务器解读票据后得到会话密钥Kc,v,并由Kc,v解密认证符,以验证
