服务器B的名字。这表明A请求B的服务。请注意,现在A向TGs证明自己的身份并非通过键入口令(因为入侵者能够从网上截获明文口令),而是通过转发As发出的票据(只有A才能提取出)。票据是加密的,入侵者伪造不了。

   用Ks加密的时间戳r。它用来D44165184F5-E37-EQ1防止入侵者的重放攻击。

   TGs发送两个票据,每一个都包含A和B通信的会话密钥KA:。给A的票据用砜加密;给B的票据用B的密钥丸力口密。请注意,现在入侵者不能提取KA:,因为不知道KA和蚝。入侵者也不能重放步骤③,因为入侵者不能把时间戳更换为一个新的(因为不知道蟋)。如果入侵者在时间戳到期之前,非常迅速地发送步骤③的报文,那么对TGS发送过来的两个票据仍然不能解密。

   A向B转发TGs发来的票据,同时发送用KA:加密的时间戳r。

   B把时间戳Γ加1来证实收到了票据。B向A发送的报文用密钥K%:加密。以后,A和B就使用TGS给出的会话密钥KA:进行通信。顺便指出,Kerberos要求所有使用Kerberos的主机必须在时钟上进行“松散的”同步。所谓“松散的”同步是要求所有主机的时钟误差不能太大,例如,不能超过5分钟的数量级。这个要求是为了防止重放攻击。TGs发出的票据都设置较短的有效期。超过有效期的票据就作废了。因此入侵者即使截获了某个票据,也不能长期保留用来进行以后的重放攻击。

   在公钥密码体制中,如果每个用户都具有其他用户的公钥,就可实现安全通信。看来好像可以随意公布用户的公钥。其实不然。设想用户A要欺骗用户B。A可以向B发送一份伪造是C发送的报文。A用自己的秘密密钥进行数字签名,并附上A自己的公钥,谎称这公钥是C的。B如何知道这个公钥不是C的呢?显然,这需要有一个值得信赖的机构来将公钥与其对应的实体(人或机器)进行绑定lbinding)。这样的机构就叫作认证中心CA(CC⒒i丘c犹ion Author灯),它一般由政府出资建立。每个实体都有CA发来的证书(ce⒒i丘G狨e),里面有公钥及其拥有者的标识信息(人名或IP地址)。此证书被CA进行了数字签名。任何用户都可从可信的地方(如代表政府的报纸)获得认证中心CA的公钥,此公钥用来验证某个公钥是否为某个实体所拥有(通过向CA查询)。