消息認(rèn)證與身份認(rèn)證的方法

4認(rèn)證技術(shù)目錄1.消息認(rèn)證2.身份認(rèn)證的方法3.身份認(rèn)證協(xié)議2023/1/824.1消息認(rèn)證4.1.1消息認(rèn)證的概念消息認(rèn)證是指使意定的接收者能夠檢驗收到的消息是否真實的方法。驗證的內(nèi)容包括消息的源和宿消息的完整性消息的序號和時間2023/1/834.1.2消息認(rèn)證的方法信息的來源信息源和宿的認(rèn)證可使用數(shù)字簽名技術(shù)和身份識別技術(shù)信息的完整性消息認(rèn)證碼（MAC）篡改檢測碼（MDC）信息的序號和時間:目的是阻止消息的重放攻擊流水作業(yè)號鏈接認(rèn)證符隨機數(shù)認(rèn)證法數(shù)字時戳2023/1/844.1.3消息認(rèn)證的模式1單向認(rèn)證2雙向認(rèn)證2023/1/854.1.4認(rèn)證函數(shù)（1）信息加密函數(shù)：用完整信息的密文作為對信息的認(rèn)證。(公鑰算法和對稱加密算法均可用于驗證)（2）信息認(rèn)證碼MAC：對信源消息的一個編碼。（3）散列函數(shù)：一個公開的函數(shù)，它將任意長的信息映射成一個固定長度的信息。2023/1/86消息認(rèn)證碼MACABMAC=H(M)MMAC=H(M)ABMAC=H(M)MAC’=H(M’)CM=M’MAC’=H(M’)MACMMACM’MAC’2023/1/87消息驗證碼MAC(con.)方法一:A和B共享一個密鑰K(其它人均不知)A計算散列值MAC=H(M,K),附在M之后發(fā)送給B.MAC=MD5(M+K)B收到M和H(M,K)之后計算H(M,K)并與收到的MAC比較ABMAC=H(M,K)MMAC’=H(M,K)MAC2023/1/88消息驗證碼MAC(con.)方法二:(對稱加密用于驗證信息完整性)A和B共享一個密鑰KA計算散列值Hash=H(M),用密鑰K和對稱加密算法DES加密該散列值MAC=DESK(MD5(M))B收到M和MAC之后用K和DES算法解密出散列值，并與由M算得的散列值作比較MHMAChEKMMAC2023/1/894.2身份認(rèn)證的方方法4.2.1身份認(rèn)證的概概念身份認(rèn)證又稱稱身份識別，，是通信和數(shù)數(shù)據(jù)系統(tǒng)正確確識別通信用用戶或終端的的個人身份的的重要途徑當(dāng)前用于身份份識別的技術(shù)術(shù)方法主要有有：所知、所所有、生物特特征以及多種種方法技術(shù)的的交互使用等等。2022/12/2910身份認(rèn)認(rèn)證的的方法法(con.)對用戶戶來看看，身身份認(rèn)認(rèn)證是是用戶戶獲得得對計計算機機系統(tǒng)統(tǒng)或網(wǎng)網(wǎng)絡(luò)的的訪問問權(quán)限限的第第一步步。對計算算機系系統(tǒng)來來看，，身份份認(rèn)證證是安安全防防御的的第一一道防防線，，是防防止非非授權(quán)權(quán)用戶戶或進(jìn)進(jìn)程進(jìn)進(jìn)入計計算機機系統(tǒng)統(tǒng)的有有效安安全保保障措措施。。身份認(rèn)證即即身份識別別與驗證(I&A)，是大多數(shù)數(shù)訪問控制制的基礎(chǔ)，，也是建立立用戶審計計能力的基基礎(chǔ)。訪問控制通通常要求計計算機系統(tǒng)統(tǒng)能夠識別別和區(qū)分用用戶，而且且通常是基基于最小特權(quán)原原理(LeastPrivilegeTheorem)。2022/12/2911身份認(rèn)證的的方法(con.)識別是用戶戶向系統(tǒng)提提供聲明身身份的方法法,驗證則是建建立這種聲聲明有效性性的手段。。計算機系統(tǒng)統(tǒng)識別用戶戶依賴的是是系統(tǒng)接收收到的驗證證數(shù)據(jù)：收集驗證數(shù)數(shù)據(jù)問題安全傳輸數(shù)數(shù)據(jù)問題怎樣知道使使用計算機機系統(tǒng)的用用戶就是當(dāng)當(dāng)初驗證通通過的用戶戶問題2022/12/2912身份認(rèn)證的的方法(con.)目前用來驗驗證用戶身身份的方法法有：用戶知道什什么秘密，如口口令、個人人身份號碼碼(PIN)、密鑰等用戶擁有什什么令牌，如ATM卡或智能卡卡等個人特征生物特征，，如聲音識識別、手寫寫識別或指指紋識別等等2022/12/29134.2.2口令認(rèn)證最普通的身份份認(rèn)證形式是是用戶標(biāo)識(ID)和口令(Password)的組合口令認(rèn)證是基基于知識的傳傳統(tǒng)口令技術(shù)術(shù)，僅僅依賴賴于用戶知道道什么的事實實口令系統(tǒng)的運運作:需要用戶輸入入用戶標(biāo)識和和口令(或PIN碼)系統(tǒng)對輸入的的口令與此前前為該用戶標(biāo)標(biāo)識存儲的口口令進(jìn)行比較較如果匹配，該該用戶就可得得到授權(quán)并獲獲得訪問權(quán)。。2022/12/29142022/12/29151.口令認(rèn)證的的過程：（1）為用戶分分配唯一的的ID標(biāo)識（2）計算機系系統(tǒng)將用戶戶的身份標(biāo)標(biāo)識和相應(yīng)應(yīng)的口令存存入口令列列表，其中中口令保密密，身份標(biāo)標(biāo)識可以公公開2.口令選擇的的原則易記、不易易猜中、不不易分析2022/12/29163.口令的管理理：系統(tǒng)中用戶戶與口令的的存儲如下下:將用戶的口口令用單向向散列函數(shù)數(shù)計算出摘摘要值去除口令代代碼,僅將摘要和和與之相對對應(yīng)的用戶戶ID存入入系系統(tǒng)統(tǒng)檢驗驗時時用戶戶輸輸入入用用戶戶名名與與口口令令系統(tǒng)統(tǒng)隨隨即即計計算算口口令令的的哈哈希希值值,如果果與與存存儲儲在在系系統(tǒng)統(tǒng)內(nèi)內(nèi)的的摘摘要要值值相相匹匹配配,用戶戶則則可可以以通通過過2022/12/29174.一次次性性口口令令：：一次次性性口口令令系系統(tǒng)統(tǒng)允允許許用用戶戶每每次次登登錄錄時時使使用用不不同同的的口口令令。。系系統(tǒng)統(tǒng)在在用用戶戶登登錄錄時時給給用用戶戶提提供供一一個個隨隨機機數(shù)數(shù)，，用用戶戶將將這這個個隨隨機機數(shù)數(shù)送送入入口口令令發(fā)發(fā)生生器器，，口口令令發(fā)發(fā)生生器器以以用用戶戶的的密密鑰鑰對對隨隨機機數(shù)數(shù)加加密密，，然然后后用用戶戶再再將將口口令令發(fā)發(fā)生生器器輸輸出出的的加加密密口口令令送送入入系系統(tǒng)統(tǒng)。。系系統(tǒng)統(tǒng)再再進(jìn)進(jìn)行行同同樣樣方方法法計計算算出出一一個個結(jié)結(jié)果果，，比比較較兩兩個個結(jié)結(jié)果果決決定定是是否否該該身身份份有有效效。。在登登錄錄過過程程中中加加入入不不確確定定因因素素，，使使每每次次登登陸陸過過程程中中傳傳送送的的信信息息都都不不同同，，以以提提高高登登錄錄過過程程安安全全性性。。(如現(xiàn)現(xiàn)在在的的網(wǎng)網(wǎng)絡(luò)絡(luò)系系統(tǒng)統(tǒng)登登陸陸時時需需要要輸輸入入驗驗證證碼碼)2022/12/2918口令令的的優(yōu)優(yōu)點點：：在很很長長時時間間內(nèi)內(nèi)已已經(jīng)經(jīng)成成功功地地為為計計算算機機系系統(tǒng)統(tǒng)提提供供了了安安全全保保護護。。已經(jīng)經(jīng)集集成成到到很很多多操操作作系系統(tǒng)統(tǒng)中中，，用用戶戶和和管管理理員員較較熟熟悉悉。。在可可控控環(huán)環(huán)境境下下、、管管理理適適當(dāng)當(dāng)，，可可提提供供有有效效的的安安全全保保護護。。存在在的的問問題題：：口令令系系統(tǒng)統(tǒng)的的安安全全依賴賴于于口口令令的保保密密性性。。只要要用用戶戶訪訪問問一一個個新新的的服服務(wù)務(wù)器器，，都都必必須須提提供供新新口口令令。?？诹盍蠲婷鎸Φ牡耐{脅有有：：外外部部泄泄漏漏、、猜猜測測、、通通信信竊竊取取、、重重放放等等2022/12/29194.2.3持證認(rèn)認(rèn)證（（令牌牌認(rèn)證證）基于用用戶擁擁有什什么的的身份份認(rèn)證證技術(shù)術(shù),使用的的是令令牌技技術(shù)。。記憶令令牌和和智能能卡2022/12/2920令牌認(rèn)認(rèn)證(con.)基于個個人令令牌的的驗證證：個人令令牌使使用了了用戶戶必須須出示示自己己所擁擁有的的某些些東西西這一一因素素，即即要出出示由由個人人正式式擁有有的某某種小小型的的硬件件設(shè)備備。令牌通通常與與口令令結(jié)合合起來來使用用，對對攻擊擊者來來說，，要想想偽裝裝成合合法的的用戶戶，僅僅知道道口令令或者者偷取取令牌牌是不不夠，，他必必須二二者兼兼而有有之，，這稱稱為“雙因因素驗驗證””。要謀謀劃一一個針針對雙雙因素素的成成功攻攻擊是是非常常困難難的。。2022/12/2921令牌認(rèn)認(rèn)證(con.)基于個個人令令牌的的運作作方式式有：：（1）儲存存式令令牌。。將某個個秘密密的數(shù)數(shù)據(jù)值值如數(shù)數(shù)字簽簽名用用的私私有密密鑰儲儲存在在令牌牌中，，在用用戶給給出了了正確確的口口令解解開令令牌鎖鎖后由由驗證證協(xié)議議來使使用。。（2）同步步一次次性口口令生生成器器。令牌定定期生生成一一個新新的口口令，，如每每隔一一分鐘鐘生成成一次次，令令牌持持有者者使用用該口口令對對支持持該驗驗證方方式的的主機機進(jìn)行行驗證證。一次性口口令可以以通過使使用正確確的日期期時間的的單向函函數(shù)和儲儲存在令令牌中的的某個永永久的秘秘密值來來進(jìn)行計計算機主機與令令牌必須須保持時時間的同同步。2022/12/2922令牌認(rèn)證證(con.)（3）提問-答復(fù)。令牌運行行在提問問-答復(fù)協(xié)議議的客戶戶端，通通過對目目標(biāo)主機機送來的的提問值值和儲存存在令牌牌中的永永久秘密密值運用用單向函函數(shù)進(jìn)行行運算，，生成答答復(fù)信息息。（4）數(shù)字簽簽名令牌牌。令牌持有有數(shù)字簽簽名所需需要的私私有密鑰鑰，和運運用該私私有密鑰鑰對給定定的數(shù)據(jù)據(jù)值計算算數(shù)字簽簽名所需需要的邏邏輯條件件?？梢砸詫?shù)字字簽名用用在某個個難協(xié)議議中。在生成數(shù)數(shù)字簽名名之前，，通常需需要先給給出正確確的口令令來對令令牌解鎖鎖。2022/12/2923個人令牌存在在的物理形式式人機界面令牌牌：一種帶有數(shù)字字顯示的手持持式設(shè)備，顯顯示屏上顯示示出持有者隨隨后進(jìn)入某個個網(wǎng)絡(luò)系統(tǒng)終終端如臺式電電腦的數(shù)字。。如果驗證方方法中需要持持有者向令牌牌輸入數(shù)據(jù)，，如口令或提提問值勤，則則信牌還可能能帶有一個小小型的健盤。。智能卡：訪問不但需要要口令，也需需要物理智能能卡。在允許許進(jìn)入系統(tǒng)之之前需要檢查查其智能卡。。智能卡內(nèi)有有微處理器和和存儲器，可可已加密的形形式保存卡的的ID及其他身份認(rèn)認(rèn)證數(shù)據(jù)。2022/12/2924個人令牌存在在的物理形式式(con.)PCMCIA卡：這是一種可以以插在標(biāo)準(zhǔn)的的多眼插座上上的袖珍型令令牌，常用于于手提電腦與與調(diào)制解調(diào)器器或與其它接接入設(shè)備的接接口。與智能能卡相比，PCMICA令牌有更強大大的處理功能能和存儲邏輯輯，還具有更更高的接口帶帶寬。USB令牌：這是一種可以以連接到通用用串行總線端端口的令牌，，這種令牌有有很強的處理理功能和存儲儲邏輯。2022/12/2925個人令牌存在在的物理形式式(con.)NB:記憶令牌只存存儲信息，不不對信息進(jìn)行行處理，令牌牌上信息的讀讀取和寫入是是用專門的讀讀/寫設(shè)備來完成成的。記憶令牌的最最通用形式是是磁卡。通常用于計算算機認(rèn)證的記記憶令牌是ATM卡，它是采用用用戶擁有什么(卡)和用戶知道什么(身份識別碼)的組合。2022/12/2926令牌牌認(rèn)認(rèn)證證(con.)令牌牌的的優(yōu)優(yōu)點點：：和身身份份識識別別碼碼一一起起使使用用時時比比單單獨獨使使用用口口令令的的機機制制更安安全全。面臨臨的的問問題題：：需要要專專門門的的讀取取器器。令牌牌的的丟失失問題題。。智能能卡卡通通過過在在令令牌牌中中采采用用集集成成電電路路以以增增加加其其功功能能,還需需要要用用戶戶提提供供身身份份識識別別碼碼或或口口令令等等基于于用用戶戶知知道道的的知知識識的認(rèn)認(rèn)證證手手段段。。2022/12/29274.2.4生物識別采用的是生物物特征識別技技術(shù)，采用的的是用戶獨特特的生理特征征來認(rèn)證用戶戶的身份:生理屬性(如指紋、視網(wǎng)網(wǎng)膜識別等)行為屬性(如聲音識別、、手寫簽名識識別等)。2022/12/2928優(yōu)點：：比前兩兩種認(rèn)認(rèn)證技技術(shù)有有著更更好的的安全全性缺點：：技術(shù)還還不是是很成成熟實際使使用過過程中中的穩(wěn)穩(wěn)定性性不是是很好好費用很很高2022/12/2929課堂討討論(一)：個個人特特征的的身份份證明明技術(shù)術(shù)4.3身份認(rèn)認(rèn)證協(xié)協(xié)議一次一一密機機制X.509認(rèn)證協(xié)協(xié)議Kerberos認(rèn)證協(xié)協(xié)議零知識識身份份識別別2022/12/2931一次一密機機制主要有兩種種實現(xiàn)方式式:請求-應(yīng)答方式第一種方法法,用戶登錄時時系統(tǒng)隨機提示一一條信息,用戶根據(jù)這這一信息連連同其個人人化數(shù)據(jù)共共同產(chǎn)生一一個口令字字,用戶輸入該該口令字,完成一次登登錄過程,或者用戶對對這一條信信息實施數(shù)數(shù)字簽名,發(fā)送給出驗驗證者進(jìn)行行鑒別另一種方法法采用時鐘同步機制,即根據(jù)這個個同步時鐘鐘信息連同同其個人化化數(shù)據(jù)共同同產(chǎn)生一個個口令字2022/12/2932質(zhì)詢-回應(yīng)協(xié)議（1）A向B發(fā)送一個消消息TA，表示想和和B通話。（2）B無法判斷這這個消息是是來自A還是其他他人，因因此B回應(yīng)一個個質(zhì)詢RB。RB是一個隨隨機數(shù)。。（3）A用與B共享的密密鑰KAB加密RB，得到密密文KAB(RB)，再發(fā)送送給B；B收到密文文KAB(RB)，用自己己同樣擁擁有的KAB加密RB，對比結(jié)結(jié)果，如如果相同同就確認(rèn)認(rèn)了A的身份。。此時B已完成了了對A的單向認(rèn)認(rèn)證。2022/12/2933質(zhì)詢-回應(yīng)協(xié)議議（4）A同樣需要要確定B的身份，，于是發(fā)發(fā)送一個個質(zhì)詢RA給B。RA也是一個個隨機數(shù)數(shù)。（5）B用與A共享的密密鑰KAB加密RA，得到密密文KAB(RA)，再發(fā)送送給A；A收到密文文KAB(RA)，用自己己同樣擁擁有的KAB加密RA，對比結(jié)結(jié)果，如如果相同同就確認(rèn)認(rèn)了B的身份，，完成了了雙向認(rèn)認(rèn)證。（6）A確認(rèn)B的身份之之后，選選取一個個會話密密鑰KS，并且用用KAB加密之后后發(fā)送給給B。2022/12/2934Kerberos——第三方認(rèn)證所謂第三方認(rèn)證就是在相互不不認(rèn)識的實體體之間提供安安全通信Kerberos認(rèn)證系統(tǒng)原是MIT(美國麻省理工工學(xué)院)的Athena計劃的一部分分,原義為希臘神神話中守護地地獄之門的一一只兇猛的三三頭狗,意喻該協(xié)議具具有極其強大大的安全性能能。近年來,較新的版本的的擴充也支持持了X.509認(rèn)證?；赬.509數(shù)字證書是由國際標(biāo)準(zhǔn)準(zhǔn)化組織開發(fā)發(fā)的眾多標(biāo)準(zhǔn)準(zhǔn)中的一部分分。認(rèn)證是基于公公開密鑰，或或者非對稱密密碼系統(tǒng)的。。2022/12/2935Kerberos概述網(wǎng)絡(luò)上的Kerberos服務(wù)器起著可可信仲裁者的的作用，可提提供安全的網(wǎng)網(wǎng)絡(luò)鑒別，允允許個人訪問問網(wǎng)絡(luò)中不同同的機器?；趯ΨQ密碼學(xué)，與網(wǎng)絡(luò)上的的每個實體分分別共享一個個不同的秘密密密鑰，是否否知道該秘密密密鑰便是身身份的證明。。主要包括以下下幾個部分：：客戶機（Client）服務(wù)器（Server）認(rèn)證服務(wù)器（（AS）票據(jù)授予服務(wù)務(wù)器（TGS）2022/12/2936Kerberos組成2022/12/2937Kerberos概述(con.)Kerberos有一個個所有有客戶戶和自自己安安全通通信所所需的的秘密密密鑰鑰數(shù)據(jù)據(jù)庫(KDC)，知道道每個個人的的秘密密密鑰鑰，能能產(chǎn)生生消息息向每每個實實體證證實另另一個個實體體的身身份。。Kerberos還能產(chǎn)產(chǎn)生會會話密密鑰，，只供供一個個客戶戶機和和一個個服務(wù)務(wù)器使使用，，會話話密鑰鑰用來來加密密雙方方的通通信消消息，，通信信完畢畢，會會話密密鑰即即被銷銷毀。。Kerberos使用DES加密Kerberos第4版提供供非標(biāo)標(biāo)準(zhǔn)的的鑒別別模型型，該該模型型的弱弱點是是它無無法檢檢測密密文的的某些些改變變。Kerberos第5版使用用CBC模式。。2022/12/2938KerberosV4認(rèn)證證消消息息對對話話2022/12/2939(1)客戶戶登登錄錄到到本本地地，，向向認(rèn)認(rèn)證證服服務(wù)務(wù)器器(AS)發(fā)送送一一個個服服務(wù)務(wù)請請求求，，請請求求獲獲得得指指定定應(yīng)應(yīng)用用服服務(wù)務(wù)器器的的““憑憑證證””①①，，所所獲獲憑憑證證可可直直接接用用于于應(yīng)應(yīng)用用服服務(wù)務(wù)器器或或票票據(jù)據(jù)授授予予服服務(wù)務(wù)器器(TGS)。CAS:IDc||IDtgs||TS1該消息包包含客戶戶ID以及票據(jù)據(jù)授予服服務(wù)器的的ID和時間戳戳。(2)認(rèn)證服務(wù)務(wù)器(AS)以憑證作作為響應(yīng)應(yīng)，并用用客戶的的密鑰加加密憑證證消息②②。憑證＝票票據(jù)授予予服務(wù)器器“票據(jù)據(jù)”(Ticket)＋臨時加加密密鑰鑰Kc,tgs(會話密鑰鑰)。ASC:EKc[Kc,tgs||IDtgs||TS2||Lifetime2||Tickettgs]Tickettgs＝EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]2022/12/29402022/12/2941(3)擁有了了票據(jù)據(jù)和會會話密密鑰，，客戶戶C向TGS服務(wù)器器發(fā)送送消息息請求求獲得得訪問問某個個特定定應(yīng)用用服務(wù)務(wù)器的的票據(jù)據(jù)Ticketv消息③③。CTGS:IDv||Tickettgs||AuthenticatorcAuthenticatorc＝EKc,tgs[IDc||ADc||TS3]Tickettgs＝EKtgs[Kc,tgs||IDv||ADc||IDtgs||TS2||Lifetime2]消息包包含了了身份份驗證證器(Authenticatorc)、C用戶的的ID和地址址以及及時間間戳對比：：票據(jù)據(jù)可以以重復(fù)復(fù)使用用，身身份驗驗證器器只能能使用用一次次且生生命周周期很很短。。2022/12/2942(4)TGS服務(wù)器返回回應(yīng)用服務(wù)務(wù)器票據(jù)以以應(yīng)答消息息④，客戶戶請求。TGSC:EKc,tgs[Kc,v||IDv||TS4||Ticketv]Ticketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]消息已經(jīng)用用TGS和C共享的會話話密鑰進(jìn)行行了加密，，它包含了了C和服務(wù)器V共享的會話話密鑰Kc,v，V的ID和票據(jù)的時時間戳，也也包含了會會話密鑰?！，F(xiàn)在C就擁有了V可重用的票票據(jù)，當(dāng)C出具此票據(jù)據(jù)時就發(fā)出出了身份驗驗證碼，應(yīng)應(yīng)用服務(wù)器器可以解密密票據(jù)，恢恢復(fù)會話密密鑰并解密密身份驗證證碼。2022/12/29432022/12/2944(5)客戶將該Ticket傳送給應(yīng)用服服務(wù)器消息⑤⑤。CV:Ticketv||AuthenticatorcTicketv=EKv[Kc,v||IDc||ADc||IDv||TS4||Lifetime4]Authenticatorc＝EKc,v[IDc||ADc||TS5]2022/12/2945(6)現(xiàn)在客戶和應(yīng)應(yīng)用服務(wù)器已已經(jīng)共享會話話密鑰，如果果需要互相驗驗證身份，服服務(wù)器可以發(fā)發(fā)送消息⑥進(jìn)進(jìn)行響應(yīng)。服務(wù)器返回身身份驗證碼中中的時間戳值值加1，再用會話密密鑰進(jìn)行加密密，C可以將消息解解密，恢復(fù)增增加1后的時間戳。。消息是由會話話密鑰加密的的，只有V才能創(chuàng)建，時時間戳保證不不是以前的應(yīng)應(yīng)答。VC:EKc,v[TS5+1]共享的會話密密鑰還可用于于加密以后的的通信或交換換加密的單獨獨子會話密鑰鑰2022/12/2946消息①和②只只在用戶首次次登錄系統(tǒng)統(tǒng)時使用；消息③和④在在用戶每次申申請某個特定定應(yīng)用服務(wù)器器的服務(wù)時使使用；消息⑤則用于于每個服務(wù)的的認(rèn)證。消息⑥可選，，只用于互相相認(rèn)證。2022/12/2947Kerberos基礎(chǔ)結(jié)構(gòu)和交交叉領(lǐng)域認(rèn)證證當(dāng)一個系統(tǒng)跨跨越多個組織織時，需要多多個認(rèn)證服務(wù)務(wù)器各自負(fù)責(zé)責(zé)系統(tǒng)中部分分用戶和服務(wù)務(wù)器的認(rèn)證，，稱某個特定定認(rèn)證服務(wù)器器所注冊的用用戶和服務(wù)器器的全體為一一個領(lǐng)域(Realm)。交叉域認(rèn)證允允許一個委托人(Principle)向注冊在另外外一個域的服務(wù)器驗明自己的身身份。2022/12/29482022/12/2949Kerberos客戶戶(委托托人人)向遠(yuǎn)遠(yuǎn)程程領(lǐng)領(lǐng)域域驗驗證證自自己己的的身身份份：：首先先需需要要從從本本地地認(rèn)認(rèn)證證服服務(wù)務(wù)器器(AS)獲得得一一張張遠(yuǎn)遠(yuǎn)程程領(lǐng)領(lǐng)域域的的票票據(jù)據(jù)授授予予票票(TicketGrantingTicket)。這就就要要求求委委托托人人所所在在的的本本地地認(rèn)認(rèn)證證服服務(wù)務(wù)器器同同驗驗證證人人所所在在的的遠(yuǎn)遠(yuǎn)程程領(lǐng)領(lǐng)域域認(rèn)認(rèn)證證服服務(wù)務(wù)器器共共享享一一個個保保密密密密鑰鑰(條件件(3))。然后后委委托托人人使使用用該該票