1、数据保密性确保只有特定的接受者才能查看内容数据完整性通过Hash算法确保数据不被篡改认证数字签名提供认证服务不可否定性数字签名允许用户证明信息交换确实发生过金融组织用于电子货币交易花销(US $)40/38456/51264/76880/1792128/2304$10万.2秒秒3.5小时小时37天天7000年年1018年年$100万.02秒秒21分钟分钟4天天700年年1017年年$1亿2毫秒毫秒2分钟分钟9小时小时70年年1016年年$10亿.2毫秒毫秒13秒秒1小时小时7年年1015年年$1000亿2 微秒微秒.1秒秒32秒秒245天天1014年年SSL 和和 IPSec证书申请与吊销证书
2、申请与吊销证书发布证书发布PKI 应用程序应用程序 明文密文User1明文User2证书服务证书服务User2 的公钥User2 的私钥User1 (发送方发送方)明文明文User1 的私钥摘要摘要加密摘要加密摘要User2 (接受方接受方)User1 的公钥AliceBobIm Alice, KABAlice, timestampKABtimestamp1423鉴别码鉴别码共享密钥 如何解决密钥分发问题如何解决密钥分发问题!ClientServerClient wants ServerKClientuse SCS for ServerKDC inventssession keySCSKSer
3、veruse SCS for Client会话密钥会话密钥 长效密钥长效密钥 !如何解决如何解决server密钥保存问题密钥保存问题ClientClient wants ServerKClientuse SCS for Server, ticket = KServeruse SCS for ClientKDC inventssession keySCSClientServerSCSClient, time, ticket = KServeruse SCS for ClientSCStime速度传递式身份验证,慢单一票据系统,快 智能卡不支持支持文档微软专利标准,少 开放式标准,多数据保护在早期的NTLM中几乎没有任何数据保护提供基于密码的强保护 网络兼容性只与微软网络兼容与任何基于Kerberos的网络兼容操作系统兼容性兼容Windows 2000之前的操作系统必须在 Windows 2000 或之后的操作系统的域环境中
