2023學(xué)年完整公開課版Kerberos認(rèn)證流程

Kerberos認(rèn)證流程（一）目錄解決什么問題認(rèn)證流程2解決什么問題3

簡單地說，Kerberos提供了一種單點(diǎn)登錄(SSO)的方法?？紤]這樣一個場景，在一個網(wǎng)絡(luò)中有不同的服務(wù)器，比如，打印服務(wù)器、郵件服務(wù)器和文件服務(wù)器。這些服務(wù)器都有認(rèn)證的需求。很自然的，不可能讓每個服務(wù)器自己實現(xiàn)一套認(rèn)證系統(tǒng)，而是提供一個中心認(rèn)證服務(wù)器（AS-AuthenticationServer）供這些服務(wù)器使用。這樣任何客戶端就只需維護(hù)一個密碼就能登錄所有服務(wù)器。4

在Kerberos系統(tǒng)中至少有三個角色：認(rèn)證服務(wù)器（AS），客戶端（Client）和普通服務(wù)器（Server）。客戶端和服務(wù)器將在AS的幫助下完成相互認(rèn)證。

在Kerberos系統(tǒng)中，客戶端和服務(wù)器都有一個唯一的名字，叫做Principal。同時，客戶端和服務(wù)器都有自己的密碼，并且它們的密碼只有自己和認(rèn)證服務(wù)器AS知道。5認(rèn)證流程6client_principal,server_principal:分別表示客戶端和服務(wù)器的名字。Tc,s:表示AS發(fā)給客戶端c的票據(jù)，該票據(jù)包含有用于和服務(wù)器s通信認(rèn)證的相關(guān)信息。{Kc,s;server_principal,...}Kc:表示票據(jù)的內(nèi)容，{}里面的為具體內(nèi)容。Kc為客戶端的密碼，表示該票據(jù)由客戶端的密碼加密。其它的類似。7（1）客戶端向服務(wù)器端發(fā)起請求，請求的內(nèi)容是：我是誰（客戶端的principal），我要和誰通信（服務(wù)器的principal）.（2）AS收到請求以后，隨機(jī)生成一個密碼Kc,s(SessionKey),并且生成了以下兩個票據(jù)（Ticket）返回給客戶端：Tc,s={Kc,s;server_principal,...}Kc-該票據(jù)是給客戶端的，大括號里面為票據(jù)中的內(nèi)容，后面的Kc為客戶端的密碼，表示該票據(jù)用客戶端的密碼加密了。Ts,c={Kc,s;client_principal,...}Ks-大括號里面為票據(jù)中的內(nèi)容，后面的Ks為服務(wù)器的密碼，表示該票據(jù)用服務(wù)器的密碼加密了。該票據(jù)是給服務(wù)器的，但是AS并不直接給服務(wù)器，而是交給了客戶端再由客戶端交給服務(wù)器。因為該票據(jù)由服務(wù)器的密碼加密了，所以客戶端無法偽造和篡改。8（3）客戶端拿到了第二步中的兩個票據(jù)后，首先用自己的密碼解開票據(jù)Tc,s得到Kc,s，然后生成一個認(rèn)證因子(Authenticator),其內(nèi)容如下：Authenticator:{time_stamp,Ts,c_checksum,...}Kc,s

其中主要包括當(dāng)前時間和Ts,c的校驗碼，并且用SessionKeyKc,s加密。

客戶端將Authenticator和Ts,c同時發(fā)給服務(wù)器。9服務(wù)器首先用自己的密碼解開Ts,c，拿到SessionKeyKc,s，然后用Kc,s解開Authenticator，并做如下檢查：檢查Authenticator中的時間戳是不是在當(dāng)前時間上下5分鐘以內(nèi)，并且檢查該時間戳是否首次出現(xiàn)。如果該時間戳不是第一次出現(xiàn)，那說明有人截獲了之前客戶端發(fā)送的內(nèi)容，進(jìn)行Replay攻擊。檢查checksum是否正確。如果都正確，客戶端就通過了認(rèn)證。

服務(wù)器段可選擇性地給客戶端回復(fù)一條消息來完