2023學(xué)年完整公開(kāi)課版Kerberos認(rèn)證流程2

Kerberos認(rèn)證流程（二）完整認(rèn)證流程2

在Kerberos系統(tǒng)中，引入了一個(gè)新的角色叫做：票據(jù)授權(quán)服務(wù)(TGS-TicketGrantingService)，它的地位類(lèi)似于一個(gè)普通的服務(wù)器，只是它提供的服務(wù)是為客戶端發(fā)放用于和其他服務(wù)器認(rèn)證的票據(jù)。這樣，Kerberos系統(tǒng)中就有四個(gè)角色：認(rèn)證服務(wù)器（AS），客戶端（Client），普通服務(wù)器（Server）和票據(jù)授權(quán)服務(wù)（TGS）。

現(xiàn)在客戶端初次和服務(wù)器通信的認(rèn)證流程分成了以下6個(gè)步驟：34

（1）客戶端向AS發(fā)起請(qǐng)求，請(qǐng)求內(nèi)容是：我是誰(shuí)（客戶端的principal），我要和票據(jù)授權(quán)服務(wù)通信（TGS的principal）等5（2）AS收到請(qǐng)求后，隨機(jī)生成一個(gè)密碼SessionKey(Kc,tgs)，并生成以下兩個(gè)Ticket返回給客戶端：Tc,tgs={Kc,tgs;tgs_principal;...}Kc-該票據(jù)是給客戶端的，大括號(hào)里面為票據(jù)中的內(nèi)容，后面的Kc為客戶端的密碼，表示該票據(jù)用客戶端的密碼加密了。Ttgs,c={Kc,tgs;client_principal;...}Ktgs-該票據(jù)是給TGS，大括號(hào)里面為票據(jù)中的內(nèi)容，后面的Ktgs為T(mén)GS的密碼，表示該票據(jù)用TGS的密碼加密了，只有TGS能解開(kāi)。上述兩步和上面簡(jiǎn)化的認(rèn)證流程的前兩步是一致的，唯一不一樣的是與客戶端通信的另一端是票據(jù)授權(quán)服務(wù)(TGS)。該步驟中得到的Tgs,c就類(lèi)似于例子中的聯(lián)票，后面將會(huì)通過(guò)它來(lái)得到一張和其他服務(wù)器通信認(rèn)證的票據(jù)。6（3）客戶端用自己的密碼解開(kāi)Tc,tgs，得到Kc,tgs，生成一個(gè)Authenticator，并給TGS發(fā)起請(qǐng)求，請(qǐng)求內(nèi)容是包括：Authenticator={time_stamp,checksum,...}Kc,tgsTtgs,c-第二步從AS返回的票據(jù)server_principal,...在這個(gè)步驟中，Authenticator和Ttgs,c是用于客戶端向TGS證明自己身份的，server_principal是客戶端需要訪問(wèn)的服務(wù)器的名字。7（4）TGS收到客戶端發(fā)送的Authenticator和Ttgs,c后，先用自己的密碼解開(kāi)Ttgs,c，得到SessionKeyKc,tgs，然后解開(kāi)Authenticator，對(duì)客戶端進(jìn)行認(rèn)證，這與簡(jiǎn)化的認(rèn)證流程的第4步是一致的。如果客戶端通過(guò)了認(rèn)證，TGS生成一個(gè)客戶端和服務(wù)器的SessionKey(Kc,s)，同時(shí)將組裝下面兩個(gè)票據(jù)返回給客戶端：Tc,s={Kc,s,server_principal,...}Kc,tgs-這是給客戶端的票據(jù)，Kc,s是客戶端與服務(wù)器之間的SessionKey，用客戶端和TGS之間的SessionKey(Kc,tgs)加密。區(qū)別就在這里了，給客戶端的票據(jù)不再用客戶端的密碼加密，而是用客戶端和Tgs之間的SessionKey加密。Ts,c={Kc,s,client_principal,...}Ks-這是給服務(wù)器的票據(jù)，用服務(wù)器的密碼加密。8（5）客戶端收到上述兩個(gè)票據(jù)后，用Kc,tgs解開(kāi)Tc,s得到Kc,s，然后生成一個(gè)Authenticator并發(fā)送請(qǐng)求給服務(wù)器，內(nèi)容包括：Authenticator={time_stamp,Ts,c_checksum,...}Kc,sTs,c={Kc,s,client_principal,...}Ks。9（6）服務(wù)器收到請(qǐng)求后，用自己的密碼解開(kāi)Ts得到Kc,s，然后用