企业新闻

Kerberos基本认证过程二

2018-03-21 20:48:41 | 来源:中培企业IT培训网

 客户端对收到的报文解密,然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往票据授权服务器TGS,票据授权服务器TGS对票据和鉴别符进行解密,验证请求,然后生成请求服务许可票据,过程下图所示。


  客户端向TGS发送TGT、需要访问的服务器名、保证消息新鲜的N,以及用会话密钥签名的客户端认证信息,防止数据在传输过程中被篡改。每次客户端要访问某服务时,必须首先生成一个新的认证信息(鉴别符)。该信息由客户端生成,包含客户端名、主机地址, 以及当前客户端主机时间,上述信息采用服务许可票据中给出的会话密钥加密,其结构为Ac,=( c,a ddr,times tamp)K.,.

服务许可票据用于在AS和应用服务器之间安全地传递凭据使用者的身份,同时也是将AS对票据使用者的信任转移给应用服务器。票据包含服务器名、客户端名、客户端地址、时间标记、生命期以及一个随机的会话密钥,这些信息使用接收票据的服务器与KDC共享的密钥进行加密,其结构为:T。={s,c,acldr,timestamp,life,K。.)K。。票据一旦发放后,可以被其中指定的客户端向指定的服务器请求服务时多次使用,直到票据过期为止。

C->TGS:{A。)K..;鼢,{T。.即)K.舻

TGS用K。。验证了TGT后,获得会话密钥和客户端要访问的服务器名,从数据库中获得服务器密钥K。后,随机生成客户端与服务器之间通信用的会话密钥和服务许可票据。TGS将客户与服务器之间使用的新的会话密钥和N用K。,。。加密后与新的服务许可凭据一起构成消息KRB—TGS—REP,发送给客户端。

TGS->C:(K。。,N)K。;鄂,(T_.)K. 第三阶段:获得服务

标签: Kerberos

猜你喜欢

预约领优惠