2023學(xué)年完整公開課版Kerberos認(rèn)證流程2

Kerberos認(rèn)證流程（二）完整認(rèn)證流程2

在Kerberos系統(tǒng)中，引入了一個(gè)新的角色叫做：票據(jù)授權(quán)服務(wù)(TGS-TicketGrantingService)，它的地位類似于一個(gè)普通的服務(wù)器，只是它提供的服務(wù)是為客戶端發(fā)放用于和其他服務(wù)器認(rèn)證的票據(jù)。這樣，Kerberos系統(tǒng)中就有四個(gè)角色：認(rèn)證服務(wù)器（AS），客戶端（Client），普通服務(wù)器（Server）和票據(jù)授權(quán)服務(wù)（TGS）。

現(xiàn)在客戶端初次和服務(wù)器通信的認(rèn)證流程分成了以下6個(gè)步驟：34

（1）客戶端向AS發(fā)起請求，請求內(nèi)容是：我是誰（客戶端的principal），我要和票據(jù)授權(quán)服務(wù)通信（TGS的principal）等5（2）AS收到請求后，隨機(jī)生成一個(gè)密碼SessionKey(Kc,tgs)，并生成以下兩個(gè)Ticket返回給客戶端：Tc,tgs={Kc,tgs;tgs_principal;...}Kc-該票據(jù)是給客戶端的，大括號里面為票據(jù)中的內(nèi)容，后面的Kc為客戶端的密碼，表示該票據(jù)用客戶端的密碼加密了。Ttgs,c={Kc,tgs;client_principal;...}Ktgs-該票據(jù)是給TGS，大括號里面為票據(jù)中的內(nèi)容，后面的Ktgs為TGS的密碼，表示該票據(jù)用TGS的密碼加密了，只有TGS能解開。上述兩步和上面簡化的認(rèn)證流程的前兩步是一致的，唯一不一樣的是與客戶端通信的另一端是票據(jù)授權(quán)服務(wù)(TGS)。該步驟中得到的Tgs,c就類似于例子中的聯(lián)票，后面將會(huì)通過它來得到一張和其他服務(wù)器通信認(rèn)證的票據(jù)。6（3）客戶端用自己的密碼解開Tc,tgs，得到Kc,tgs，生成一個(gè)Authenticator，并給TGS發(fā)起請求，請求內(nèi)容是包括：Authenticator={time_stamp,checksum,...}Kc,tgsTtgs,c-第二步從AS返回的票據(jù)server_principal,...在這個(gè)步驟中，Authenticator和Ttgs,c是用于客戶端向TGS證明自己身份的，server_principal是客戶端需要訪問的服務(wù)器的名字。7（4）TGS收到客戶端發(fā)送的Authenticator和Ttgs,c后，先用自己的密碼解開Ttgs,c，得到SessionKeyKc,tgs，然后解開Authenticator，對客戶端進(jìn)行認(rèn)證，這與簡化的認(rèn)證流程的第4步是一致的。如果客戶端通過了認(rèn)證，TGS生成一個(gè)客戶端和服務(wù)器的SessionKey(Kc,s)，同時(shí)將組裝下面兩個(gè)票據(jù)返回給客戶端：Tc,s={Kc,s,server_principal,...}Kc,tgs-這是給客戶端的票據(jù)，Kc,s是客戶端與服務(wù)器之間的SessionKey，用客戶端和TGS之間的SessionKey(Kc,tgs)加密。區(qū)別就在這里了，給客戶端的票據(jù)不再用客戶端的密碼加密，而是用客戶端和Tgs之間的SessionKey加密。Ts,c={Kc,s,client_principal,...}Ks-這是給服務(wù)器的票據(jù)，用服務(wù)器的密碼加密。8（5）客戶端收到上述兩個(gè)票據(jù)后，用Kc,tgs解開Tc,s得到Kc,s，然后生成一個(gè)Authenticator并發(fā)送請求給服務(wù)器，內(nèi)容包括：Authenticator={time_stamp,Ts,c_checksum,...}Kc,sTs,c={Kc,s,client_principal,...}Ks。9（6）服務(wù)器收到請求后，用自己的密碼解開Ts得到Kc,s，然后用