Kerberos概覽Kerberos條件0102Kerberos協(xié)議分為兩個部分Content目錄03總結01

Kerberos條件Kerberos條件Kerberos協(xié)議：Kerberos協(xié)議主要用于計算機網絡的身份鑒別(Authentication),

其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(ticket-grantingticket)訪問多個服務，即SSO(SingleSignOn)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當的安全性。

先來看看Kerberos協(xié)議的前提條件：如下圖所示，Client與KDC，

KDC與Service

在協(xié)議工作前已經有了各自的共享密鑰，并且由于協(xié)議中的消息無法穿透防火墻，這些條件就限制了Kerberos協(xié)議往往用于一個組織的內部，

使其應用場景不同于X.509PKI。02

Kerberos協(xié)議分為兩個部分

Kerberos協(xié)議分為兩個部分1.Client向KDC發(fā)送自己的身份信息，KDC從TicketGrantingService得到TGT(ticket-grantingticket)，

并用協(xié)議開始前Client與KDC之間的密鑰將TGT加密回復給Client。此時只有真正的Client才能利用它與KDC之間的密鑰將加密后的TGT解密，從而獲得TGT。（此過程避免了Client直接向KDC發(fā)送密碼，以求通過驗證的不安全方式）2.Client利用之前獲得的TGT向KDC請求其他Service的Ticket，從而通過其他Service的身份鑒別。Kerberos協(xié)議分為兩個部分Kerberos協(xié)議分為兩個部分1.Client將之前獲得TGT和要請求的服務信息(服務名等)發(fā)送給KDC，KDC中的TicketGrantingService將為Client和Service之間生成一個SessionKey用于Service對Client的身份鑒別。然后KDC將這個SessionKey和用戶名，用戶地址（IP），服務名，有效期,

時間戳一起包裝成一個Ticket(這些信息最終用于Service對Client的身份鑒別)發(fā)送給Service，

不過Kerberos協(xié)議并沒有直接將Ticket發(fā)送給Service，而是通過Client轉發(fā)給Service.所以有了第二步。2.此時KDC將剛才的Ticket轉發(fā)給Client。由于這個Ticket是要給Service的，不能讓Client看到，所以KDC用協(xié)議開始前KDC與Service之間的密鑰將Ticket加密后再發(fā)送給Client。同時為了讓Client和Service之間共享那個秘密(KDC在第一步為它們創(chuàng)建的SessionKey)，

KDC用Client與它之間的密鑰將SessionKey加密隨加密的Ticket一起返回給Client。Kerberos協(xié)議分為兩個部分3.為了完成Ticket的傳遞，Client將剛才收到的Ticket轉發(fā)到Service.

由于Client不知道KDC與Service之間的密鑰，所以它無法算改Ticket中的信息。同時Client將收到的SessionKey解密出來，然后將自己的用戶名，用戶地址（IP）打包成Authenticator用SessionKey加密也發(fā)送給Service。4.Service

收到Ticket后利用它與KDC之間的密鑰將Ticket中的信息解密出來，從而獲得SessionKey和用戶名，用戶地址（IP），服務名，有效期。然后再用SessionKey將Authenticator解密從而獲得用戶名，用戶地址（IP）將其與之前Ticket中解密出來的用戶名，用戶地址（IP）做比較從而驗證Client的身份。5.如果Service有返回結果，將其返回給Client。03

總結

總結概括起來說Kerberos協(xié)議主要做了兩件事1.Ticket的安全傳遞。2.SessionKey的安全發(fā)布。再加上時間戳的使用就很大程度上的保證了用戶鑒別的安全性。并且利用SessionKey，在通過鑒別之后Client和Service之間傳遞的消息也可以獲得Confidentiality(機密性),Integrity(完整性)的保證。不過由于沒有使用非對稱密鑰自然也就無