Kerberos認證流程（一）目錄解決什么問題認證流程2解決什么問題3

簡單地說，Kerberos提供了一種單點登錄(SSO)的方法。考慮這樣一個場景，在一個網(wǎng)絡中有不同的服務器，比如，打印服務器、郵件服務器和文件服務器。這些服務器都有認證的需求。很自然的，不可能讓每個服務器自己實現(xiàn)一套認證系統(tǒng)，而是提供一個中心認證服務器（AS-AuthenticationServer）供這些服務器使用。這樣任何客戶端就只需維護一個密碼就能登錄所有服務器。4

在Kerberos系統(tǒng)中至少有三個角色：認證服務器（AS），客戶端（Client）和普通服務器（Server）?？蛻舳撕头掌鲗⒃贏S的幫助下完成相互認證。

在Kerberos系統(tǒng)中，客戶端和服務器都有一個唯一的名字，叫做Principal。同時，客戶端和服務器都有自己的密碼，并且它們的密碼只有自己和認證服務器AS知道。5認證流程6client_principal,server_principal:分別表示客戶端和服務器的名字。Tc,s:表示AS發(fā)給客戶端c的票據(jù)，該票據(jù)包含有用于和服務器s通信認證的相關信息。{Kc,s;server_principal,...}Kc:表示票據(jù)的內(nèi)容，{}里面的為具體內(nèi)容。Kc為客戶端的密碼，表示該票據(jù)由客戶端的密碼加密。其它的類似。7（1）客戶端向服務器端發(fā)起請求，請求的內(nèi)容是：我是誰（客戶端的principal），我要和誰通信（服務器的principal）.（2）AS收到請求以后，隨機生成一個密碼Kc,s(SessionKey),并且生成了以下兩個票據(jù)（Ticket）返回給客戶端：Tc,s={Kc,s;server_principal,...}Kc-該票據(jù)是給客戶端的，大括號里面為票據(jù)中的內(nèi)容，后面的Kc為客戶端的密碼，表示該票據(jù)用客戶端的密碼加密了。Ts,c={Kc,s;client_principal,...}Ks-大括號里面為票據(jù)中的內(nèi)容，后面的Ks為服務器的密碼，表示該票據(jù)用服務器的密碼加密了。該票據(jù)是給服務器的，但是AS并不直接給服務器，而是交給了客戶端再由客戶端交給服務器。因為該票據(jù)由服務器的密碼加密了，所以客戶端無法偽造和篡改。8（3）客戶端拿到了第二步中的兩個票據(jù)后，首先用自己的密碼解開票據(jù)Tc,s得到Kc,s，然后生成一個認證因子(Authenticator),其內(nèi)容如下：Authenticator:{time_stamp,Ts,c_checksum,...}Kc,s

其中主要包括當前時間和Ts,c的校驗碼，并且用SessionKeyKc,s加密。

客戶端將Authenticator和Ts,c同時發(fā)給服務器。9服務器首先用自己的密碼解開Ts,c，拿到SessionKeyKc,s，然后用Kc,s解開Authenticator，并做如下檢查：檢查Authenticator中的時間戳是不是在當前時間上下5分鐘以內(nèi)，并且檢查該時間戳是否首次出現(xiàn)。如果該時間戳不是第一次出現(xiàn)，那說明有人截獲了之前客戶端發(fā)送的內(nèi)容，進行Replay攻擊。檢查checksum是否正確。如果都正確，客戶端就通過了認證。

服務器段可選擇性地給客戶端回復一條消息來完