Kerberos

kerberos身份认证过程:
    第一步:账号和KDC互相认证;
    账号A向KDC证明自己的身份:
        1.账号A首先会把自己的密码hash,得到一把秘钥Kclt;
        2.Kclt会把当前的时间戳加密,生成一个字符串;使用{时间戳}Kclt来表示;
        3.将生成的字符串{时间戳}Kclt、账号A的信息,以及一段随机数作为请求发送给KDC。
            请求:AS_REQ="{时间戳}Kclt、账号A的相关信息,随机字符串"
        4.KDC收到请求之后,会识别出这是账号A发来的信息,于是就使用与账号A相对应的经过相同方式hash过密码而得到的Kclt来解密账号A发来的请求,如果能解开则可以确认是账号A本人了;确认过眼神,是一样秘钥的人;(从这一步可以看出来账号A和KDC端拥有一样的密码);
    KDC向账号A证明自己的身份:
        理论上KDC使用同样的方法来hash密码然后将加密时间戳所得的字符串、自己的信息以及随机数发送给账号A也就可以证明自己的身份了,但是这个机制会让KDC非常的忙碌;所以实际上KDC使用的是下面的方式:
            1.首先KDC会生成两把一样的秘钥Kclt-kdc,用来作为日后账号A和KDC之间相互认证之用;这样就省去了每次KDC需要根据客户端发来的请求而确认账号身份的步骤;但是这对秘钥也是跟客户一一对应的,也就是说KDC会为每个客户都生成一对相同的Kclt-Kdc秘钥对;按理说应该把秘钥对中的一个分给其对应的客户端,但是保管秘钥对于KDC也是一种负担,所以它将保管自己秘钥的工作也交给了账号,所以每次客户端的账号需要KDC认证时,就将KDC的秘钥再传送给KDC端,不难想到,当然不是直接将自己的秘钥传递给账号啦,虽然账号自己有跟KDC一模一样的秘钥;KDC会把自己的独有的密码经过hash后生成一个名为Kkdc的秘钥;然后再用它加密委托给账号A管理的秘钥(Kclt-kdc)以及账号A的信息而得到的字符串称为TGT,然后KDC端回复客户端AS_REP,客户端账号收到回答之后,使用Kclt解密下文红色区域,通过里面的时间戳和随机字符串来确定KDC的真实性,然后保存Kclt-kdc和TGT,用以日后请求KDC时使用;TGT={账号A的相关信息,Kclt-kdc}Kkdc;
                回答:AS_REP="TGT、{Kclt-kdc,时间戳,随机字符串}Kclt"
                    蓝色区域的作用:每次客户端账号请求KDC时,都会发送TGT给KDC端,然后KDC使用Kkdc解密TGT得到与账号认证时使用的Kclt-kdc这个秘钥;
                    红色区域的作用:KDC端将用于与账号之间认证时使用的Kclt-kdc这个秘钥加密发送给客户端的账号;
                    这样KDC端就能通过仅保存经过hash自己密码所得的Kkdc这个秘钥就能与不同账号建立可信连接了;
                    
                    
    第二步:账号A请KDC帮忙认证资源B:
        1.首先账号A会给KDC发送一个名为TGS_REQ的请求;TGS_REQ="TGT,{账号A的相关信息,时间戳}Kclt-Kkdc,资源B的相关信息"
        2.KDC 收到TGS_REQ后,先用Kkdc解密TGT得到Kclt-kdc,再用Kclt-kdc和账号A互相认证身份;一旦确认过眼神,是要等待的人,然后KDC就会帮助A和B牵线系红绳了;
        3.KDC会再生成两把同样的秘钥供A和B之间使用(怕嫁错新郎,牵错新娘),这个秘钥称为Kclt-src,一把交给A一把委托A交给B;其中一把经过Kclt-kdc加密后发送给账号A,为了A不会受假的资源B所骗,KDC把B的密码hash成Ksrv,然后用它加密那把委托A交给B的Kclt-srv再一起发送给账号A,我们把这个被加密后的数据叫做Ticket,因为只有真正的B才能够解密Ticket,所以可以用来确认B的身份;Ticket={账号A的信息,Kclt-sev}Ksrv
            TGS_REP="{Kclt-srv}Kclt-Kdc,Ticket"
        4.账号A收到TGS_RWP之后先用Kclt-Kdc解开紫色区域,得到Kclt-srv,然后保留Ticket用来获取资源B时发给B;接下来如果需要多次访问资源B都可以使用同一个Ticket,不需要每次都向KDC申请,从而减轻了KDC的负担;
    第三步:账号A和资源B互相认证:
        1.账号A给资源B发送{账号A的信息,时间戳}Kclt-srv以及Ticket,我们称这个请求为AP_REQ;AP_REQ="{账号A的信息,时间戳}Kclt-srv,Ticket"
        2.如果资源B是真的它就可以解开Ticket,从而得到Kclt-srv,然后就可以解开"{账号A的信息,时间戳}Kclt-srv",从而确认账号A的身份,因为只有A和B拥有Kclt-srv这个秘钥;然后回复AP_REP来向A证明自己是真的;AP_REP={时间戳}Kclt-srv
        3.账号A使用Kclt-srv解密B发来的AP_REP,得到时间戳来判断资源B的真假;
        
                    
 注:根据wireshark网络分析就这么简单一书做的学习笔记,如有错误,欢迎指正;侵删;

 这本书虽然很薄但是写的非常有意思,很适合入门阅读,推荐给能看见这篇笔记的人;      

 

展开阅读全文

没有更多推荐了,返回首页