5.6.3 客户端/服务器身份认证交换消息详解
客户端/服务器身份认证交换所包括的两条消息如图5-8所示的阴影部分。它包括应用服务器请求(KRB_AP_REQ)和应用服务器响应(KRB_AP_REP)两条消息。下面将分别予以介绍。
图5-8 客户端/服务器身份认证交换的两条消息
1.应用服务器请求
在客户端已经请示并且从AS中接收到了TGT,请求并从TGS中接收到了服务票证后,客户端准备发送这个服务票证给目标服务器。
KRB_AP_REQ消息包括以客户端和目标服务器共享的会话密钥加密的认证符,以目标服务器保密的密钥加密的服务票证,以及可选的相互身份认证请求。相互身份认证响应是以KRB_AP_REP消息进行的,仅在客户端需要校验目标服务器身份时需要。
如果目标服务器需要用户到用户身份认证,则原来的服务票证连同目标服务器的TGT一起被拒收。客户端将发送新的一条KRB_TGS_REQ消息来包含目标服务器的TGT,并请求一个新的服务票证,并用包括目标服务器的TGT的会话密钥加密,替代原来用来加密的目标服务器的保密密钥。
KRB_AP_REQ 消息中的字段内容如表5-12所示。
表5-12 应用服务器请求消息的字段
字段
字 段 描 述
Protocol Version(协议版本)
5
Message Type(消息类型)
KRB_AP_REQ
应用选项字段
Use Session Key(使用会话密钥)
在用户到用户身份认证中,在客户端为目标服务获得新的票证后,客户端用这个标志设置发送新的KRB_AP_REQ消息,告诉目标服务使用它的会话密钥来解密票证。有关用户到用户身份认证原理将在本章后面介绍
Mutual Authentication Required(相互身份认证需求)
如果设置了此标志字段,目标服务器将用KRB_AP_REP消息响应,它用来为客户端验证目标服务器身份
(续表)
字段
字 段 描 述
其他消息字段
Ticket(票证)
目标服务器的服务票证,加密在目标服务器的保密密钥或者它的会话密钥中,依据是是否需要用户到用户的身份认证
Authenticator(认证符)
客户端时间戳和其他数据,用客户端和目标服务器共享的会话密钥加密
【责任编辑:董书 TEL:(010)68476606】
点赞 0