认证流程:
1.用户向AS请求获得TGT,内容包括:
①自己的用户信息;
②访问的目标Ticket Granting Service的Server Name;
③供AS进行时钟同步验证的信息,被用户的Master Key加密
2.KDC查询AD,回复内容:
①利用用户Master Key加密的会话密钥Sclient-kdc;
②TGT(被自己加密)包括:Sclient-kdc副本、用户信息
3.用户向TGS请求Ticket,内容包括:
①2中的TGT
②访问的服务器的信息,被会话密钥加密
4.TGS利用自己的密钥解密TGT,得到Sclient-kdc,并以此解密用户欲访问的服务器信息。回复客户Ticket和利用Sclient-kdc加密的Sclient-server会话密钥,Ticket包括:
①利用Server密钥加密的Sclient-server;
②用户信息
5.用户利用Sclient-kdc解密得到Sclient-server,利用其加密自己的信息和时间戳,一并Ticket发送给Server
6.Server利用Master Key解密Ticket,得到Sclient-server,解析用户信息和时间戳,核对用户信息和报文时间有效性,完成认证。
用户可以选择双向认证。可在5中的报文中加入Flag选择认证服务器。服务器用Sclient-server加密时间戳返回给用户,完成认证。