Kerberos协议工作原理

《Kerberos协议工作原理》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、Kerberos协议工作原理Kerberos协议主要用于计算机网络的身份鉴(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据⑴cket-grantingticket)访问多个服务，即SSO(SingleSignOn)。由于在每个Client和ServiceZ间建立了共享密钥，使得该协议具有相当的安全性。条件先来看看Kerberos协议的前提条件：如下图所示，Client与KDC,KDC与Service在协议工作前己经有了各白的共享密钥，并且由于协议中的消息无法穿透防火墙，这些条件就限制了K

2、erberos协议往往用于一个组织的内部，使其应用场景不同于X.509PKLIdentityStoreAuthenticationBroker/KDCTicketRequestClientServiceRequestService过程KerberosI办议分为两个部分：1.Client向KDC发送H己的身份信息，KDC从TicketGrantingService得到TGT(ticket-grantingticket),并用协议开始而Client与KDC之间的密钥将TGT加密回复给Cliento此时只有真正的Client才能利用它与KD

3、C之间的密钥将加密麻的TGT解密,从而获得TGT。(此过程避免了Client接向KDC发送密码，以求通过验证的不安全方式)2.Client利用之/前获得的TGT向KDC诘求其他Service的Ticket,从而通过其他Service的身份鉴别。6KDCKerberos协议的更点在于第二部分，简介如下：③SendRequest④ValidateTicketClient⑤SendResponseService①TicketRequest2)ServiceTicket1.Client将之前获得TGT和要谙求的服务信息（服务名等）发送给KDC

4、,KDC中的TicketGrantingService将为Client和ServiceZ间生成一个SessionKey用于Service对Client的身份鉴别。然后KDC将这个SessionKey和川户名，用户地址（IP）,服务名，有效期，时间戳一起包装成一个Ticket（这些信息最终用于Service对Client的身份鉴別）发送给Service,不过Kerberos协议并没有直接将Ticket发送给Service,而是通过Client转发给Service.所以有了第二步。2.此时KDC将刚才的Ticket转发给Cliento由于

5、这个Ticket是要给Service的，不能让Client看到，所以KDC用协议开始前KDC与Service之间的密钥将Ticket加密后再发送给Client。同时为了让Client和ServiceZ间共享那个秘密（KDC在笫一步为它们创建的SessionKey）,KDC川Client与它Z间的密钥将SessionKey加密随加密的Ticket一起返回给Client01.为了完成Ticket的传递，Client将刚才收到的Ticket转发到Service.由于Client不知道KDC与Service之间的密钥，所以它无法算改Ticke

6、t中的信息。同时Client将收到的SessionKey解密出来,然后将自己的用户名,用户地址（IP）打包成AuthenticatorSessionKey加密也发送给Serviceo2.Service收到Ticket后利用它与KDCZ间的密钥将Ticket的信息解密出来，从而获得SessionKey和用户名，用八地址（IP）,服务名，有效期。然后再用SessionKey将Authenticator解密从而获得用户名，用户地址（IP）将其与Z前Ticket中解密出来的用户名，用户地址（1P）做比较从而验证Client的身份。3.如果Se

7、rvice有返冋结果，将其返冋给Cliento总结概括起来说Kerberos协议主要做了两件事1.Ticket的安全传递。2.SessionKey的安全发布。再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用SessionKey,在通过鉴别之后Client和Service之间传递的消息也可以获得Confidentiality（机密性），Integrity（^整性）的保证。不过由于没有使用非对称密钥口然也就无法具有抗否认性，这也限制了它的应川。不过相对而言它比X.509PKI的身份鉴别方式实施起來要简单多了。推荐资料:Ke

8、rberos的原理Kerberos:AnAuthenticationServiceforComputerNetworks