Kerberos：网络认证协议

Kerberos：网络认证协议
9nG)SQ t;Nt0（Kerberos: Network Authentication Protocol）
8T7\t"a)s`p9A0Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。IXPUB技术博客(Erqk[\{zj2}W
认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为： 1) 服务器 “ticket” ； 2) 一个临时加密密钥 （又称为会话密钥 “session key”） 。客户机将 ticket （包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝）传送到服务器上。会话密钥可以（现已经由客户机和服务器共享）用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。IXPUB技术博客+}/r"B;jj3]2~a
上述认证交换过程需要只读方式访问 Kerberos 数据库。但有时，数据库中的记录必须进行修改，如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器（Kerberos 管理器 KADM）间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝，这可以认为是执行过程中的细节问题，并且会不断改变以适应各种不同数据库技术。IXPUB技术博客wV-g,z@n(Cj
协议结构
Fh1YB{0Kerberos 信息：
2p#z7I f/DP~GI0
h6uSs!h0
u:C.@Kv@Y i+tM0客户机/服务器认证交换IXPUB技术博客q(S ^oQJ"S _
[table=550,#999999][tr=#efefef][td]信息方向[/td][td]信息类型[/td][/tr][tr=#ffffff][td]客户机向 Kerberos[/td][td]KRB_AS_REQ[/td][/tr][tr=#ffffff][td]Kerberos 向客户机[/td][td]KRB_AS_REP或KRB_ERROR[/td][/tr][/table]

客户机/服务器认证交换 T d.}8S)Aa(~0

[table=550,#999999][tr=#efefef][td]信息方向[/td][td]信息类型[/td][/tr][tr=#ffffff][td]客户机向应用服务器[/td][td]KRB_AP_REQ[/td][/tr][tr=#ffffff][td][可选项] 应用服务器向客户机[/td][td]KRB_AP_REP或 KRB_ERRORR[/td][/tr][/table]

票证授予服务（TGS）交换IXPUB技术博客9V;V+aT i

[table=550,#999999][tr=#efefef][td]

信息方向IXPUB技术博客3keB!N5Zowq c

[/td][td]

信息类型IXPUB技术博客7v2Kg'xa

[/td][/tr][tr=#ffffff][td]

客户机向 Kerberos

!S|!t/?
|0x0[/td][td]

KRB_TGS_REQ

9U:s1T)oGA&E-W1sP"e(Y0[/td][/tr][tr=#ffffff][td]

Kerberos 向客户机IXPUB技术博客k%cf Ax%^:f,VM

[/td][td]

KRB_TGS_REP或KRB_ERRORIXPUB技术博客.ItLI&s3O V

[/td][/tr][/table]

KRB_SAFE 交换IXPUB技术博客+W1g OC;K KRB_PRIV 交换 dkpN9Pn K0KRB_CRED 交换 NA$CLN+QaD)@0