Kerberos认证流程

开篇之前郑重申明:本文是基于Artech 所介绍的Kerberos认证的来谈谈个人对Kerberos认证流程以及消息交互理解。如果您想深入了解,请点击此处。如有理解不当的地方,还望赐教。

先介绍Kerberos中的几个概念:

 

概念说明:
  1. AD:Active Directory
  2. Service Session Key :服务会话密钥
  3. Logon Session Key :登录会话密钥
  4. KDC : Key Distribution Center
  5. KAS :Key Kerberos Authentication Service。它是KDC的一个服务
  6. TGS: Ticket Granting Service;它是KDC的一个服务
  7. Service Ticket :服务票据,通过TGS获取,主要包括用户信息与Service Session Key
  8. TGT: Ticket  Granting Ticket。通过KAS获取,主要包括用户信息与Logon Session Key
  9. Authenticator:交互双方预先知晓的信息,通过它来对对方做认证

 

1、KDC整体结构图 

 

 

2、Kerberos认证的流程:

 

流程说明:

 

  1. 客户端通过KDC(Key Distribution Center)的KAS(Kerberos  Authentication Service )服务获取TGT(Ticket Granting Ticket)。
  2. 通过TGT获取ST(Service Ticket)
  3. 通过Service Ticket访问服务资源 。

 

 

3、Client 与Server 之间的消息交互

1、客户端发送消息到KDC的KAS服务一获取TGT。

此消息交互如下图:

 

说明:客户端发送自己的明文用户名、以及由自己密码派生的密钥加密后的Authenticator到KAS服务

KAS接收到客户端发送过来的消息后处理流程如下: 

  

2、KAS 发送信息到Client

此过程消息交互如下图:

 

客户端接受到KAS的回复后做做如下流程处理:

3、客户端发送消息到KDC(Key Distribution Center)的TGS(Ticket Granting Service)服务一获取ST(Service Ticket)

 此过程消息交互如下图:

 

此过程中TGS(Ticket Granting Service)对接收到的消息处理流程如下:

 

4、TGS服务返回消息给客户端

  此过程消息交互如下图:

 

客户端接受到TGS回复后会有如下流程处理:

 

5、客户端通过ST访问服务器资源

 此过程消息交互如下图: 

 

服务端接收到客户端的消息以后会有如下流程处理:

 

6客户端对服务器的认证

 此过程消息交互如下图: 

 

客户端对服务端的认证流程如下:

 

 

posted @ 2012-07-13 20:20  tyb1222  阅读(4062)  评论(2编辑  收藏  举报