无线端安全登录与鉴权二

过完清明节，脑袋有点懵，眼睛也还睁不开，心情还跟上坟一样……

上次讲到Kerberos分为域内认证模式和域外认证模式两种，域外认证主要是解决跨域认证的问题。

这几天翻看了大量的rfc文档，找了论文，对域外认证的描述都不是很清楚，如果有知道的，麻烦告诉下我，具体的流程是什么样的

今天讲一讲Kerberos的一个User-to-User Authentication过程，这个流程主要是解决Server自己不知道masterKey的情况下，比如代理跟跨域的情况，怎么完成Kerberos的认证流程

先放一个我自己理解的序列图(想更好的理解kerbos的三个核心流程 ASExchange、TGSExchange、CSExchange，请参考 http://www.cnblogs.com/artech/archive/2007/07/07/809545.html)

 

关于第4步何时进行，是根据第3步的情况来的，在第3步过来的时候，可能有两种情况，一种是Skdc_server有效，就直接返回，

另一种就是无效的时候，向kdc请求协商(同client跟kdc协商一样)

kdc一直强调长期密钥加密的信息不应该在网上传递，他的整个流程也是在尽量减少或者避免这种情况，但是他没有完全或者说不能完全杜绝这种情况，比如在第1步，请求TGT的时候，服务端返回的信息是用客户端的masterKey加密的，其实也有不用传递的方法