在Kerberos协议的整个实现过程中,涉及几个身份鉴别过程,Kerberos Server对客户端身份的认证,服务器对客户端身份的鉴别,客户端对服务器身份的鉴别,下面的示意图(图5-8)能够更深入的反映Kerberos的这些身份鉴别过程: 图5-8 Kerberos密钥信息交换过程 在AS交换阶段,Client端向KDC(上图细化为Kerberos Server)申请“许可票据”,KDC通过使用事先存储的共享客户端密钥(上图为红色密钥)来实现对Client身份的鉴别;在TGS交换阶段, Client端向KDC申请用于和服务器进行加密通信的会话密钥,KDC(上图细化为Ticket Granting Server)是通过鉴别Client端是否拥有AS交换阶段中Kerberos Server颁发的随机密钥(上图为粉红色密钥)来实现对Client身份的鉴别;在CS交换阶段,Server端通过验证Client端是否拥有TGS 服务器随机颁发的会话密钥(上图为褐色密钥)来鉴别Client端的身份,Client端通过验证Server端是否拥有服务器共享密钥(上图为青绿色密 钥)来鉴别Server端的身份。 可见,在Kerberos工作的AS交换、TGS交换和CS交换三个阶段,所实现的身份鉴别过程均符合前面5.2.3小节中所提出的“基于对称加密的 模型”,所有鉴别机制的实现均依赖于被鉴别方是否拥有某一对称密钥来实现。 |
没有评论:
发表评论