2.Kerberos基本認(rèn)證過程

Kerberos基本認(rèn)證過程可以分為三個階段，分別由三組消息來完成。在介紹協(xié)議之前， 首先給出相關(guān)符號定義：

C( Client)：客戶端； S( Server)：服務(wù)器；

Kx:X與KDC的共享密鑰； Kx.。：X和Y的會話密鑰；

Tx,v:X使用Y時的憑據(jù)； Ax:X的認(rèn)證標(biāo)記；

N: -次性隨機(jī)數(shù)；

t：時間標(biāo)記或序列號。

第一階段：獲得票據(jù)許可票據(jù)

本階段，用戶登錄客戶端請求服務(wù)，認(rèn)證服務(wù)器( AS)在數(shù)據(jù)庫中驗證用戶的訪問權(quán)限，生成票據(jù)許可票據(jù)和會話密鑰，過程如下圖所示。

　　首先，用戶從客戶端向AS發(fā)送包含有用戶名、服務(wù)器名和一個隨機(jī)數(shù)N的消息KRB—AS—REQ。

C->AS:C，TGS，N

AS驗證C的身份和訪問權(quán)限后，隨機(jī)生成一個加密密鑰K。，.。。作為下一階段客戶方與TGS通信時使用的會話密鑰，生成一個包含客戶方、會話密鑰以及開始和失效時間等信息的TGT，用TGS的密鑰K。進(jìn)行加密。AS將會話密鑰K..,igs和N用客戶端的密鑰K。，加密，并與TGT 一起構(gòu)成消息KRB AS—REP，發(fā)送給客戶端。客戶端通過用戶口令變換出Kci,獲得會話密鑰K。.。。，根據(jù)N驗證該消息是新鮮的，從而確信TGT是AS最新生成的。

AS一>C：（Kn.g，N}K.，，{T。；靜）K.艫第二階段：獲得服務(wù)許可票據(jù)