Kerberos认证协议
kerberos 协议的特点及执行过程。
kerberos 协议的特点及执行过程01Kerberos 协议的概述Kerberos协议最初是在麻省理工学院开发的,现已成为一种广泛使用的网络认证协议。
它基于对称密钥加密算法,使用第三方认证服务器来管理和颁发安全票据。
Kerberos协议提供了一种强大的身份验证机制,可以防止各种网络攻击,并为用户提供了单点登录功能。
02Kerberos 协议的工作原理Kerberos协议的工作可以分为以下步骤:认证(Authentication):用户向认证服务器请求一个 TGT (Ticket Granting Ticket)。
用户通常需要提供用户名和密码来进行身份验证。
认证服务器验证用户的身份,并生成一个 TGT,其中包含一个会话密钥(Session Key)。
获取服务票据(Getting a Service Ticket):一旦用户获得 TGT,他们可以向票据授权服务器请求访问特定服务的服务票据。
用户向TGS(Ticket Granting Server)发送一个包含 TGT 和目标服务的标识的请求。
服务票据验证(Service Ticket Validation):票据授权服务器验证 TGT,并确定用户有权访问所请求的服务。
如果验证成功,票据授权服务器生成一个服务票据,其中包含一个用于与服务进行安全通信的会话密钥。
访问服务(Accessing the Service):用户使用服务票据向目标服务请求访问。
目标服务使用票据中的会话密钥验证用户的身份,并与用户建立安全通信通道。
这种方式使得用户能够使用唯一的身份验证实体(Kerberos)来访问多个服务,而不需要为每个服务提供明文密码。
03Kerberos 协议的优点Kerberos 协议具有以下优点,使其成为网络安全中的重要协议:单点登录(Single Sign-On):Kerberos 允许用户只需进行一次身份验证,即可访问多个资源,无需重复输入密码。
kerberos协议
kerberos协议Kerberos是一种网络认证协议,它提供了一种安全的方法来验证用户和服务之间的身份。
它最初由麻省理工学院开发,现在已成为常用的身份验证协议之一。
Kerberos的运作原理基于票据系统。
在Kerberos协议中,存在三个主要角色:客户端、认证服务器(AS)和票据授权服务器(TGS)。
客户端向AS发送登录请求,AS会生成一个称为“票据授权票(Ticket Granting Ticket,TGT)”的票据,并将其发送给客户端。
客户端使用其登录凭证来解密TGT,并将其发送给TGS。
TGS会验证TGT的有效性,并生成一个称为“服务票据(Service Ticket)”,该票据用于向具体的服务进行身份验证。
为了确保通信的安全性,Kerberos使用了对称密钥加密算法。
在Kerberos的过程中,客户端和AS之间的通信使用密码进行加密,而AS和TGS之间的通信则使用TGS的密码进行加密。
这样一来,即使存在窃听者,他们也无法获得这些通信中的明文信息。
Kerberos协议的安全性还依赖于时间戳的使用。
每个票据都包含一个时间戳,该时间戳用于验证票据的有效性。
如果一个票据的时间戳超过了一定的时间范围,那么该票据将被认为是无效的,从而提供了有效防止重放攻击的机制。
Kerberos协议的优点在于它提供了一个集中化的身份验证系统。
通过使用AS和TGS,可以避免为每个服务单独进行身份验证的复杂性。
此外,客户端只需要在登录时提供一次凭证,然后就可以获得多个服务的访问权限,这提高了系统的效率。
然而,Kerberos协议也存在一些缺点。
首先,它对网络的要求比较高,因为客户端、AS和TGS之间需要频繁的通信。
这对于较大规模和分布式的网络来说可能会对性能产生一定影响。
另外,Kerberos协议也不是完全免疫于网络攻击,比如中间人攻击。
总的来说,Kerberos协议是一种有效的网络身份验证协议。
它通过使用票据系统和对称密钥加密算法,提供了安全的用户和服务之间的身份验证机制。
kerberos 认证的基本概念
kerberos 认证的基本概念摘要:1.Kerberos 认证概述2.Kerberos 认证的基本原理3.Kerberos 认证的过程4.Kerberos 认证的应用实例5.Kerberos 认证的优缺点正文:一、Kerberos 认证概述Kerberos 认证是一种基于对称密钥加密技术的网络认证协议,主要用于计算机网络中的客户端和服务器之间的身份验证。
Kerberos 认证的目标是确保客户端与服务器之间的数据传输安全可靠,防止未经授权的访问。
二、Kerberos 认证的基本原理Kerberos 认证的基本原理是利用对称密钥加密技术,通过客户端与认证服务器之间的双向认证来确保通信双方的身份。
其过程主要包括以下几个步骤:1.客户端向认证服务器发送认证请求,包含客户端的用户名和随机生成的请求密钥。
2.认证服务器接收到请求后,使用客户端的用户名和其存储在服务器上的密钥进行加密计算,生成一个认证响应。
3.认证服务器将认证响应发送回客户端,客户端使用请求密钥对响应进行解密,得到服务器的认证信息。
4.客户端将解密得到的服务器认证信息和自己的用户名一起发送给服务器,服务器使用存储在服务器上的密钥进行解密,验证客户端的身份。
三、Kerberos 认证的过程Kerberos 认证的过程可以分为三个阶段:认证请求阶段、认证响应阶段和认证验证阶段。
1.认证请求阶段:客户端向认证服务器发送认证请求,包含客户端的用户名和随机生成的请求密钥。
2.认证响应阶段:认证服务器接收到请求后,使用客户端的用户名和其存储在服务器上的密钥进行加密计算,生成一个认证响应。
3.认证验证阶段:客户端将解密得到的服务器认证信息和自己的用户名一起发送给服务器,服务器使用存储在服务器上的密钥进行解密,验证客户端的身份。
四、Kerberos 认证的应用实例Kerberos 认证广泛应用于校园网、企业内部网络、云计算等领域。
例如,当一个用户需要访问校园网的某个资源时,首先需要使用Kerberos 认证获取到校园网的访问权限,然后才能访问该资源。
kerberos协议的工作过程
kerberos协议的工作过程Kerberos协议是一种网络身份验证协议,用于确保通信双方的身份,并提供安全的通信环境。
它的工作过程可以分为以下几个步骤:1. 认证请求,首先,客户端向Kerberos认证服务器发送认证请求。
该请求包括客户端的身份信息和所需的服务信息。
2. 颁发票据,Kerberos认证服务器在收到客户端的请求后,生成一个称为票据授权票(Ticket Granting Ticket,TGT)的票据。
TGT包含客户端的身份信息和一个用于后续通信的会话密钥。
3. 客户端认证,Kerberos认证服务器将TGT加密,并使用客户端的密码(或其他凭证)作为密钥,将加密后的TGT发送给客户端。
客户端收到TGT后,使用自己的密码解密TGT,以确认自己的身份。
4. 获取服务票据,一旦客户端成功解密TGT,它将向Kerberos认证服务器发送一个请求,请求访问特定的服务。
该请求包括TGT和所需服务的身份信息。
5. 验证和授权,Kerberos认证服务器验证客户端的身份和TGT 的有效性。
如果验证成功,服务器将生成一个称为服务票据(Service Ticket)的票据,并使用服务的密钥对其进行加密。
6. 服务访问,Kerberos认证服务器将加密的服务票据发送给客户端。
客户端收到服务票据后,将其发送给服务服务器,以请求访问特定的服务。
7. 服务验证,服务服务器收到客户端发送的服务票据后,使用自己的密钥解密票据。
如果解密成功,服务服务器确认客户端的身份,并使用会话密钥对后续通信进行加密。
8. 服务响应,一旦服务服务器确认客户端的身份,它将向客户端发送请求的服务或资源。
总结起来,Kerberos协议通过使用票据和密钥的方式,实现了客户端和服务之间的安全通信。
它通过身份验证、票据颁发和票据验证等步骤,确保了通信的机密性和完整性。
同时,Kerberos还提供了防止重放攻击和窃听攻击的保护机制,从而提高了网络的安全性。
kerberos协议是用来作为( )的方法
kerberos协议是用来作为( )的方法Kerberos协议是用来作为什么?简介Kerberos是一种网络认证协议,用于解决计算机网络上的安全问题。
它采用了加密技术和密钥管理机制,用于验证计算机用户的身份,并确保数据在网络中传输时的机密性和完整性。
Kerberos协议具有高度灵活性和安全性,并被广泛用于企业级网络系统中。
为什么需要认证协议?网络应用中的认证是确保用户身份的过程,它是保证数据安全的基础。
通过有效的认证机制,我们可以防止未经授权的用户访问系统资源、防止数据被篡改或窃取以及防止网络中的各种攻击。
Kerberos协议的功能Kerberos协议具有以下主要功能:1. 用户身份验证Kerberos协议使用用户名和密码进行用户身份验证。
用户向Kerberos服务器发送登录请求,服务器验证用户提供的密码是否正确,并生成一个临时的票据(Ticket Granting Ticket, TGT),用于后续的服务票据请求。
2. 服务票据请求与授权用户获得TGT之后,可以向Kerberos服务器请求特定服务的服务票据。
服务票据是一种可用于访问特定服务资源的凭据,它包含了用户的身份信息和有效期等。
3. 密钥分发与管理Kerberos协议还负责生成、存储和分发用于加密和解密通信数据的会话密钥。
Kerberos服务器作为密钥分发中心,负责生成会话密钥,并将其分发给用户和服务,以确保数据在传输过程中的机密性。
4. 安全通信Kerberos协议使用对称加密算法来保证数据的机密性和完整性。
客户端和服务端使用共享的会话密钥对通信数据进行加密和解密,从而确保只有合法的用户才能够读取和修改数据。
Kerberos协议的主要方法Kerberos协议采用了多个安全技术和方法来实现上述功能。
以下是其中一些主要方法:1. 密码传递和哈希算法Kerberos使用密码传递技术来验证用户身份。
用户在登录时输入密码,该密码通过哈希算法进行处理后与服务器上存储的哈希值进行比对。
Kerberos协议的安全机制
Kerberos协议的安全机制Kerberos是一种网络认证协议,用于在不安全的网络环境中验证用户身份,确保通信的安全性。
它提供了一种可靠的身份验证机制,以防止未经授权的访问和数据篡改。
本文将详细介绍Kerberos协议的安全机制。
一、Kerberos协议概述Kerberos由麻省理工学院(MIT)开发,旨在解决计算机网络中的身份认证和数据安全问题。
它基于密钥分发的原则,通过提供“票根”(Ticket-granting tickets,TGT)的方式进行用户的身份验证。
二、Kerberos协议的工作原理1. 认证流程a) 浏览器向Kerberos认证服务器发送用户的身份信息,请求TGT。
b) Kerberos认证服务器验证用户信息,生成并发送TGT给浏览器。
c) 浏览器使用TGT,在Ticket Granting Server(TGS)请求特定服务的票据。
d) TGS验证TGT,并生成所需服务的票据。
e) 浏览器使用该票据向目标服务请求访问。
2. 安全机制a) 双向身份验证:Kerberos使用身份信息和密码对用户进行身份验证,同时服务器也会对用户的身份进行验证。
b) 密钥分发:Kerberos通过密钥分发中心(Key Distribution Center,KDC)分发并管理用户的密钥。
c) 时钟同步:Kerberos中的票据和票根都有时间限制,需要保证系统中所有计算机的时钟同步,以防止重放攻击。
d) 安全通信:Kerberos使用加密算法对通信数据进行加密,保证通信的安全性。
三、Kerberos协议安全性分析1. 密钥分发中心的安全性KDC是Kerberos协议中的核心,需要保证其安全性。
如果KDC被攻击者控制或者密钥泄露,将导致整个系统的崩溃。
解决方案:密钥分发中心可以使用多因素身份验证,如使用硬件加密芯片或使用物理隔离环境。
2. 票据传输的安全性在Kerberos中,票根和票据的传输需要保证安全性,避免被拦截和窃取,从而避免重放攻击。
Kerberos认证协议的工作流程
Kerberos认证协议的工作流程Kerberos是一个计算机网络身份认证协议,用于验证用户和服务器之间的身份,以确保安全通信。
它通过一系列步骤来实现身份认证和安全授权。
本文将介绍Kerberos认证协议的工作流程。
1. 初始化请求用户想要访问服务器资源时,首先需要向Kerberos身份认证服务器发送一个初始化请求。
这个请求中包含用户的身份信息和所需访问的服务信息。
2. 获取授权票据(Ticket Granting Ticket,TGT)Kerberos服务器验证用户的身份后,生成一个加密的授权票据(TGT),并将其发送给用户。
这个TGT包含了用户的身份信息和有效期。
同时,服务器还会生成一个用于之后身份验证的密钥,称为Session Key。
3. 使用TGT进行认证用户在本地计算机上使用自己的密码和TGT来进行身份验证。
本地计算机将发送一个密码验证请求到Kerberos服务器。
如果密码正确,服务器将使用其私钥解密TGT,并验证用户身份。
4. 获取服务票据(Service Ticket)一旦用户通过身份验证,Kerberos服务器将生成一个加密的服务票据(Service Ticket),其中包含了用户的身份信息、所需访问的服务的身份信息以及Session Key的副本。
这个Service Ticket是用于向特定服务进行身份验证的凭据。
5. 访问资源用户将Service Ticket发送给目标服务器,以申请访问所需的资源。
服务器使用Session Key解密Service Ticket并进行身份验证。
如果身份验证成功,服务器将提供所需的服务和资源给用户。
6. 后续通信用户和服务器之间的后续通信将使用之前生成的Session Key进行加密和解密,以确保通信内容的机密性和完整性。
总结:Kerberos认证协议通过使用票据来实现用户和服务器之间的身份验证和安全通信。
用户从Kerberos服务器获取授权票据(TGT),并使用它进行本地身份验证。
Kerberos身份认证
Kerberos身份认证Kerberos是一个网络认证协议,用于实现网络中的身份认证和密钥分配。
它提供了一种安全的方式,使用户在计算机网络中进行身份验证,从而可以访问受限资源。
本文将介绍Kerberos的基本原理、流程和应用。
一、Kerberos的基本原理Kerberos基于对称密钥加密技术,其基本原理可以概括为以下几个步骤:1. 认证服务器(AS, Authentication Server):在网络中充当认证的第一道关卡。
用户在访问受保护资源之前,首先需要向AS请求服务票据(Ticket-Granting Ticket, TGT)。
用户提供自己的身份信息,AS验证成功后会颁发TGT给用户。
2. 证票授权服务器(TGS, Ticket Granting Server):用户拿到TGT 后,还需要向TGS请求访问特定服务的票据(Service Ticket)。
用户将TGT和特定服务的标识发送给TGS,TGS会验证TGT的真实性,并为用户签发访问该服务的票据。
3. 客户端验证:客户端收到TGT和服务票据后,继续向服务端发起访问请求。
客户端通过TGT中的密钥将自己的身份信息和服务票据加密后发送给服务端。
4. 服务端验证:服务端收到客户端的请求后,通过TGT验证密钥解密身份信息和服务票据,如果验证通过,则可以提供相应的服务。
二、Kerberos的流程Kerberos的认证流程可以描述如下:1. 用户登录:用户在计算机登录时,向AS发送请求,提供用户名和密码。
2. TGT获取:AS验证用户的身份信息,如果通过认证,会向用户发送TGT和密钥。
用户将TGT保存在本地,供以后访问服务使用。
3. 服务票据获取:用户需要访问特定服务时,将TGT发送给TGS,并请求服务票据,同时提供服务标识。
4. 服务访问:用户获取服务票据后,将其发送给服务端,请求访问相应的服务。
5. 服务验证:服务端收到用户的请求后,通过TGS验证票据和密钥,如果通过验证,则提供相应的服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Kerberos 认证协议Hanyil 整理编写 一、Kerberos 概述1、Kerberos 简介 Internet 上的很多协议本身并不提供安全属性。
怀有恶意的 hackers 用“sniff”等工具嗅探 口令是非常普遍的事, 因此在网络上不经加密就传送口令是很不安全的。
许多网站使用防火 墙来解决安全问题,但是,防火墙都是假定攻击都来自外部,但事实常常不是这样,许多攻 击事件都是内部人员所为,而且防火墙还有一个缺点就是会对正常的用户使用 Internet 造成 一定的限制。
由 MIT 开发的 Kerberos 协议就是针对这样的网络安全问题的。
Kerberos 协议使用了强 密码,以使 client 能够通过一个不安全的 Internet 连接向 server 证明他的身份。
在 client 和 server 用 Kerberos 证明了各自的身份后, 还可以对数据加密从而保证数据的保密性和完整性。
Kerberos 是一个分布式的认证服务,它允许一个进程(或客户)代表一个主体(或用户)向验证 者证明他的身份,而不需要通过网络发送那些有可能会被攻击者用来假冒主体身份的数据。
Kerberos 还提供了可选的 client 和 server 之间数据通信的完整性和保密性。
Kerberos 是在 80 年中期作为美国 MIT(麻省理工学院) “雅典娜计划” (Project Athena)的一部分被开发的。
Kerberos 要被用于其它更广泛 的环境时,需要作一些修改以适应新的应用策略和模式,因 此,从 1989 年开始设计了新的 Kerberos 第 5 版(Kerberos V5)尽管 V4 还在被广泛使用, 。
但一般将 V5 作为是 Kerberos 的标准协议。
Kerberos 是古希腊神话中守卫地狱入口狗, 长着三个头 狗。
MIT 之所以将其认证协议命名为 Kerberos,是因为他们 计划通过认证、清算和审计三个方面来建立完善的完全机 图 1 神话中的 Kerberos 制,但目前清算和审计功能的协议还没有实现。
认证是指通过验证发送的数据来判断身份,或验证数据的完整性。
主体(principal)是 要被验证身份的一方。
验证者(verifier)是要确认主体真实身份的一方。
数据完整性是确保 收到的数据和发送的数据是相同, 即在传输过程中没有经过任何篡改。
认证机制根据所提供 的确定程度有所不同,根据验证者的数目也有所不同:有些机制支持一个验证者,而另一些 则允许多个验证者。
另外,有些认证机制支持不可否认性,有些支持第三方认证。
认证机制 的这些不同点会影响到它们的效能, 所以应根据具体应用的需求来选择合适的认证方式就非 常重要。
例如, 对电子邮件的认证就需要支持多个验证者和不可否认性, 但对延时没有要求。
相比之下,性能比较差的机制会导致认证请求频繁的服务器出现问题。
现代的计算机系统一般都是多用户系统, 因此它对用户的请求要能够准确的鉴别。
在传 统的系统中, 都是通过检测用户登录时键入的口令来认证身份的, 系统通过与记录文件对比 从而来判定提供什么类型的服务。
这种验证用户身份的操作称为认证。
基于口令的身份认证 是不适于计算机网络的。
窃听都很容易窃取到通过网络传输的口令, 随后就可以用口令假冒 合法用户登录。
尽管这种缺陷早就被人证认识到了,但直到在 Internet 上造成了很大的危害 才被引起重视。
当使用基于密码学的认证时, 攻击者通过网络窃听不到任何能使他假冒身份 的信息。
Kerberos 就是这种应用的一个最典型的例子。
Kerberos 提供了在开放的网络上验证 主体(如工作站用户或网络服务器)身份一种方式。
它是建立在所有的数据包可以被随意的读保留版权取、修改和插入的假设之下的。
Kerberos 提供在 这种环境下的通过传统密码(共享密钥)实现的 可信第三方认证。
2.应用环境假定 Kerberos 协议的基本应用环境为, 在一个分 布式的 client/server 体系机构中采用一个或多个 Kerberos 服务器提供一个鉴别服务。
Client 想请 求应用服务器 Server 上的资源,首先 Client 向 Kerberos 认证服务器请求一张身份证明, 然后到 将身份证明交给 Server 进行验证, Server 在验证 通过后,即为 Client 分配请求的资源。
KerberosClientServer图2Kerberos 的基本应用Kerberos 协议本身并不是无限安全的,而且也不能自动地提供安全,它是建立在一些假 定之上的,只有在满足这些假定的环境中它才能正常运行。
(1)不存在拒绝服务(Denial of service)攻击。
Kerberos 不能解决拒绝服务(Denial of service)攻击,在该协议的很多环节中,攻击者都可以阻断正常的认证步骤。
这类攻击只能 由管理员和用户来检测和解决。
(2)主体必须保证他们的私钥的安全。
如果一个入侵者通过某种方法窃取了主体的私 钥,他就能冒充身份。
(3) Kerberos 无法应付口令猜测(Password guessing)攻击。
如果一个用户选择了弱口令, 那么攻击都就有可能成功地用口令字典破解掉, 继而获得那些由源自于用户口令加密 (由用 户口令形成的加密链)的所有消息。
(4)网络上每个主机的时钟必须是松散同步的(loosely synchronized)。
这种同步可以 减少应用服务器进行重放攻击检测时所记录的数据。
松散程度可以以一个服务器为准进行配 置。
时钟同步协议必须保证自身的安全,才能保证时钟在网上同步。
(5)主体的标识不能频繁地循环使用。
由于访问控制的典型模式是使用访问控制列表 (ACLs)来对主体进行授权。
如果一个旧的 ACL 还保存着已被删除主体的入口,那么攻击者 可以重新使用这些被删除的用户标识,就会获得旧 ACL 中所说明的访问权限。
3、Kerberos 中的名词 Kerberos 协议的描述中定义了许多术语,比较重要的有如下几个: Principal,主体。
参与网络通信的实体,是具有唯一标识的客户或服务器。
Authentication,认证。
验证一个主体所宣称的身份是否真实。
Authentication header,认证头。
是一个数据记录,包括票据和提交给服务器的认证码。
Authentication path,认证路径。
跨域认证时,所经过的中间域的序列。
Authenticator,认证码。
是一个数据记录,其中包含一些最近产生的信息,产生这些信 息需要用到客户和服务器之间共享的会话密钥 Ticket,票据。
Kerberos 协议中用来记录信息、密钥等的数据结构,client 用它向 server 证明身份,包括了 client 身份标识、会话密钥、时间戳和其它信息。
所有内容都用 server 的 密钥加密。
Session Key, 会话密钥。
两个主体之间使用的一个临时加密密钥, 只是一次会话中使用, 会话结束即作废。
KDC (Key Distribution Center)密钥分发中心,负责发行票据和会话密钥的可信网络服务 中心。
KDC 同时为初始票据和票据授予票据 TGT 请求提供服务。
Kerberos 协议中共涉及到三个服务器,认证服务器(AS),票据授予服务器(TGS),和应 用服务器。
其中 AS 和 TGS 两个服务器为认证提供服务,应用服务器则是为用户提供最终 请求的资源,在 Kerberos 协议中扮演验证者的角色。
4、Kerberos 的子协议组成 基本 Kerberos 认证协议描述如下: 一个 client 发送一个请求给认证服务器(AS)请求一个 对给定服务器的“身份证明”。
AS 返回用户密钥加密的身份证明。
这个身份证明由给服务 器的票据和一个临时加密密钥(通称为会话密钥)组成。
client 将此票据(包括 clinet 的标识、 会话密钥,用户服务器密钥加密)传输给服务器。
会话密钥(现在由 client 和 server 共享)用来 认证 client,也可以选择性地认证 server。
也可以用来加密双方间将要进行的通信,或交换 通信阶段所使用的子会话密钥。
Kerberos 协议由几个子协议(或交换)组成。
client 有两种向 Kerberos 服务器请求“身份 证明”的基本方式。
第一种方式:client 向 AS 发送向某一个特定应用服务器请求资源的明 文请求,AS 的回复用 client 的密钥加密,不过,通常发出这种请求后,AS 不会直接为 client 颁发一个可用于应用服务器的票据,而是颁发一个在后来要交给票据授予服务器 TGS 的票 据授予票据(TGT)。
在第二种方式中,client 向 TGS 发送一个请求,client 用 TGT 向 TGS 用 同样的方式证明自己,回复用户 TGT 中的会话密钥加密。
尽管协议规范中将 AS 和 TGS 作 为独立的服务器来描述,但在实现时可用同一台 Kerberos 服务器执行不同的协议来完成。
一旦获得“身份证明”,在传输过程中“身份证明”就可以用来证明主体的身份,确保他们 之间信息交换的完整性,或保护所传输信息的机密性。
在进行传输时,为了验证主体身份的真实性,client 将票据传给应用服务器。
因为票据 的传输是透明的(部分信息作了加密,但这种加密不能防止重放),所以票据有可能被攻击 者截获然后重放,为应付这种威胁,可以发送一些附加信息,以证明消息来自被授予票据的 真实主体。
这些附加信息(认证码,Authenticator)是用会话密钥加密的,其中还包括了时 间戳。
用时间戳能够证明消息是最新才生成的,而不是被重放的。
用户用会话密钥加密认证 码, 以此来证明这个认证码由拥有会话密钥的一方生成, 因为除了发出请求的主体和服务器 外没有人知道会话密钥(它从不会在未加密的网络上传输),这就保证了主体身份的真实性。
主体之间信息交换的完整性,也可以通过包含在票据和“身份证明”中的会话密钥来保 证,同时,这种方法既能防止重放又能防止对信息流的修改。
可以在为 client 的消息生成一 个消息摘要,用会放密钥进行加密并传送。
以上描述的认证交换需要对 Kerberos 数据库进行只读控制,但当出现增加新的主体或 改变主体密钥时,数据库的入口就必须得修改。
这种操作可以通过 client 和一个第三方 Kerberos 服务器----Kerberos 管理服务器(KADM)之间的协议来完成。
另外还有一个协议是用 户维护 Kerberos 数据库的备份的。