享受代碼,享受人生

Kerberos協(xié)議主要用于計算機網(wǎng)絡(luò)的身份鑒別(Authentication), 其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-granting ticket)訪問多個服務(wù)，即SSO(Single Sign On)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當(dāng)?shù)陌踩浴?br>
條件

先來看看Kerberos協(xié)議的前提條件：

如下圖所示，Client與KDC， KDC與Service 在協(xié)議工作前已經(jīng)有了各自的共享密鑰，并且由于協(xié)議中的消息無法穿透防火墻，這些條件就限制了Kerberos協(xié)議往往用于一個組織的內(nèi)部， 使其應(yīng)用場景不同于X.509 PKI。

過程

Kerberos協(xié)議分為兩個部分：

1 . Client向KDC發(fā)送自己的身份信息，KDC從Ticket Granting Service得到TGT(ticket-granting ticket)， 并用協(xié)議開始前Client與KDC之間的密鑰將TGT加密回復(fù)給Client。

此時只有真正的Client才能利用它與KDC之間的密鑰將加密后的TGT解密，從而獲得TGT。

（此過程避免了Client直接向KDC發(fā)送密碼，以求通過驗證的不安全方式）

2. Client利用之前獲得的TGT向KDC請求其他Service的Ticket，從而通過其他Service的身份鑒別。

 Kerberos協(xié)議的重點在于第二部分，簡介如下：

1．    Client將之前獲得TGT和要請求的服務(wù)信息(服務(wù)名等)發(fā)送給KDC，KDC中的Ticket Granting Service將為Client和Service之間生成一個Session Key用于Service對Client的身份鑒別。然后KDC將這個Session Key和用戶名，用戶地址（IP），服務(wù)名，有效期, 時間戳一起包裝成一個Ticket(這些信息最終用于Service對Client的身份鑒別)發(fā)送給Service， 不過Kerberos協(xié)議并沒有直接將Ticket發(fā)送給Service，而是通過Client轉(zhuǎn)發(fā)給Service.所以有了第二步。

2．    此時KDC將剛才的Ticket轉(zhuǎn)發(fā)給Client。由于這個Ticket是要給Service的，不能讓Client看到，所以KDC用協(xié)議開始前KDC與Service之間的密鑰將Ticket加密后再發(fā)送給Client。同時為了讓Client和Service之間共享那個秘密(KDC在第一步為它們創(chuàng)建的Session Key)， KDC用Client與它之間的密鑰將Session Key加密隨加密的Ticket一起返回給Client。

3．    為了完成Ticket的傳遞，Client將剛才收到的Ticket轉(zhuǎn)發(fā)到Service. 由于Client不知道KDC與Service之間的密鑰，所以它無法算改Ticket中的信息。同時Client將收到的Session Key解密出來，然后將自己的用戶名，用戶地址（IP）打包成Authenticator用Session Key加密也發(fā)送給Service。

4．    Service 收到Ticket后利用它與KDC之間的密鑰將Ticket中的信息解密出來，從而獲得Session Key和用戶名，用戶地址（IP），服務(wù)名，有效期。然后再用Session Key將Authenticator解密從而獲得用戶名，用戶地址（IP）將其與之前Ticket中解密出來的用戶名，用戶地址（IP）做比較從而驗證Client的身份。

5．    如果Service有返回結(jié)果，將其返回給Client。

總結(jié)

概括起來說Kerberos協(xié)議主要做了兩件事

1．    Ticket的安全傳遞。

2．    Session Key的安全發(fā)布。

再加上時間戳的使用就很大程度上的保證了用戶鑒別的安全性。并且利用Session Key，在通過鑒別之后Client和Service之間傳遞的消息也可以獲得Confidentiality(機密性), Integrity(完整性)的保證。不過由于沒有使用非對稱密鑰自然也就無法具有抗否認(rèn)性，這也限制了它的應(yīng)用。不過相對而言它比X.509 PKI的身份鑒別方式實施起來要簡單多了。

推薦資料：

Kerberos的原理

Kerberos: An Authentication Service for Computer Networks

Web Services Security系列文章