Kerberos4協議
(a)用於獲取票據受權票據的認證服務交換
1.C->AS:IDC||IDtgs||TS1
//客戶端向AS(認證服務器)發送請求訪問TGS(票據受權票據)的信息
2.AS->C:E(KC,[KC,TGS||IDtgs||TS2||lifetime2||Tickettgs])
Tickettgs=E(Ktgs,[KC,tgs||IDC||ADC||IDtgs||TS2||lifetime2])
//AS回覆消息,消息被用戶口令的密鑰KC加密,消息中含有C與TGS的會話密鑰(對稱加密)——KC,TGS,消息中還有票據Tickettgs(用於訪問TGS),票據包含時間戳(TS)也有生存時間(lifetime)。
(b)用於得到服務受權票據的票據受權票據服務交換
3.C->TGS:IDV||tickettgs||authenticatorc
//客戶端向TGS發送票據、認證符,服務器ID
4.TGS->C:E(KC,tgs,[KC,V||IDV||TS4||TicketV])
Tickettgs=E(Ktgs,[KC,tgs||IDC||ADC||IDtgs||TS2||lifetime2])//能夠在生存時間內反覆使用
Tickerv=E(KV,[KC,V||IDC||ADC||IDV||TS4||lifetime4])//只有V能夠解密
Authenticatorc=E(KC,tgs,[IDC||ADC||TS3])//使tgs確認出示者爲客戶端,有效期短,避免重放攻擊。
//TGS返回消息,包含服務器ID(IDV)、服務器與客戶端會話密鑰(KC,V)、時間戳、給V的票據。
(c)爲得到服務而進行的客戶端/服務器認證交換
5.C->V:Ticketv||Authenticatorc
//發送票據以及認證
6.V–>C:E(KC,V,[TS5+1])//使C確認不是先前應答的重放
Ticketv=E(Kv,[Kc,v||IDc||ADc||IDv||TS4||lifetime4])
Authentacatorc=E(Kc,v,[IDc||ADc||TSs])
服務器
**以上爲自我學習筆記,不足與錯誤歡迎指出**