Kcrbcros使用兩個(gè)服務(wù)器:鑒別服務(wù)器AS(AutllCIltication serveO、票據(jù)授A1101R04C-EZ4A予服務(wù)器TGS(Ⅱcket~Grallting SeⅣer)。KCrberos只用于客戶與服務(wù)器之間的鑒別,而不用于人對(duì)人的鑒別,A是請(qǐng)求服務(wù)的客戶,而B是被請(qǐng)求的服務(wù)器。

   ①注:日前在lxxl絡(luò)安仝領(lǐng)域中犰ket 鬧還沒(méi)有標(biāo)準(zhǔn)譯名,也有人譯為“票”、“執(zhí)照”或“簽條”

   ② 注:Kerbcros是希胩神話中具有二個(gè)頭的狗,它為Had∞(哈得斯,上牢陰問(wèn)的貝+)盾門。 提出請(qǐng)求服務(wù)。Kcrbcros需要通過(guò)以下六個(gè)步驟鑒別的確是A(而不是其他別人冒充A)向B請(qǐng)求服務(wù)后,才向A和B分配會(huì)話使用的密鑰。下面簡(jiǎn)單解釋各步驟。

   ●A用明文(包括登記的身份)向鑒別服務(wù)器As表明自己的身份。As就是KDC,它掌握各實(shí)體登記的身份和相應(yīng)的口令。AS對(duì)A的身份進(jìn)行驗(yàn)證。只有驗(yàn)證結(jié)果正確,才允許A和票據(jù)授予服務(wù)器TGS進(jìn)行聯(lián)系。②As向A發(fā)送用A的對(duì)稱密鑰KA加密的報(bào)文,這個(gè)報(bào)文包含A和TGS通信的會(huì)話密鑰厶以及AS要發(fā)送給TGS的票據(jù)(這個(gè)票據(jù)是用TGS的對(duì)稱密鑰KTG加密的)。A并不保存密鑰KA,但當(dāng)這個(gè)報(bào)文到達(dá)A時(shí),A就鍵入其口令。若口令正確,則該口令和適當(dāng)?shù)乃惴ㄒ黄鹁湍苌沙雒荑�KA。這個(gè)口令隨即被銷毀。密鑰KA用來(lái)對(duì)As發(fā)送過(guò)來(lái)的報(bào)文進(jìn)行解密。這樣就提取出會(huì)話密鑰Ks(這是A和TGS通信要使用的)以及要轉(zhuǎn)發(fā)給TGs的票據(jù)(這是用密鑰K伉加密的)。

   ③A向TGS發(fā)送三個(gè)項(xiàng)目:

   轉(zhuǎn)發(fā)鑒別服務(wù)器As發(fā)來(lái)的票據(jù)。

   ・ 服務(wù)器B的名字。這表明A請(qǐng)求B的服務(wù)。請(qǐng)注意,現(xiàn)在A向TGs證明自己的身份并非通過(guò)鍵入口令(因?yàn)槿肭终吣軌驈木W(wǎng)上截獲明文口令),而是通過(guò)轉(zhuǎn)發(fā)As發(fā)出的票據(jù)(只有A才能提取出)。票據(jù)是加密的,入侵者偽造不了。

  用Ks加密的時(shí)間戳r。它用來(lái)防止入侵者的重放攻擊。

   ④TGs發(fā)送兩個(gè)票據(jù),每一個(gè)都包含A和B通信的會(huì)話密鑰KA:。給A的票據(jù)用砜加密;給B的票據(jù)用B的密鑰丸力口密。請(qǐng)注意,現(xiàn)在入侵者不能提取KA:,因?yàn)?/span>不知道KA和蠔。入侵者也不能重放步驟③,因?yàn)槿肭终卟荒馨褧r(shí)間戳更換為一個(gè)新的(因?yàn)椴恢荔?。如果入侵者在時(shí)間戳到期之前,非常迅速地發(fā)送步驟③的報(bào)文,那么對(duì)TGS發(fā)送過(guò)來(lái)的兩個(gè)票據(jù)仍然不能解密。

   ⑤A向B轉(zhuǎn)發(fā)TGs發(fā)來(lái)的票據(jù),同時(shí)發(fā)送用KA:加密的時(shí)間戳r。