无线端安全登录与鉴权二
过完清明节,脑袋有点懵,眼睛也还睁不开,心情还跟上坟一样……
上次讲到Kerberos分为域内认证模式和域外认证模式两种,域外认证主要是解决跨域认证的问题。
这几天翻看了大量的rfc文档,找了论文,对域外认证的描述都不是很清楚,如果有知道的,麻烦告诉下我,具体的流程是什么样的
今天讲一讲Kerberos的一个User-to-User Authentication过程,这个流程主要是解决Server自己不知道masterKey的情况下,比如代理跟跨域的情况,怎么完成Kerberos的认证流程
先放一个我自己理解的序列图(想更好的理解kerbos的三个核心流程 ASExchange、TGSExchange、CSExchange,请参考 http://www.cnblogs.com/artech/archive/2007/07/07/809545.html)
关于第4步何时进行,是根据第3步的情况来的,在第3步过来的时候,可能有两种情况,一种是Skdc_server有效,就直接返回,
另一种就是无效的时候,向kdc请求协商(同client跟kdc协商一样)
kdc一直强调长期密钥加密的信息不应该在网上传递,他的整个流程也是在尽量减少或者避免这种情况,但是他没有完全或者说不能完全杜绝这种情况,比如在第1步,请求TGT的时候,服务端返回的信息是用客户端的masterKey加密的,其实也有不用传递的方法