标签：服务 票据 Kerberos 用户 口令 对话 经典 服务器 认证

Kerberos经典对话

大概梳理了一下原文的内容：

• 问题：冒充其它用户使用服务
  解决：使用用户口令
• 问题：要求每个服务器存储全部的用户口令，修改也不便
  解决：引入服务口令，认证服务器同时存储服务和用户口令，用户向认证服务器发送自己的口令请求服务口令，使用服务口令登录服务器
• 问题：认证服务器直接返回服务口令，使用一次便失效；
  解决：认证服务器改为向客户端发送票据，仅相应服务可解密票据上的信息，客户端凭票请求服务
• 问题：票据成功解密的标准；第三方可窃取票据冒充用户访问服务
  解决：票据的信息应当包括：用户名，网络地址（防止窃取），服务名（解密成功的标志）
• 问题：票据仅可在使用相同服务时重用，每次使用新的服务必须重新填写用户口令
  解决：建立票据授予服务器，用户只需从认证服务器获取“票据授权票”，重用该票据，即可通过票据授予服务获取其它服务的票据
• 问题：用户口令以明文形式发送到认证服务器
  解决：用户仅发送用户名和服务名，认证服务器用用户口令加密包并发送给用户，只有拥有正确口令的用户才能解密
• 问题：第三方伪造地址窃取用户票据，即使在票据上引入时间戳也不能完全解决问题
  解决：引入用户和服务共享的口令，口令由认证服务器生成发送给用户，用户通过该口令加密用户名和网络地址得到验证器，验证器和票据一起发送给服务，服务解密票据获得口令，再用口令解密验证器完成认证
• 问题：验证器可被窃取
  解决：验证器只能使用一次
• 问题：缺少服务器的认证
  解决：服务器使用与客户端共享的口令加密包发送给用户，用户解密成功则服务器认证成功
  原文内容：Kerberos原理–经典对话

标签：服务,票据,Kerberos,用户,口令,对话,经典,服务器,认证
来源： https://blog.csdn.net/tbcsdnst/article/details/119861588

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。