Kerberos认证流程

开篇之前郑重申明：本文是基于Artech 所介绍的Kerberos认证的来谈谈个人对Kerberos认证流程以及消息交互理解。如果您想深入了解，请点击此处。如有理解不当的地方，还望赐教。

先介绍Kerberos中的几个概念：

 

概念说明：

1. AD：Active Directory
2. Service Session Key :服务会话密钥
3. Logon Session Key :登录会话密钥
4. KDC : Key Distribution Center
5. KAS :Key Kerberos Authentication Service。它是KDC的一个服务
6. TGS: Ticket Granting Service；它是KDC的一个服务
7. Service Ticket :服务票据，通过TGS获取，主要包括用户信息与Service Session Key
8. TGT： Ticket  Granting Ticket。通过KAS获取，主要包括用户信息与Logon Session Key
9. Authenticator:交互双方预先知晓的信息，通过它来对对方做认证

 

1、KDC整体结构图 

 

 

2、Kerberos认证的流程：

 

流程说明：

 

1. 客户端通过KDC（Key Distribution Center）的KAS(Kerberos  Authentication Service )服务获取TGT（Ticket Granting Ticket）。
2. 通过TGT获取ST（Service Ticket）
3. 通过Service Ticket访问服务资源 。

 

 

3、Client 与Server 之间的消息交互

1、客户端发送消息到KDC的KAS服务一获取TGT。

此消息交互如下图：

 

说明：客户端发送自己的明文用户名、以及由自己密码派生的密钥加密后的Authenticator到KAS服务

KAS接收到客户端发送过来的消息后处理流程如下： 

  

2、KAS 发送信息到Client

此过程消息交互如下图：

 

客户端接受到KAS的回复后做做如下流程处理：

3、客户端发送消息到KDC（Key Distribution Center）的TGS（Ticket Granting Service）服务一获取ST（Service Ticket）

 此过程消息交互如下图：

 

此过程中TGS（Ticket Granting Service）对接收到的消息处理流程如下：

 

4、TGS服务返回消息给客户端

  此过程消息交互如下图：

 

客户端接受到TGS回复后会有如下流程处理：

 

5、客户端通过ST访问服务器资源

 此过程消息交互如下图： 

 

服务端接收到客户端的消息以后会有如下流程处理：

 

6客户端对服务器的认证

 此过程消息交互如下图： 

 

客户端对服务端的认证流程如下：