Kcrbcros使用两个服务器:鉴别服务器AS(AutllCIltication serveO、票据授A1101R04C-EZ4A予服务器TGS(Ⅱcket~Grallting SeⅣer)。KCrberos只用于客户与服务器之间的鉴别,而不用于人对人的鉴别,A是请求服务的客户,而B是被请求的服务器。

   ①注:日前在lxxl络安仝领域中犰ket 闹还没有标准译名,也有人译为“票”、“执照”或“签条”

   ② 注:Kerbcros是希胩神话中具有二个头的狗,它为Had∞(哈得斯,上牢阴问的贝+)盾门。 提出请求服务。Kcrbcros需要通过以下六个步骤鉴别的确是A(而不是其他别人冒充A)向B请求服务后,才向A和B分配会话使用的密钥。下面简单解释各步骤。

   ●A用明文(包括登记的身份)向鉴别服务器As表明自己的身份。As就是KDC,它掌握各实体登记的身份和相应的口令。AS对A的身份进行验证。只有验证结果正确,才允许A和票据授予服务器TGS进行联系。②As向A发送用A的对称密钥KA加密的报文,这个报文包含A和TGS通信的会话密钥厶以及AS要发送给TGS的票据(这个票据是用TGS的对称密钥KTG加密的)。A并不保存密钥KA,但当这个报文到达A时,A就键入其口令。若口令正确,则该口令和适当的算法一起就能生成出密钥KA。这个口令随即被销毁。密钥KA用来对As发送过来的报文进行解密。这样就提取出会话密钥Ks(这是A和TGS通信要使用的)以及要转发给TGs的票据(这是用密钥K伉加密的)。

   ③A向TGS发送三个项目:

   转发鉴别服务器As发来的票据。

   ・ 服务器B的名字。这表明A请求B的服务。请注意,现在A向TGs证明自己的身份并非通过键入口令(因为入侵者能够从网上截获明文口令),而是通过转发As发出的票据(只有A才能提取出)。票据是加密的,入侵者伪造不了。

  用Ks加密的时间戳r。它用来防止入侵者的重放攻击。

   ④TGs发送两个票据,每一个都包含A和B通信的会话密钥KA:。给A的票据用砜加密;给B的票据用B的密钥丸力口密。请注意,现在入侵者不能提取KA:,因为不知道KA和蚝。入侵者也不能重放步骤③,因为入侵者不能把时间戳更换为一个新的(因为不知道蟋)。如果入侵者在时间戳到期之前,非常迅速地发送步骤③的报文,那么对TGS发送过来的两个票据仍然不能解密。

   ⑤A向B转发TGs发来的票据,同时发送用KA:加密的时间戳r。