您现在的位置:首页 > 企业新闻 > Kerberos基本认证过程三

Kerberos基本认证过程三

2018-03-21 20:49:22 | 来源:中培企业IT培训网

 客户机将服务许可票据和认证信息发送给服务器,服务器验证票据和认证信息中的相匹配,允许访问服务。如果需要双向鉴别,服务器返回一个认证信息,过程如下图所示。

经过前两个阶段后,客户端获得了与服务器进行通信所需要的服务许可票据和会话密钥。客户端向服务器发送认证信息,并提交服务许可票据。服务器通过解密获得客户端的时间标记或序列号,同时将这些信息用会话密钥加密后发送回客户端。客户端保留最近接收到的时间标记或者序列号的最大值,以防止重放攻击。

C一>S:{A..}K..,{T.,.)K. S一>C:(t)K。。

Kerberos认证协议的缺陷

Kerl)eros,认证系统虽然在网络环境中有着广泛的应用,但也存在一定的局限性。首先,

协议中的认证信息依赖于时间标记来实现抗重放攻击,这要求使用该协议进行认证的计算机需要实现时间同步,严格的时间同步需要有时间服务器,因此,时间服务器的安全至关重要。其次,协议认证的基础是通信方均无条件信任KDC,一旦其安全受到影响,将会威胁整个认证系统的安全,同时,随着用户数量的增加,这种第三方集中认证的方式容易形成系统性能的瓶颈。

预约领优惠