摘要:希赛网软考频道小编为大家整理了网络工程师考试重点:对称密钥的分配,希望对在备考网络工程师的考生有所帮助。
目前常用的密钥分配方式是设立密钥分配中心KDC,目前用的最多的密钥分配协议是Kerberos。
Kerberos使用两个服务器:鉴别服务器AS、票据授权服务器TGS。
在Kerberos认证系统中,用户首先向认证服务器申请初始票据,然后票据授权服务器(TGS)获得会话密码。
1、客户端A向鉴别服务器AS端发起请求,请求的内容是:我是谁,我要和谁通信(B服务器)。然后AS对A的身份进行验证。只有验证结果正确,才允许A和票据授权服务器TGS进行联系。
2、AS向A发送用A的对称密钥KA加密的报文,这个报文里包含A和TGS通信的会话密钥Ks、AS要发给TGS的票据(这个票据是用TGS的对称秘钥KTG加密的),该票据是给TGS服务器的,但是AS并不直接给TGS服务器,而是交给了客户端再由客户端交给TGS服务器。因为该票据由TGS服务器的密钥加密了,所以客户端无法伪造和篡改。
A收到之后,用自己的对称密钥KA把AS发来的报文进行解密。这样就能提取出会话密钥KS(A和TGS通信用的)以及要转发给TGS的票据(这个是用密钥KTG加密的)。
3、A向TGS发送三个项目:
1)转发AS发来的票据。
2)服务器B的名字。这表明A请求B的服务。请注意,现在A向TGS证明自己的身份,就是通过转发AS发出的票据(因为这个票据只有A才能提取出来)。票据是加密的,入侵者伪造不了。
3)用KS加密的时间戳T,用来防止入侵者的重放攻击。
4、TGS收到后,发送2个票据,每一个都包含A和B通信的会话密钥KAB。给A的票据用KS加密;给B的票据用B的密钥KB加密。现在入侵者是无法得到KAB的,因为他没有KA和KB。入侵者也无法重放第三步,因为入侵者也无法更换时间戳,他没有KS。
5、A向B转发TGS发来的票据,同时发送用KAB加密的时间戳。
6、B把时间戳+1来证明收到了票据。B向A发送的报文用密钥KAB进行加密。
之后,A和B之间的通信就用TGS给出的会话密钥KAB进行通信。
想要了解更多软考考试资讯,可以关注希赛网软考频道。
软考备考资料免费领取
去领取