要了解验证过程,您需要知道本节中介绍的术语。程序员和系统管理员应该熟悉这些术语。
客户机是在用户工作站上运行的软件。在客户机上运行的 Kerberos 软件将在此过程中发出许多请求。因此,区分该软件的操作和用户的操作非常重要。
术语服务器和服务通常可以互换使用。具体而言,术语服务器用于定义运行 Kerberos 软件的物理系统。术语服务对应于服务器上支持的特定功能(如 ftp 或 nfs)。文档通常会将服务器描述为服务的一部分,但此定义混淆了这些术语的含义。因此,术语 server 是指物理系统。术语 service 是指软件。
Kerberos 产品使用两种类型的密钥。其中一种类型是口令派生的密钥,这种密钥分配给每个用户主体,且仅为用户和 KDC 所知。另一种类型是与口令无关的随机密钥,因此不适合用户主体使用。随机密钥通常用于在密钥表中具有相应项并由 KDC 生成会话密钥的服务主体。服务主体可以使用随机密钥,因为服务可以访问密钥表中允许其以非交互方式运行的密钥。会话密钥由 KDC 生成,并在客户机和服务之间共享,可用于在两者之间提供安全事务。
票证是一种信息包,用于将用户身份安全地传递到服务器或服务。一个票证仅对一台客户机以及某台特定服务器上的一项特殊服务有效。票证包含:
服务的主体名称
用户的主体名称
用户主机的 IP 地址
时间戳
定义票证生命周期的值
会话密钥的副本
所有此类数据都使用服务器的服务密钥进行加密。KDC 颁发的票证嵌入在凭证中。颁发后的票证可重复使用,直到过期。
凭证是一个信息包,其中包含票证和匹配的会话密钥。凭证使用请求主体的密钥进行加密。通常,KDC 会生成凭证以响应客户机的票证请求。
验证者是服务器用来验证客户机用户主体的信息。验证者包含用户的主体名称、时间戳和其他数据。与票证不同,验证者只能使用一次,通常在请求访问服务时使用。验证者使用客户机和服务器共享的会话密钥进行加密。通常,客户机会创建验证者,并将其与服务器或服务的票证一同发送,以便向服务器或服务进行验证。