Взаємна автентифікації суб’єктів з довіреною третьою стороною

1 Схема симетричної автентифікації з довіреною третьою мережею

Довірена третя сторона (арбітр) Chris

володіє секретними ключами КАС і КВС відповідно

Крок 1: Аlice бажає взаємодіяти з Воb та надсилає Chris

повідомлення,

Крок 2: Сhris отримавши повідомлення

формує сеансовий ключ КАВ для взаємодії суб'єктів

Це зашифроване повідомлення

містить сеансовий ключ для роботи з Воb і шифровку,

Крок 3: Аlice розшифрувавши отримане повідомлення, визначає ключ КАВ і дозвіл

4 Після цього Воb формує відповідь на запит і відправляє Аlice

Крок 5: Аlice отримавши повідомлення

розшифровує його і перевіряє відповідь Воb;

2 Протокол Керберос

Схема передбачає взаємодію між трьома програмними компонентами

клієнтом С,
сервером Kerberos

Kerberos

Сервер Kerberos має доступ до бази даних, яка містить ідентифікатори і

Запис кожного користувача і кожного прикладного сервера в базі даних Kerberos

Програмне забезпечення сервера Kerberos

розділене за своїми функціями на дві частини:
сервер

Крок 1 Клієнт С посилає серверу автентифікації повідомлення, що містить :

ідентифікатор

Крок 2 – 1: Сервер автентифікації здійснює

пошук в базі даних Kerberos

Крок 2-2: Після цього сервер AS посилає відповідь клієнту. Ця відповідь

Крок 2-3

Друга шифровка, отримана на ключі , це дозвіл (ticket-granting ticket)

Крок 3

Отримавши повідомлення, клієнт розшифровує першу його половину на ключі ,

Крок 3-2

Потім клієнт посилає запит серверу видачі дозволів.
Повідомлення для

Крок 4 Сервер видачі дозволів

розшифровує дозвіл
дізнається сеансовий ключ ,

Крок 4-2 Упевнившись у справжності клієнта, сервер TGS

виробляє сеансовий ключ

Крок 4-3 Після цього відправляється повідомлення клієнту, яке містить

зашифровані на

Крок 5-1

Клієнт, отримавши повідомлення, розшифровує першу його частину з якої витягує

Крок 5-2

Саме «запечатаний» ключем дозвіл клієнт прочитати не може.
Таким чином,

Крок 5-3

Нарешті, клієнт посилає серверу S повідомлення, що містить свій ідентифікатор

Крок 6-1

Прийнявши повідомлення від клієнта і «розпечатавши» дозвіл , прикладний сервер

Крок 6-2

Відповідь сервера клієнту надсилається в тому випадку, коли потрібна взаємна

3 Протокол Керберос 5

Крок 1

Клієнт С надсилає локальному серверу AS
Idc , Idtgs , Nc

Крок 2

Локальний сервер AS надсилає клієнтові С
Ek (Nc,Kc,as, ID tgs,

Крок 2 можна записати як

{IDtgs, Ekc,tgs (Idc, Idtgs, tas, l, Kc,tgs)}
Tas

Кроки 1-2

Виконуються виключно під час першого входження клієнта до системи.

Крок 3

Клієнт С надсилає локальному серверу TGS автентифікатор для видачі квитків
Ac,tgs=Ekc,tgs

Remark - REM

Коментар # пояснювальний текст у програмі, макрокоманді або командному

Крок 4

Локальний сервер TGP надсилає клієнтові С зашифроване повідомлення
Ekc,tgs (Kc,tgs, ID

Кроки 3-4

Виконуються кожного разу коли клієнт С бажає звернутися до серверу

Крок 5

Клієнт С звертається до віддаленого сервера TGS:
Ac,tgs-rem, Tc, tgs-rem, IDs

Крок 6

Віддалений TGS сервер надсилає клієнтові С:
Ekc,tgs-rem (Kc, s- rem ,

Кроки 5-6

Виконуються кожного разу коли клієнт С звертається до нового сервера

Крок 7

Клієнт С надсилає віддаленому серверу S
Ac.s-rem =
Ekc,s-rem (IDc, tc, kc,s-rem,

Крок 8

Віддалений сервер S надсилає клієнтові С
As-rem,c =
Ekc,s-rem (IDs - rem,