Các thành phần trong các bản tin của Kerberos:
Bản tin (1): Máy con yêu cầu cấp thẻ xác nhận người dùng (Ticket Granting Ticket):
− IDC: Nhận diện của người dùng (do máy con gởi đến cho AS, dựa trên thông tin đăng nhập củangười dùng).
− IDtgs: Nhận diện của TGS, mục đích cho AS biết rằng máy con đang muốn truy xuất đến TGS.
− TS1: Nhãn thời gian, đồng bộ thời gian giữa AS và máy con.
Bản tin (2): AS cung cấp thẻ xác nhận người dùng cho máy con:
− Kc: Dùng chính mật khẩu của người dùng làm khoá mật mã, vừa có mục đích bảo vệ thông tin vừa cho phép AS xác thực mật khẩu của người dùng. Nếu máy con không có mật khẩu đúng thì sẽ không giải mã được bản tin này.
− Kc, tgs: khoá bí mật được dùng giữa máy con và TGS do AS tạo ra. Khóa này chỉ có tác dụng trong một phiên làm việc (session key).
− IDtgs: Nhận diện của TGS, dùng để xác nhận rằng thẻ này có tác dụng cho phép máy con truy xuất đến TGS.
− TS2: Nhãn thời gian, cho biết thời điểm thẻ được tạo ra.
Máy chủ xác thực (AS) Máy chủ cấp thẻ (TGS) Kerberos Máy con (C) Máy chủ (V)
Ticket granting Ticket Request Ticket + session key
Service granting Ticket Request Ticket + session key
Yêu cầu dịch vụ Cung cấp dịch vụ
− Lifetime2: Cho máy con biết thời gian tồn tại của thẻ.
− Tickettgs: Máy con dùng thẻ này để truy xuất TGS.
Bản tin (3): Máy con yêu cầumáy chủ TGS cấp thẻ truy xuất dịch vụ (Service Granting Ticket):
− IDV: Nhận dạng của máy chủ V, dùng để thông báo cho TGS là máy con muốn truy xuất đến dịch vụ của máy chủ V.
− Tickettgs: Thẻ được cấp cho máy con bởi AS
− Authenticatorc: một giá trị được tạo ra bởi máy con để xác minh thẻ.
Bản in (4): TGS cung cấp thẻ truy xuất dịch vụ cho máy con::
− Kc, tgs: Khoá bí mật dùng chung giữa máy con và TGS
− Kc, v: Khoá bí mật giữa máy con và máy chủ V do TGS tạo ra. Khoá này chỉ có giá trị trong từng phiên làm việc (session key).
− IDv: Nhận diện của máy chủ V, xác nhận thẻ của máy chủ V
− TS4: nhãn thời gian cho biết thời điểm thẻ được tạo ra.
− Ticketv: Thẻ được máy con dùng để truy xuất máy chủ V.
− Tickettgs: Thẻ này được dùng lại để người dùng không phải nhập lại mật khẩu khi muốn truy xuất dịch vụ khác.
− Ktgs: Khóa bí mật dùng chung giữa AS và TGS.
− Kc, tgs: Session key được TGS dùng để giải mã authenticator. Khoá này được dùng chung giữa máy con và TGS.
− IDC: Nhận diện máy con, cho biết đây là chủ sở hữu của thẻ.
− ADC: Địa chỉ mạng của máy con, dùng để ngăn chặn trường hợp một máy khác lấy cắp thẻđể yêu cầu dịch vụ.
− IDtgs: Nhận diện TGS, để xác nhận thẻ đã được giải mã thành công.
− TS2: Nhãn thời gian cho biết thời điểm tạo ra thẻ.
− Lifetime2: Thời gian tồn tại thẻ, ngăn chặn sử dụng lại thẻ (Replay).
− Authenticatorc: Thông tin xác thực của máy con.
− Kc, tgs: Khoá bí mật dùng chung giữa máy con và TGS, dùng để mã hoá thông tin xác thực của máy con.
− IDc: Nhận dạng máy con, phải trùng với ID trong thẻ.
− ADc: Địa chỉ mạng của máy con, phải trùng với địa chỉ trong thẻ.
− TS3: Nhãn thời gian, cho biết thời điểm Authenticator được tạo ra.
Bản tin (5): Máy con yêu cầu truy xuất dịch vụ:
− Ticketv: Thẻ cho biết máycon đã được xác thực bởi AS.
− Authenticatorc: Thông tin xác thực thẻ của máy con.
− Kc, v: Khoá bí mật dùng chung giữa máy con và máy chủ V.
− TS5 + 1: Nhãn thời gian, không dùng thông tin xác thực cũ
− Ticketv: Thẻ truy xuất máy chủ V, có thể dùng lại khi máy con truy xuất dịch vụ đến chính máy chủ V không cần yêu cầu cấp thẻ mới.
− Kv: Khoá bí mật dùng chung giữa TGS và máy chủ V.
− Kc, v: Khoá bí mật dùng chung giữa máy con và máy chủ V, dùng để giải mã thông tin xác thực.
− IDc: Nhận dạng của máy con.
− ADc: Địa chỉ mạng của máy con.
− IDv: Nhận dạng của máy chủ V.
− TS4: Nhãn thời gian cho biết thời điểm thẻ được tạo.
− Lifetime4: Thời gian tồn tại của thẻ.
− Authenticatorc: Thông tin xác thực của máy con.
− Kc, v: Khoá bí mật, dùng chung giữa máy con và máy chủ V để mã hoá thông tin xác thực.
− IDc: Nhận diện máy con, phải giống với IDc trong thẻ
− ADc: Địa chỉ mạng của máy con, phải giống với địa chỉ trong thẻ.
− TS5: Thời điểm thông tin xác thực được tạo ra.
Kết hợp giữa nhiều hệ thống Kerberos:
Một môi trường sử dụng hệ thống xác thực Kerberos đầy đủ bao gồm máy chủ Kerberos (Kerberos server), các máy chủ dịch vụ (application server) và các máy con sử dụng dịch vụ (client), trong đó:
− Máy chủ Kerberos phải có danh sách tất cả các tên đăng nhập và mật khẩu đã được mã hóa của các người dùng này. Tất cả các máy con đều phải đăng ký với máy chủ Kerberos.
− Máy chủ Kerberos sử dụng một khóa bí mật chung với các máy chủ còn lại. Tất cả các máy chủ đều phải đăng ký với máy chủ Kerberos.
Một môi trường thỏa mãn các điều kiện như vậy được gọi là một Domain
Như vậy, các máy chủ và máy con thuộc các đơn vị quản lý khác nhau sẽ thuộc về các lãnh địa Kerberos khác nhau. Giao thức xác thực Kerberos cũng bao gồm các thủ tục cho phép kết hợp các lãnh địa Kerberos lại để cung cấp dịch vụ một cách đồng nhất. Hình 3.4 mô tả họat động của thủ tục này.
Trình tự của thủ tục kết hợp lãnh địa Kerberos được tóm tắt như sau: (1)C → AS: IDc + IDtgs + TS1
(2) AS → C: E([Kc,tgs + IDtgs + TS2 + Lifetime2 + Tickettgs], Kc) (3) C → TGS: IDtgsrem + Tickettgs + Authenticatorc
(5) C → TGSrem: IDvrem + Tickettgsrem + Authenticatorc
(6) TGSrem→ C: E([Kc,vrem + IDvrem + TS6 + Ticketvrem], Kc,tgsrem) (7) C→ Vrem: Ticketvrem + Authenticatorc