ở Foloyu Server trong đó AS sẽ làm nhiệm vụ xác thực người dùng còn TGS sẽ làm nhiệm vụ cấp phát vé dịch vụ cho người dùng đã được chứng thực.
Profile Engine có cơ sở dữ liệu chứa thông tin về người dùng trong hệ thống và các dịch vụ được cung cấp trong hệ thống. Do đó, Profile Engine sẽ cung cấp dịch vụ để AS có thể xác thực được người dùng.
Các Engine như Profile, Location, Feed cung cấp các dịch vụ cho Foloyu Server khi có yêu cầu.
Ở phía client, các vé dịch vụ và các khóa phiên dùng để giải mã và mã hóa các thông điệp trong các phiên giao dịch với các máy chủ dịch vụ sẽ được lưu trong cookie bởi web browser.Thuật toán dùng để mã hóa và giải mã các thông điệp là thuật toán AES (Advanced Encryption Standard), là một thuật toán mã hóa khối được chính phủ Hoa Kỳ áp dụng làm tiêu chuẩn mã hóa.
Ở phía Foloyu Server, các khóa phiên cũng như các khóa bí mật của các máy chủ dịch vụ sẽ được lưu trong bộ nhớ của Foloyu Server để có thể giải mã và mã hóa các thông điệp.
1.6.2. Mô tả cấu trúc các thông điệp trong hệ thống
Sau khi đã có một cái nhìn tổng quan về cách giao thức Kerberos xác thực và thiết lập bảo mật kênh truyền, phần này chúng ta sẽ đi sâu hơn về việc mô tả các thông điệp được trao đổi giữa Foloyu Server và phía client.
a. Chú thích một số kí hiệu
Kí hiệu Mô tả
A= (B,C) Gói tin A chứa 2 dữ liệu B và C A = B || C Gói tin A có gồm có 2 gói tin B và C {D}K Gói tin D được mã hóa bởi khóa K
b. Authentication Server Request (AS_REQ)
Tại màn hình đăng nhập vào hệ thống, người dùng sẽ gõ tên đăng nhập và mật khẩu của mình vào. Mật khẩu của người dùng sẽ được băm ra để dùng làm khóa bí mật của người dùng. Thuật toán băm được sử dụng là thuật toán băm MD5 với giá trị băm dài 128 bit.
Sau đó, gói tin AS_REQ (Authentication Server Request) sẽ được tạo và gửi đến Authentication Server (AS) để xác thực. Nội dung gói tin đó gồm có:
AS_REQ = (username,servicename)
Username: tên đăng nhập của người dùng
Servicename: tên của dịch vụ mà người dùng muốn kết nối (mặc định là krbtgt).
Hình 3-10: Message AS_REQ