Hình 3-11: Message AS_REP Hình 3-12: Message TGS_REQ

Một phần của tài liệu giải pháp xác thực và bảo mật cho mạng xã hội ứng dụng mô hình kerberos (Trang 39 - 40)

phần của gói tin bằng mật khẩu đã được băm của mình để lấy ra được khóa phiên với Ticket Granting Server. Khóa phiên này cùng với phần còn lại của gói tin là { TGT }KTGS sẽ được lưu trong cookie.

d. Ticket Granting Server Request (TGS_REQ)

Người dùng muốn muốn gửi yêu cầu vé dịch vụ phải làm các bước sau:

 Tạo ra phần xác thực authenticator (bao gồm tên đăng nhập của người dùng và thời điểm tạo authenticator), mã hóa với khóa phiên giữa người dùng và TGS là SKTGS

Authenticator = {username , Timestamp }SKTGS

 Tạo ra gói tin TGS_REQ bao gồm: tên của service cần kết nối, phần xác thực tạo ở trên và TGT được mã hóa bởi khóa của TGS.

TGS_REQ = (servicename , Authenticator) || { TGT }KTGS

Hình 3-12: Message TGS_REQ e. Ticket Granting Server Reply (TGS_REP)

Khi nhận được gói tin TGS_REQ, TGS kiểm tra service được yêu cầu có ở trong bộ nhớ ở Foloyu Server hay không.Nếu tồn tại TGS sẽ mở {TGT }KTGS bằng

khóa bí mật của nó.Nội dung của TGT sau khi được mã hóa gồm có username, servicename, Timestamp, Lifetime và SKTGS. Người dùng sẽ lấy khóa phiên SKTGS

để giải mã phần xác thực authenticator. Để có thể cấp phát được service ticket, các điều kiện sau phải thỏa mãn:

 Vé TGT chưa hết hạn.

 username ở trong authenticator phải khớp với ở trong TGT.

 Authenticator không có trong replay cache và chưa hết hạn.

Tất cả các điều kiện trên thỏa mãn chứng tỏ rằng TGT thực sự thuộc về người dùng gửi yêu cầu này và do đó TGS bắt đầu tiến trình phản hồi lại như sau:

 Tạo ra khóa phiên giữa máy khách và máy chủ dịch vụ.Kí hiệu là SKService  Tạo ra một service ticket có các nội dung sau:

TService = (username , servicename, Timestamp , Lifetime , SKService)

Username: tên người dùng gửi yêu cầu, lấy ở trong Authenticator

Servicename: tên của dịch vụ mà người dùng cần xin vé, lấy ở trong TGS_REQ

TService sau khi được tạo ra sẽ được mã hóa bởi khóa bí mật của dịch vụ mà người dùng yêu cầu: {TService }KService

Thời gian sống của vé dịch vụ là 2 tiếng.

 Sau đó, TGS gửi lại máy khách gói tin TGS_REP với nội dung sau:

TGS_REP = {servicename , Timestamp , Lifetime , SKService }SKTGS|| { TService }KService

Hình 3-13: Message TGS_REP

Một phần của tài liệu giải pháp xác thực và bảo mật cho mạng xã hội ứng dụng mô hình kerberos (Trang 39 - 40)

(83 trang)