本篇文章我會用一個故事來講一個Kerberos的處理過程,整個事務的處理過程不完全等同於Kerberos的實際處理過程,只是作爲一個參考。
假定香港反黑局派了一個臥底(資源服務器-梁朝偉飾)到黑社會組織B,現在反黑局派要一個信使(Kerberos客戶端-劉德華飾)去和這個臥底見面,以便交流情報。但問題是,臥底沒見過信使,信使也沒見過臥底。當他們見面時,怎麼來驗證對方身份呢?很簡單,雖然他們都沒見過面,但他們都認識一個人,那就是反黑局的BOSS(KDC-黃秋生飾),因爲信使和臥底他都認識,而且是他派梁朝偉潛入黑社會組織B,同時他現在要劉德華使去和這個臥底見面。
劉德華來到黃秋生辦公室,出示一份請求,要求黃秋生給他一張票證,要求票證中的祕密是隻有黃秋生和臥底(梁朝偉)知道,並用自己的密碼哈希加密這份請求
黃秋生作爲反黑局BOSS,安全意識一向很強,他也要確認你就是所說的劉德華,以免別人冒充劉德華來問他要票證。於是黃秋生使用劉德華的密碼哈希來解密這份請求,如果驗證不通過,就說明這個劉德華是冒充的,如果通過則會起草一個票證交給劉德華。這個票證有兩部分組成:
1) 第一部分是一個隨機數,它是黃秋生隨便寫的,並用劉德華的密碼哈希來加密
2) 第二部分包含相同的隨機數、信使的姓名、起草這份票證的時間和日期以及這份票證的有效期,這部分會用臥底(梁朝偉)的密碼哈希來加密
作爲警察,信使的安全意識也不會差,他也要驗證這個黃秋生就是他要找的那個黃秋生,於是他用自己的密碼哈希來解密屬於他的那部分內容,如果是亂碼或無法解密,就認爲他是假冒的boss,如果解密成功,那麼就認定這是真的boss,於是把這張票證放到自己的口袋裏。
在一個月黑分風高的夜晚,梁朝偉和劉德華在一個酒吧見面了。
他們首先交換了各自的姓名。然後劉德華拿出由boss起草的票證並把屬於對方的那部分給了梁朝偉。他們虎視眈眈的看着對方,氣氛非常的緊張。他們一邊看着對方,一邊把手放在自己腰間的槍上(是腰間,不是褲襠間),隨時準備動手。接下來有可能會發生如下情況:
1) 梁朝偉無法解密票證,劉德華就知道對方是假冒的,二話不說,拔出槍把對方幹掉
2) 如果梁朝偉能解密票證,但其中是亂碼,他就知道對方是假冒劉德華,拔出槍,把對方幹掉
3) 如果能解密票證,但裏面顯示的姓名和剛纔交換的不符,不用說了,直接拔出槍掉對方
4) 如果能解密,但當前時間已經過了這張票證的有效時間,梁朝偉會把票證扔了,並和對方再次約定下次見面的時間和地點,然後走出酒吧。(對,他沒有買單)
如果以上情況都沒有發生,認證就結束了嗎?還沒有,這時,梁朝偉會交給劉德華一封信,其中包含了梁朝偉的姓名、當前時間、以及他提出的一些條件。這封信會用頭頭票證中的隨機數來加密。這個時候隨機數就會變成雙方的共享密鑰。
劉德華用boss給他的那部分隨機數來解密,如果解密成功,然後查看裏面的條件,如果能接收,雙方的認證過程結束。然後開始交流情報。
下一篇文章將來到真實的環境,來看看票證是如何申請以及如果去訪問資源和驗證票證的