【信息安全案例】——身份与访问安全（学习笔记，四面楚歌的网络安全工程师该何去何从

i

c

k

e

t

t

g

s

=

E

(

K

t

g

s

,

[

K

c

,

t

g

s

∥

I

D

c

∥

A

D

c

∥

I

D

t

g

s

∥

T

S

2

∥

L

i

f

e

t

i

m

e

2

]

)

（2） \mathrm{AS} \rightarrow \mathrm{C}: \quad \mathrm{E}\left(\mathrm{K}{\mathrm{c}},\left[\mathrm{K}{\mathrm{c}, \mathrm{tgs}}|| \mathrm{ID}{\mathrm{tgs}}\left|\mathrm{TS}{2}\right|\right.\right. \mathrm{Lifetime} {2} | \left.\left.\mathrm{Ticket}{\mathrm{tgs}}\right]\right) \ \mathrm{Where \ Ticket} {\mathrm{tgs}}=\mathrm{E}\left(\mathrm{K}{\mathrm{tgs}},\left[\mathrm{K}{\mathrm{c}, \mathrm{tgs}}\left|\mathrm{ID}{\mathrm{c}}\right| \mathrm{AD}{\mathrm{c}}\left|\mathrm{ID}{\mathrm{tgs}}\right| \mathrm{TS}{2} | \mathrm{Lifetime}{2}\right]\right)

（2）AS→C:E(Kc​,[Kc,tgs​∣∣IDtgs​∥TS2​∥Lifetime2​∥Tickettgs​])Where Tickettgs​=E(Ktgs​,[Kc,tgs​∥IDc​∥ADc​∥IDtgs​∥TS2​∥Lifetime2​])

注：时间戳TS2：产生票据授权票据的时间
有效期Lifetime2：票据授权票据的有效期
网络地址ADc：客户的IP地址

多选题
以上关于Kerberos认证过程中AS和用户C交互过程，说法正确的是？
A. 其中Kc是由用户C的口令生成，仅用户C和AS知道
B. TS2是产生Tickettgs的时间戳，用来防重放攻击的
C. ADc是用户C的IP地址，与IDc配合一起核验用户C的身份
D.该过程是基于对称密码进行的身份认证过程
答案：ABCD

• 取得与服务器通信的票据

1. 客户端通过IDv表明自己要与服务器V通信，Tickettgs表明自己已通过AS的认证，Authenticatorc是证明自己是Tickettgs的拥有者

（

3

）

C

→

T

G

S

:

I

D

v

∥

T

i

c

k

e

t

t

g

s

∥

A

u

t

h

e

n

t

i

c

a

t

o

r

c

T

i

c

k

e

t

t

g

s

=

E

(

K

t

g

s

,

[

K

c

,

t

g

s

∥

I

D

C

∥

A

D

C

∥

I

D

t

g

s

∣

∣

T

S

2

∥

L

i

f

e

t

i

m

e

2

]

)

A

u

t

h

e

n

t

i

c

a

t

o

r

c

c

=

E

(

K

c

,

t

g

s

,

[

I

D

C

∥

A

D

C

∥

T

S

3

]

)

（3）\mathrm{C} \rightarrow \mathrm{TGS}: \quad \mathrm{ID}{\mathrm{v}} | \mathrm{Ticket} {\mathrm{tgs}} | \mathrm{Authenticator} {\mathrm{c}} \ \mathrm{Ticket} {\mathrm{tgs}}=\mathrm{E}\left(\mathrm{K}{\mathrm{tgs}},\left[\mathrm{K}{\mathrm{c,tgs}}\left|\mathrm{ID}{\mathrm{C}}\right| \mathrm{AD}{\mathrm{C}}\left|\mathrm{ID}{\mathrm{tgs}}|| \mathrm{TS}{2}\right|\right.\right. \mathrm{Lifetime}{2}\left.\left.\right ] \right) \ \mathrm{Authenticator}\mathrm{c}{\mathrm{c}}=\mathrm{E}\left(\mathrm{K}{\mathrm{c}, \mathrm{tgs}},\left[\mathrm{ID}{\mathrm{C}}\left|\mathrm{AD}{\mathrm{C}}\right| \mathrm{TS}{3}\right]\right)

（3）C→TGS:IDv​∥Tickettgs​∥Authenticatorc​Tickettgs​=E(Ktgs​,[Kc,tgs​∥IDC​∥ADC​∥IDtgs​∣∣TS2​∥Lifetime2​])Authenticatorcc​=E(Kc,tgs​,[IDC​∥ADC​∥TS3​])

1. TGS为C和服务器V生成一个会话密钥Kc,v，生成一个用来与服务器通信用的票据Ticketv ，生成时间戳TS4表明