Книга: Инфраструктуры открытых ключей

Получение пользователем билета на доступ к серверу

Получение пользователем билета на доступ к серверу

Когда пользователь А желает получить доступ к серверу, в своем сообщении он отправляет в ЦРК билет TGT, запрос на билет для доступа к серверу и аутентификатор. Это сообщение имеет следующий формат: "имя А", "имя B", TGT: КК ["имя А", SA, срок действия], SA [время] и называется запросом пользователя на доступ к серверу. Аутентификатор доказывает ЦРК, что пользователь А знает сеансовый ключ SA. Аутентификатор состоит из текущего значения даты и времени, зашифрованного сеансовым ключом. Шифрование защищает от возможного перехвата сторонним пользователем С билета TGT из ответа ЦРК пользователю А. Указание текущих значений даты и времени в аутентификаторе требует синхронизации компьютерных часов пользователя А и ЦРК. ЦРК может допускать некоторый разброс времени (обычно 5 мин.). На практике для поддержки синхронизации часов используется протокол синхронизации времени типа Simple Network Time Protocol (SNTP).

ЦРК получает запрос пользователя А на доступ к серверу В и готовит ответ. При помощи ключа ККЦРК расшифровывает билет TGT из запроса, восстанавливает сеансовый ключ SA и проверяет срок действия билета TGT. Если билет TGT - действующий, то ЦРК генерирует ключ для пользователя А и сервера В - KAB и формирует билет. Билет шифруется секретным ключом сервера В - KB и содержит ключ KAB, имя пользователя А и срок действия. В ответе ЦРК указываются имя сервера В и ключ KAB, зашифрованные сеансовым ключом SA, ответ имеет следующий формат: SA ["имя В", KAB, TICKET: KB ["имя А", KAB, срок действия]]. Получив ответ от ЦРК, пользователь А расшифровывает его при помощи сеансового ключа SA.

Оглавление книги

Оглавление статьи/книги
Похожие страницы

Генерация: 0.046. Запросов К БД/Cache: 0 / 0
поделиться
Вверх Вниз