Zum Hauptinhalt springen

3.2. The Client/Server Authentication Exchange (Client-/Server-Authentifizierungsaustausch)

Overview (Überblick)

Der Client/Server-Authentifizierungsaustausch (Client/Server, CS) wird verwendet, wenn sich ein Client gegenüber einem Anwendungsserver mit einem vom TGS bezogenen Service-Ticket authentifizieren möchte.

Message Flow (Nachrichtenfluss)

  1. KRB_AP_REQ: Der Client sendet eine Authentifizierungsanfrage an den Anwendungsserver
    • Enthält das Service-Ticket
    • Enthält den Authenticator (verschlüsselt mit dem Session Key)
  2. KRB_AP_REP: Optionale Antwort des Servers für wechselseitige Authentifizierung (mutual authentication)

The KRB_AP_REQ Message (Die Nachricht KRB_AP_REQ)

Components (Komponenten)

  • Ticket: Verschlüsselt mit dem Langzeitschlüssel des Servers, enthält:
    • Client-Identität
    • Session Key
    • Gültigkeitszeitraum
  • Authenticator: Verschlüsselt mit dem Session Key, enthält:
    • Client-Principal-Name
    • Zeitstempel
    • Optionalen Sub-Session Key

Generation Process (Erzeugung)

Der Client erstellt den Authenticator und verpackt ihn zusammen mit dem Ticket zur Übertragung an den Anwendungsserver.

Receipt and Verification (Empfang und Verifikation)

Anwendungsserver:

  1. Entschlüsselt das Ticket mit seinem Langzeitschlüssel
  2. Extrahiert den Session Key
  3. Entschlüsselt und prüft den Authenticator
  4. Prüft den Zeitstempel zum Replay-Schutz

The KRB_AP_REP Message (Die Nachricht KRB_AP_REP)

Purpose (Zweck)

Ermöglicht wechselseitige Authentifizierung: Sie beweist dem Client, dass der Server den Session Key besitzt.

Generation (Erzeugung)

Der Server erstellt eine mit dem Session Key verschlüsselte Antwort, die den Zeitstempel aus dem Authenticator des Clients enthält.

Receipt (Empfang)

Der Client verifiziert den Zeitstempel, um den Besitz des Session Keys durch den Server zu bestätigen.

Using the Encryption Key (Verwendung des Verschlüsselungsschlüssels)

Nach erfolgreicher Authentifizierung kann der Session Key (oder optionale Sub-Session Key) verwendet werden, um:

  • nachfolgende Nachrichten zu verschlüsseln,
  • Integritätsschutz zu bieten,
  • einen sicheren Kanal aufzubauen.

Reference (Referenz)

Vollständige technische Details finden sich in RFC 4120 Abschnitt 3.2.

Letztes Update am