align="justify"> Як уже згадувалося, перше повідомлення від аутентификационного сервера містило не тільки квитанцію, але і секретний ключ сеансу K s, який поділяється з сервером квитанцій TGS. Клієнт використовує цей ключ для шифрування ще однієї електронної форми, званої аутентифікатором {А} До $. Аутентифікатор А містить ідентифікатор і мережевий адресу користувача, а також власну тимчасову позначку. На відміну від квитанції {T TGS} K, яка протягом сеансу використовується багаторазово, аутентифікатор призначений для одноразового використання і має дуже короткий час життя - зазвичай кілька хвилин. Kerberos-клієнт посилає серверу квитанцій TGS повідомлення-запит, що містить квитанцію і аутентифікатор: {Т Т сз} К, {A} KS.
Сервер квитанцій розшифровує квитанцію наявними у нього ключем К, перевіряє, чи не минув термін дії квитанції, і витягує з неї ідентифікатор користувача.
Потім сервер TGS розшифровує аутентифікатор, використовуючи ключ сеансу користувача K s, який він витягнув з квитанції. Сервер квитанцій порівнює ідентифікатор користувача і його мережеву адресу з аналогічними параметрами в квитанції та повідомленні. Якщо вони співпадають, то сервер квитанцій отримує впевненість, що дана квитанція дійсно представлена ??її законним власником.
Зауважимо, що просте володіння квитанцією на отримання доступу до сервера квитанцій доводить ідентичність користувача. Так як аутентифікатор дійсний тільки протягом короткого проміжку часу, то малоймовірно вкрасти одночасно і квитанцію, і аутентифікатор і використовувати їх протягом цього часу. Кожен раз, коли користувач звертається до сервера квитанцій для отримання нової квитанції на доступ до ресурсу, він посилає багаторазово використовувану квитанцію і новий аутентифікатор.
Клієнт звертається до сервера квитанцій за дозволом на доступ до ресурсного сервера, який тут позначений як RS1. Сервер квитанцій, упевнившись у легальності запиту і особу користувача, відсилає йому відповідь, у якому дві електронних форми: багаторазово використовувану квитанцію на отримання доступу до запитуваного ресурсному сервера T RS1 і новий ключ сеансу K S1.
Квитанція на отримання доступу шифрується секретним ключем K RS1 gt; розділяються тільки сервером квитанцій і тим сервером, до якого надається доступ, в даному випадку - RS1. Сервер квитанцій розділяє унікальні секретні ключі з кожним сервером мережі. Ці ключі розподіляються між серверами мережі фізичним способом або яким-небудь іншим секретним способом при установці системи Kerberos. Коли сервер квитанцій передає квитанцію на доступ до якого-небудь ресурсному серверу, то він шифрує її, так що тільки цей сервер зможе розшифрувати її за допомогою свого унікального ключа.
Новий ключ сеансу K S1 міститься не тільки в самому повідомленні, що посилається клієнтом, а й усередині квитанції T RS1. Всі повідомлення шифрується старим ключем сеансу клієнта K s, так що його може прочитати тільки цей клієнт. Використовуючи введені позначення, відповідь сервера TGS клієнту можна представити в наступному вигляді: {{T RS1} K RS1, K S1} KS.
. 8 Отримання доступу до ресурсу
Коли клієнт розшифровує повідомлення, що надійшло, то він відсилає серверу, до якого він хоче отримати доступ, запит, що містить квитанцію на отримання доступу і аутентифікатор, зашифрований новим ключем сеансу: {TR si} KR si, {А } К.
Це повідомлення обробляється аналогічно тому, як оброблявся запит клієнта сервером TGS. Спочатку розшифровується квитанція ключем K RS1, потім витягується ключ сеансу KS i і розшифровується аутентифікатор. Далі порівнюються дані про користувача, що містяться в квитанції і аутентифікаторі. Якщо перевірка проходить успішно, то доступ до мережного ресурсу дозволений.
На цьому етапі клієнт також може захотіти перевірити автентичність сервера перед тим, як почати з ним працювати. Взаємна процедура аутентифікації запобігає будь-яку можливість спроби отримання неавторизованим користувачем доступу до секретної інформації від клієнта шляхом підміни сервера.
Аутентифікація ресурсного сервера в системі Kerberos виконується у відповідності з наступною процедурою. Клієнт звертається до сервера з пропозицією, щоб той надіслав йому повідомлення, в якому повторив тимчасову позначку з аутентифікатора клієнта, збільшену на 1. Крім того, потрібно, щоб дане повідомлення було зашифровано ключем сеансу KS). Щоб виконати такий запит клієнта, сервер витягує копію ключа сеансу з квитанції на доступ, використовує цей ключ для розшифровки аутентифікатора, нарощує значення тимчасової оцінки на 1, заново зашифровує повідомлення, використовуючи ключ сеансу, і повертає повідомлення клієнту. Клієнт розшифровує це повідомлення, щоб отримати збільшену на одини...
