Kerberos Snooping原理描述

Kerberos Snooping原理描述

Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。Kerberos是第三方认证机制，通过第三方（Kerberos服务器）来对彼此进行身份验证。
Kerberos Snooping利用Kerberos认证技术，在接入设备上控制用户访问网络权限。如果接入设备收到特定的Kerberos报文，则认为用户认证通过，允许用户访问网络资源，具体请参见Kerberos认证过程。
Kerberos Snooping典型组网
如图5-1所示，Kerberos认证系统为典型的Client/Server结构，包括四个实体：客户端、接入设备、Kerberos服务器和应用服务器。
图5-1 Kerberos Snooping典型组网

客户端：支持Kerberos协议的用户终端设备。
接入设备：客户端访问网络的网络控制点。
        在用户认证通过之前，仅允许DHCP、DNS、ARP、Kerberos协议报文通过。
        在用户认证通过后，允许用户访问网络资源。
Kerberos服务器：又称为密钥分发中心KDC（Key Distribution Center）或认证服务器，接收客户端认证请求的服务器系统。
 应用服务器：存储网络资源的设备。

Kerberos认证过程
客户端访问应用服务器，首先要获得访问应用服务器的Ticket。如图5-2所示，Kerberos整个认证过程可以分为3个子过程。
（1）Authentication Service Exchange：客户端向Kerberos服务器申请TGT（Ticket Granting Ticket）。
客户端向Kerberos服务器发送KRB_AS_REQ报文，报文中会携带自己的身份信息，用于申请TGT。Kerberos服务器验证客户端的身份信息，验证通过后，向客户端发送KRB_AS_REP报文，报文中会携带TGT。
（2）Ticket Granting Service Exchange：客户端通过获得的TGT向Kerberos服务器申请用于访问应用服务器的Ticket。
客户端通过获得的TGT向Kerberos服务器发送KRB_TGS_REQ报文，用于申请访问应用服务器的Ticket。Kerberos服务器验证客户端的身份信息，验证通过后，向客户端发送KRB_TGS_REP报文，报文中会携带Ticket。
（3）Client/Server Exchange：客户端向应用服务器提交Ticket。
客户端通过获得的Ticket向应用服务器发送KRB_AP_REQ报文。应用服务器验证客户端的Ticket，验证通过后，向客户端发送KRB_AP_REP报文，允许客户端访问资源。

而接入设备在整个过程中作为访问控制点，用户认证通过之前，不允许业务报文通过。接入设备根据预先配置的Kerberos服务器的IP地址和端口号来识别Kerberos服务器发来的报文，如果收到该服务器的KRB_AS_REP、KRB_TGS_REP或KRB_AP_REP报文，则认为用户认证通过，允许用户访问网络资源。
图5-2 Kerberos认证过程

HTTP、HTTPS、SSL、TLS、CA证书、CSR（列表、list、全）HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html