0

当用户登录到加入域的计算机时,或者当客户端向同一域中的服务发送请求时,在这两种情况下,Kerberos 文档都说:

KDC 解密预认证数据并评估内部的时间戳。如果时间戳通过测试,KDC 可以确信预认证数据是用用户密钥加密的,从而验证用户是真实的。

该服务使用会话密钥来解密用户的身份验证器,然后评估内部的时间戳。如果验证器通过了测试,服务会在客户端的请求中查找相互验证标志。

有人可以向我解释 KDC 和服务如何“评估”时间戳吗?评估时间戳与验证用户身份有何关系?

PS:我引用了 Kerberos 版本 5 身份验证协议的工作原理

4

2 回答 2

1

在预认证消息中,服务器接收使用当前会话密钥(或从用户密码派生的密钥)加密的当前时间戳。

因此,服务器尝试使用会话密钥解密此消息,如果结果是给定时间窗口内的时间戳,则服务器可以确定加密已经由知道正确密钥的人完成:当加密已使用错误的密钥完成,则解密的时间戳通常与当前时间相差甚远。

于 2013-09-09T11:54:56.733 回答
0

数据必须在给定的时间范围内到达,否则将被丢弃。寻找“时钟偏差太大”。

于 2013-09-05T19:29:55.890 回答