无线端登录与鉴权是安全登录以及保证用户数据安全的第一步,也是最重要的一步。之前做过一个安全登录与鉴权的方案,借这个机会,系统的思考一下,与大家交流交流
先介绍一下TX系统使用的Kerberos方案,参考了 http://blog.csdn.net/wulantian/article/details/42418231 的文章
一、概念介绍
Kerberos:起源于希腊神话,是一支守护着冥界长着3个头颅的神犬,在keberos Authentication中,Kerberos的3个头颅代表中认证过程中涉及的3方:Client、Server和KDC,而Kerberos的认证过程就是通过这3方协作完成。
KDC:Kerberos Distribution Center,KDC在整个Kerberos Authentication中作为Client和Server共同信任的第三方起着重要的作用,KDC有两个模块,一个是AuthenticationService,鉴权模块,就是用来认证用户身份的,另一个叫GrantingService,授权模块,颁发访问Service的Ticket给客户端;
TGT:Ticket Granting Ticket,获取Ticket的授权,类似股票中的认购证;
Ticket:票据,入场券,访问服务器资源的凭证
MasterKey:主密钥,用户的明文密码经过hash算法后保存在数据库的密码,不可逆;
SessionKey:会话密钥,客户端与服务端通信期间的密钥;
Skdc_client:KDC和Client之间的SessionKey
Skdc_service:KDC和Service之间的SessionKey
Sserver_client:Service和Client之间的SessionKey
二、原理
整个Kerberos是基于ticket(票据的),先借用一个形象的例子解释下原理
Kerberos原理:我(Client)到游乐场去玩,在游乐场的售票处(KDC的AuthenticationService模块)买了一张门票(Ticket),游乐场有很多娱乐项目,像摩天轮啊、过山车、海盗船……等等的,我先排队玩摩天轮(Service),然后到摩天轮的入口处,验票员美女要验我的票,她就拿着我的票到授权服务器(KDC的GrantingService模块)去刷一下,然后滴……学生卡,出来了一个座位号(Ticket),然后就拿着座位号去玩摩天轮(Service),摩天轮的验票员检查我的座位号(Ticket),能过后,我就可以开心地玩过山车了;然后我又来到摩天轮的地方,按照同样的流程去玩……
Kerberos就是实现了这样的一个过程
三、时序图
有一个有意思的地方,TGT本来是应该KDC直接发给Server的,这里KDC交给了Client转发,为什么?因为KDC懒,哈哈……
如果同时发给Client和Server会存在一个先后的问题,必须保证Server在Client之前收到,这个是没办法的,所以比较好的方式是Client带过去。
以上这个就是Kerberos最基本的认证方式,叫域内认证模式,这种方式是有点问题的,就是服务器密钥加密的数据直接返回给客户端了,违背了LongTermKey/MasterKey加密的数据不在网上传输的原则,所以有一种改进方案,请看 无线端安全登录与鉴权二