Kerberos经典对话

大概梳理了一下原文的内容：

• 问题：冒充其它用户使用服务
  解决：使用用户口令
• 问题：要求每个服务器存储全部的用户口令，修改也不便
  解决：引入服务口令，认证服务器同时存储服务和用户口令，用户向认证服务器发送自己的口令请求服务口令，使用服务口令登录服务器
• 问题：认证服务器直接返回服务口令，使用一次便失效；
  解决：认证服务器改为向客户端发送票据，仅相应服务可解密票据上的信息，客户端凭票请求服务
• 问题：票据成功解密的标准；第三方可窃取票据冒充用户访问服务
  解决：票据的信息应当包括：用户名，网络地址（防止窃取），服务名（解密成功的标志）
• 问题：票据仅可在使用相同服务时重用，每次使用新的服务必须重新填写用户口令
  解决：建立票据授予服务器，用户只需从认证服务器获取“票据授权票”，重用该票据，即可通过票据授予服务获取其它服务的票据
• 问题：用户口令以明文形式发送到认证服务器
  解决：用户仅发送用户名和服务名，认证服务器用用户口令加密包并发送给用户，只有拥有正确口令的用户才能解密
• 问题：第三方伪造地址窃取用户票据，即使在票据上引入时间戳也不能完全解决问题
  解决：引入用户和服务共享的口令，口令由认证服务器生成发送给用户，用户通过该口令加密用户名和网络地址得到验证器，验证器和票据一起发送给服务，服务解密票据获得口令，再用口令解密验证器完成认证
• 问题：验证器可被窃取
  解决：验证器只能使用一次
• 问题：缺少服务器的认证
  解决：服务器使用与客户端共享的口令加密包发送给用户，用户解密成功则服务器认证成功
  原文内容：Kerberos原理–经典对话