Получение пользователем билета на доступ к серверу

Получение пользователем билета на доступ к серверу

Когда пользователь А желает получить доступ к серверу, в своем сообщении он отправляет в ЦРК билет TGT, запрос на билет для доступа к серверу и аутентификатор. Это сообщение имеет следующий формат: "имя А", "имя B", TGT: К_К ["имя А", S_A, срок действия], S_A [время] и называется запросом пользователя на доступ к серверу. Аутентификатор доказывает ЦРК, что пользователь А знает сеансовый ключ S_A. Аутентификатор состоит из текущего значения даты и времени, зашифрованного сеансовым ключом. Шифрование защищает от возможного перехвата сторонним пользователем С билета TGT из ответа ЦРК пользователю А. Указание текущих значений даты и времени в аутентификаторе требует синхронизации компьютерных часов пользователя А и ЦРК. ЦРК может допускать некоторый разброс времени (обычно 5 мин.). На практике для поддержки синхронизации часов используется протокол синхронизации времени типа Simple Network Time Protocol (SNTP).

ЦРК получает запрос пользователя А на доступ к серверу В и готовит ответ. При помощи ключа К_К ЦРК расшифровывает билет TGT из запроса, восстанавливает сеансовый ключ S_A и проверяет срок действия билета TGT. Если билет TGT - действующий, то ЦРК генерирует ключ для пользователя А и сервера В - K_AB и формирует билет. Билет шифруется секретным ключом сервера В - K_B и содержит ключ K_AB, имя пользователя А и срок действия. В ответе ЦРК указываются имя сервера В и ключ K_AB, зашифрованные сеансовым ключом S_A, ответ имеет следующий формат: S_A ["имя В", K_AB, TICKET: K_B ["имя А", K_AB, срок действия]]. Получив ответ от ЦРК, пользователь А расшифровывает его при помощи сеансового ключа S_A.