客户端拿到了第二步中的两个票据后,首先用自己的密码解开票据,得到Kc、s,然后生成一个Authenticator,其中主要包括当前时间和Ts,c的校验码,并且用SessionKey Kc,s加密。之后客户端向tgs发起请求,内容包括:
1.Authenticator
2.给tgs的票据同时发给服务器
3.server_principal
TGS首先用自己的密码解开票据,拿到SessionKey Kc,s,然后用Kc,s解开Authenticator,并做如下检查
1.检查Authenticator中的时间戳是不是在当前时间上下5分钟以内,并且检查该时间戳是否首次出现。如果该时间戳不是第一次出现,那说明有人截获了之前客户端发送的内容,进行Replay攻击。
2.检查checksum是否正确
3.如果都正确,客户端就通过了认证
tgs生成一个session key组装两个票据给客户端
1.用客户端和tgs的session key加密的票据,包含新生成的session key和server_principal
2.用服务器的密码加密的票据,包括新生成的session key和client principal
客户端收到两个票据后,解开自己的,然后生成一个Authenticator,发请求给服务器,内容包括
1.Authenticator
2.给服务器的票据
服务器收到请求后,用自己的密码解开票据,得到session key,然后用session key解开authenticator对可无端进行验证
服务器可以选择返回一个用session key加密的之前的是时间戳来完成双向验证
客户端通过解开消息,比较发回的时间戳和自己发送的时间戳是否一致,来验证服务器
SAML
7.4.1. 简介
SAML (Security Assertion Markup Language) 译为安全断言标记语言,是一种xXML格式的语言,使用XML格式交互,来完成SSO的功能。 SAML存在1.1和2.0两个版本,这两个版本不兼容,不过在逻辑概念或者对象结构上大致相当,只是在一些细节上有所差异。
7.4.2. 认证过程
SAML的认证涉及到三个角色,分别为服务提供者(SP)、认证服务(IDP)、用户(Client)。一个比较典型认证过程如下:
Client访问受保护的资源
SP生成认证请求SAML返回给Client
Client提交请求到IDP
IDP返回认证请求
Client登陆IDP
认证成功后,IDP生成私钥签名标识了权限的SAML,返回给Client
Client提交SAML给SP
SP读取SAML,确定请求合法,返回资源
7.4.3. 安全问题
源于ssl模式下的认证可选性,可以删除签名方式标签绕过认证,如果SAML中缺少了expiration,并且断言ID不是唯一的,那么就可能被重放攻击影响,越来越多的网站安全问题日益出现,如果想要对网站或平台进行全面的安全检测以及渗透测试,可以咨询下专业的网站安全公司来进行安全加固渗透测试,国内做的比较好的推荐Sinesafe,绿盟,启明星辰,深信服等等都是比较大的安全公司。