Простейший диалог аутентификации

1) С→AS; ID_c||P_c||ID_v;

2) AS →С: мандат, мандат = , AD_c – сетевой адрес клиента;

3) С→V: ID_c||мандат

«-»:

• Данный диалог требует от клиента проходить процедуру аутентификации каждый раз при обращении к сервису с введением пароля;

• Пароль передается в открытом виде;

• Мандат может быть использован злоумышленником для подмены IP

Для устранения этих «-» используется защищенный алгоритм аутентификации.

Для реализации более защищенного диалога аутентификации будет использован дополнительный сервер TGS или сервер выдачи мандатов. Этот TGS выдает мандаты пользователям, которые были идентифицированы сервером AS. Т.е. пользователь однократно запрашивает мандат на получение мандата у сервера AS и каждый раз его использует для запроса у сервера TGS мандата для доступа к конкретному сервису.

Однократно в ходе сеанса доступа

1) С→AS; ID_c||ID_TGS;

2) AS→ С: Е_КС[Мандат_TGS;]

Мандат_TGS=Е_КTGS[ID_c||AD_c||ID_TGS||T_S1||C_рок1]

Однократно для каждого сервиса

3) С→TGS: ID_c||ID_v||Мандат_TGS;

4) TGS→С: Мандат_v

Мандат_v=Е_Кv[ID_c||AD_c||ID_v||T_S2||C_рок2]

Каждый раз выполняется при каждом использовании сервиса

5) С→V: ID_c||Мандат_v

«-»:

Мандат_TGS передается в открытом виде на 3 шаге, соответственно может быть перехвачен и использован им до истечения срока действия мандата, используя подмену ID_C и AD_C легального пользователя. Все упирается в сроки действия. Нет взаимной аутентификации К и С.