本發明提出了一種用于Kerberos加密環境下的數據解析方法，涉及Kerberos加解密領域。一種用于Kerberos加密環境下的數據解析方法，具體步驟如下：Kerberos服務器為應用客戶端注冊賬戶并創建客戶端密碼，Kerberos服務器為應用服務器注冊賬戶并創建服務端密碼；Kerberos服務器根據客戶端密碼和服務端密碼生成密鑰文件以發送給解密裝置；應用客戶端生成通信密鑰；Kerberos服務器生成認證密鑰，并通過客戶端密碼加密認證密鑰以生成第一票據。本發明解決了Kerberos認證環境下，客戶端與服務器之間通信內容無法監督的問題。

技術領域

本發明涉及Kerberos加解密領域，具體而言，涉及一種用于Kerberos加密環境下的數據解析方法。

背景技術

Kerberos是一種網絡認證協議，基于對稱密碼實現。Kerberos協議主要用于銀行、政務、電信等重要網絡生產環境的用戶認證，通過加密所有的連接信息來保證數據隱私和完整性，但由于通信協議從明文傳輸轉化為密文傳輸，傳統的審計方式無法解析客戶端與服務器的流量，審計不到用戶的操作行為，這對于服務器的安全也是一個很大的挑戰。本發明要解決基于Kerberos認證環境下，第三方對加密數據的解析和審計問題。

發明內容

本發明的目的在于提供一種用于Kerberos加密環境下的數據解析方法，其能夠在Kerberos加密環境下，通過第三方監督客戶端和服務器之間的數據傳輸，提高網絡環境的安全性。

本發明的實施例是這樣實現的：

本申請實施例提供一種用于Kerberos加密環境下的數據解析方法，包含Kerberos服務器、應用客戶端、應用服務器和解密裝置，具體步驟如下：

上述Kerberos服務器為上述應用客戶端注冊賬戶并創建客戶端密碼，上述Kerberos服務器為上述應用服務器注冊賬戶并創建服務端密碼；

上述Kerberos服務器根據上述客戶端密碼和上述服務端密碼生成密鑰文件以發送給上述解密裝置；

上述應用客戶端生成通信密鑰；上述Kerberos服務器生成認證密鑰，并通過上述客戶端密碼加密上述認證密鑰以生成第一票據，上述Kerberos服務器將上述第一票據發送給上述應用客戶端，上述應用客戶端通過上述客戶端密碼解密上述第一票據從而獲得上述認證密鑰并發送給上述Kerberos服務器，從而上述Kerberos服務器通過上述認證密鑰對上述應用客戶端進行第一次身份認證；

上述應用客戶端通過上述認證密鑰加密上述通信密鑰以生成上述應用服務器的訪問請求，并將上述訪問請求發送給上述Kerberos服務器；

上述Kerberos服務器通過上述認證密鑰解密上述訪問請求以獲得上述通信密鑰，從而通過上述通信密鑰對上述應用客戶端進行第二次身份認證，且認證成功后上述Kerberos服務器依次通過上述認證密鑰和上述服務端密碼加密上述通信密鑰以生成第二票據，上述Kerberos服務器將上述第一票據和上述第二票據發送給上述應用客戶端；

上述應用客戶端將上述第二票據發送給上述應用服務器，上述應用服務器通過上述服務端密碼解密上述第二票據以獲得認證密鑰，并通過上述認證密鑰再次解密上述第二票據以獲得上述通信密鑰；

上述應用客戶端和上述應用服務器之間通過上述Kerberos服務器傳輸的數據包均通過上述通信密鑰加密，其中，上述應用客戶端利用上述客戶端密碼加密數據包，上述應用服務器利用上述服務端密碼加密數據包；

上述解密裝置抓取數據包，并通過上述客戶端密碼和上述服務端密碼解密數據包以獲取上述通信密鑰，利用上述通信密鑰解密數據包。

相對于現有技術，本發明的實施例至少具有如下優點或有益效果：

一種用于Kerberos加密環境下的數據解析方法，