Processo de autenticação do Network File System
Quando um cliente deseja conversar com um servidor, ele gera aleatoriamente uma chave usada para criptografar os registros de data e hora. Essa chave é conhecida como a chave de conversa (CK).
O cliente criptografa a chave de conversa usando a chave comum DES (descrita em Requisitos de autenticação) e envia para o servidor na primeira transação RPC. Esse processo é ilustrado na figura a seguir.
Esta figura mostra o cliente A conectando-se ao servidor B. O termo K(CK) significa que CK é criptografado com a chave comum DES K. Em sua primeira solicitação, a credencial RPC do cliente contém o nome do cliente (A), a chave de conversa (CK) e a variável chamada win (janela) criptografada com CK. (O tamanho da janela padrão é de 30 minutos.) O verificador de cliente na primeira solicitação contém o registro de data e hora criptografado e um verificador criptografado da janela especificada, win + 1. O verificador de janela dificulta a adivinhação da credencial e aumenta a segurança.
Depois de autenticar o cliente, o servidor armazena os itens a seguir em uma tabela de credenciais:
- Nome do cliente, A
- Chave de conversa, CK
- Janela
- Data e hora
O servidor aceita somente registros de data e hora que são cronologicamente maiores do que o última visto, por isso, as transações reproduzidas são garantidamente rejeitadas. O servidor retorna ao cliente no verificador um ID de índice na tabela de credenciais, mais o registro de data e hora do cliente menos 1, criptografado por CK. O cliente sabe que somente o servidor poderia ter enviado tal verificador, pois somente o servidor sabe qual registro de data hora o cliente enviou. A razão para subtrair 1 do registro de data e hora é assegurar que ele não seja válido e não possa ser reutilizado como verificador de cliente. Após a primeira transação RPC, o cliente envia apenas o seu ID e um registro de data e hora criptografado para o servidor, o qual envia de volta o registro de data e hora do cliente menos 1, criptografado por CK.