Kerberos认证协议认证授权流程-白话解读

最新推荐文章于 2024-07-29 11:33:03 发布
最新推荐文章于 2024-07-29 11:33:03 发布
阅读量2.9k 收藏 11
点赞数 2
分类专栏: 白话解读 文章标签: 计算机 网络 安全 Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SimGenius/article/details/77081827
版权
本文以通俗易懂的方式解析Kerberos协议,包括基于密码学的认证思想,用户认证、服务授权和服务请求流程。通过Kerberos,用户在不安全网络环境中能安全证明身份,避免明文密码传输,确保通信安全。
摘要由CSDN通过智能技术生成

本文参考了Wikipedia上面的Kerberos词条,对Kerberos的用户认证、服务授权、服务请求过程,用大白话解读。

1前言

我相信有很多人看不懂Kerberos协议,所以我终于看懂以后用大白话说一遍,让那些看不懂的人看懂,让我忘了以后变成看不懂的人的时候再次看懂。

Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。

这是Wikipedia上面的解释。
不知道什么是Kerberos的请先读一遍Wikipedia上面的Kerberos词条(自备梯子),这个词条我认为是写得最明白的,看完后再来看本文可以加深理解,看蒙了也正常,看本文也能了解个大概。

2 Kerberos核心思想

2.1 基于密码学

Kerberos是一个基于密码学的认证体系。什么是基于密码学?在我的理解,就是

能用密钥解开内容,就说明你具有这个密钥。

我举个例子说明。
当我们进行登录时,需要将UsernamePassword传输到服务端,服务端根据用户名找到用户信息后,再核对密码是否正确,核对正确以后,给用户颁发一个UserToken,作为今后用户使用系统的临时凭据。
而在Kerberos登录过程中,用户将UsernamePassword输入到登录界面中,客户端只是将Username传送到服务端,服务端找到用户信息以后,直接给用户一个UserToken,但这个UserToken是用用户的Password加密的。因此,如果用户想得到这个UserToken,那么,用户必须输入正确的Password才能解开。
也就是说,当用户输入错误的Password时,他无法得到UserToken,就无法完成登录使用系统。当输入正确的Password时,他就得到了UserToken,可以使用系统。
在Kerberos认证协议中,大量使用了这种方式和思想。这种方式的好处就是,用户的Password不会在网络上传输,并且层层的加密保证了系统即使在一个非安全的网络(可能被监听)中也不会泄露信息。

2.2 后端服务私有密钥

这里的私有密钥指的不是公钥密码体制里面的公钥和私钥,指的是

每个服务都有一个独立的密钥

基于2.1中提到的密码学认证方式,当进行服务授权时,授权中心服务授权票据使用服务的私有密钥加密,如果服务用私有密钥

最低0.47元/天 解锁文章
SimGenius
关注
专栏目录
kerberos认证_Kerberos认证流程
weixin_39695241的博客
12-03 2262
前言:面试经常会被问到Kerberos认证流程这里就一步一步写认真水一篇文章吧。1.Kerberos身份认证先了解以下名词概念:KDC(Key Distribution Center)= 密钥分发中心AS(Authentication Server)= 认证服务器TGS(Ticket Granting Server)= 票据授权服务器TGT(Ticket Granting Ti...
走马观花 --- 网络身份认证协议Kerberos (一)
judy1017的专栏
12-19 1011
近日协议之类看多了,聊发少年狂地想起了最经典的网络身份认证协议 --- Kerberos。很多已经记不清,遂抓起书,走马观花般回味一番。   1. Kerberos协议是什么? Kerberos协议是一种应用于开放式网络环境、基于信任第三方的TCP/IP网络安全认证协议,其认证模型基于Needham-Schroeder协议,以加密技术为基础,并引入了时间戳处理,可以为用户对远程服务器的访问提
Kerberos 认证介绍
最新发布
qq_44011926的博客
07-29 1621
Ticket(票据):一个加密的证书,证明用户的身份并允许用户访问特定的服务。票据由 Kerberos 服务器(Key Distribution Center,KDC)颁发。KDC 是 Kerberos 认证系统的中心,包括两个主要的组件:Authentication Server (AS):负责用户登录验证,并颁发初始票据(Ticket Granting Ticket, TGT)。Ticket Granting Server (TGS):负责颁发服务票据,用于访问具体的服务。
【大数据安全-Kerberos】一篇文章搞定Kerberos认证
weixin_53543905的博客
03-28 1662
同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。
技术分享:Kerberos协议详解
边逛边看边学习
02-07 1438
CSDN果然技术大拿如云。前阵子发了一个ClickHouse的干货,阅读量蹭蹭地 本篇作者:擎创科技 大飞哥 介绍 最近工作中经常用到Kerberos认证,虽然一些软件已经实现了Kerberos认证,配置一下就能使用,但是我一直不是很清楚它的具体流程,下面通过分析它的协议(KerberosV5)进一步加深对Kerberos认证的了解。 角色 Kerberos是一种第三方认证协议,通过使用对称加密技术为客户端/服务器应用程序提供强身份验证。在希腊神话中Kerberos是守护地狱之门的一条三头神犬,而.
Kerberos 身份验证
GitHub质检员
11-17 307
Kerberos 是一种由 MIT(麻省理工大学)提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证,用于验证用户或主机的标识。。适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在:1、访问服务的 Client;2、提供服务的 Server;
Kerberos网络认证协议搭建与分析-A48郭茁宁-1183710109-实验报告1
08-08
二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等 三、实验内容与实验要求实验内容、原理分析及具体实验要求 四、实验过程与分析根据具体实验,记录、
apacheds-kerberos-codec-2.0.0-M15-API文档-中文版.zip
04-23
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 赠送Maven依赖信息文件:...
apacheds-kerberos-codec-2.0.0-M15-API文档-中英对照版.zip
04-09
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 包含翻译后的API文档:...
详解kerberos认证原理
大数据星球-浪尖
02-10 7195
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
kerberos认证相关概念和流程
dkjhl的博客
09-15 1737
你的hadoop有十台主机,/etc/hosts配置的host为hadoop[1-10].hadoop.com,name在定义你的Kerberos的Realm时就是HADOOP.COM,你创建的客户端的服务端的principal都是以@HADOOP.COM结尾。为什么说”默认基于jaas配置”呢。SASL作为高层次框架,定义的是一套接口,看一下接口定义,就能领会到其实GSSAPI是其中一种实现,换句话说,在进行基于kerberos认证的时候,既能够间接应用GSSAPI层接口,也能够应用sasl层的接口。
Kerberos安全体系简介
heima201907的博客
12-24 212
1.1. 功能 一个安全认证协议 用tickets验证 避免本地保存密码和在互联网上传输密码 包含一个可信任的第三方 使用对称加密 客户端与服务器(非KDC)之间能够相互验证 Kerberos只提供一种功能——在网络安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 首次请求,三次通信方 the Au...
CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理
不以物喜的博客
02-02 2656
CDH数仓项目基于Kerberos安全认证和Sentry权限管理详细说明
Kerberos认证流程
atarik@163.com
02-29 2599
第一步,账号A和KDC互相认证。 1、账号A利用哈希函数将密码转化成一把密钥,这里称它为Key-Client。 2、利用Key-Client将当前的时间戳加密,生成一个字符串。表示为“{时间戳} Key-Client”。 3、将上一步生成的字符串“{时间戳} Key-Client”、账号A的信息以及一段随机字符串发给KDC。这样就组成了Kerberos的身份认证请求AS-REQ,可以使用下面...
kerberos认证协议浅析
萧萧的专栏
03-04 7757
1 引言 在希腊神话中Kerberos是守护地狱之门的一条凶猛的三头神犬,而我们在本文中所要介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的,是该校雅典娜计划的一部分。这个定名是贴切的,因为Kerberos认证是一个三路处理过程,依赖称为密钥分发中心(KDC)的第三方服务来验证计算机相互的身份,并建立密钥以保证计算机安全连接。本质上每台计算机分享KDC一个秘钥,而K
使用 LDAP + Kerberos 实现集中用户认证授权系统
热门推荐
chengfangang的专栏
10-16 2万+
认证体系一般包含账号,认证授权,审计这些部分组成。本文简述如何基于 LDAP和Kerberos 实现集中的账号,认证授权系统。选择的软件分别为OpenLDAP 和 Kerberos。 LDAP 用来做账号管理,Kerberos作为认证授权一般来说是由应用来决定的,通过在LDAP 数据库中配置一些属性可以让应用程序来进行授权判断。 软件的安装参考相应的发行版本即可,在此不再赘述。下面的配
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值