Kerberos认证协议认证授权流程-白话解读

最新推荐文章于 2024-07-29 11:33:03 发布
最新推荐文章于 2024-07-29 11:33:03 发布
阅读量2.9k 收藏 11
点赞数 2
分类专栏: 白话解读 文章标签: 计算机 网络 安全 Kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SimGenius/article/details/77081827
版权
本文以通俗易懂的方式解析Kerberos协议,包括基于密码学的认证思想,用户认证、服务授权和服务请求流程。通过Kerberos,用户在不安全网络环境中能安全证明身份,避免明文密码传输,确保通信安全。
摘要由CSDN通过智能技术生成

本文参考了Wikipedia上面的Kerberos词条,对Kerberos的用户认证、服务授权、服务请求过程,用大白话解读。

1前言

我相信有很多人看不懂Kerberos协议,所以我终于看懂以后用大白话说一遍,让那些看不懂的人看懂,让我忘了以后变成看不懂的人的时候再次看懂。

Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。

这是Wikipedia上面的解释。
不知道什么是Kerberos的请先读一遍Wikipedia上面的Kerberos词条(自备梯子),这个词条我认为是写得最明白的,看完后再来看本文可以加深理解,看蒙了也正常,看本文也能了解个大概。

2 Kerberos核心思想

2.1 基于密码学

Kerberos是一个基于密码学的认证体系。什么是基于密码学?在我的理解,就是

能用密钥解开内容,就说明你具有这个密钥。

我举个例子说明。
当我们进行登录时,需要将UsernamePassword传输到服务端,服务端根据用户名找到用户信息后,再核对密码是否正确,核对正确以后,给用户颁发一个UserToken,作为今后用户使用系统的临时凭据。
而在Kerberos登录过程中,用户将UsernamePassword输入到登录界面中,客户端只是将Username传送到服务端,服务端找到用户信息以后,直接给用户一个UserToken,但这个UserToken是用用户的Password加密的。因此,如果用户想得到这个UserToken,那么,用户必须输入正确的Password才能解开。
也就是说,当用户输入错误的Password时,他无法得到UserToken,就无法完成登录使用系统。当输入正确的Password时,他就得到了UserToken,可以使用系统。
在Kerberos认证协议中,大量使用了这种方式和思想。这种方式的好处就是,用户的Password不会在网络上传输,并且层层的加密保证了系统即使在一个非安全的网络(可能被监听)中也不会泄露信息。

2.2 后端服务私有密钥

这里的私有密钥指的不是公钥密码体制里面的公钥和私钥,指的是

每个服务都有一个独立的密钥

基于2.1中提到的密码学认证方式,当进行服务授权时,授权中心服务授权票据使用服务的私有密钥加密,如果服务用私有密钥

最低0.47元/天 解锁文章
SimGenius
关注
专栏目录
kerberos认证_Kerberos认证流程
weixin_39695241的博客
12-03 2259
前言:面试经常会被问到Kerberos认证流程这里就一步一步写认真水一篇文章吧。1.Kerberos身份认证先了解以下名词概念:KDC(Key Distribution Center)= 密钥分发中心AS(Authentication Server)= 认证服务器TGS(Ticket Granting Server)= 票据授权服务器TGT(Ticket Granting Ti...
走马观花 --- 网络身份认证协议Kerberos (一)
judy1017的专栏
12-19 1006
近日协议之类看多了,聊发少年狂地想起了最经典的网络身份认证协议 --- Kerberos。很多已经记不清,遂抓起书,走马观花般回味一番。   1. Kerberos协议是什么? Kerberos协议是一种应用于开放式网络环境、基于信任第三方的TCP/IP网络安全认证协议,其认证模型基于Needham-Schroeder协议,以加密技术为基础,并引入了时间戳处理,可以为用户对远程服务器的访问提
Kerberos 认证介绍
最新发布
qq_44011926的博客
07-29 1613
Ticket(票据):一个加密的证书,证明用户的身份并允许用户访问特定的服务。票据由 Kerberos 服务器(Key Distribution Center,KDC)颁发。KDC 是 Kerberos 认证系统的中心,包括两个主要的组件:Authentication Server (AS):负责用户登录验证,并颁发初始票据(Ticket Granting Ticket, TGT)。Ticket Granting Server (TGS):负责颁发服务票据,用于访问具体的服务。
【大数据安全-Kerberos】一篇文章搞定Kerberos认证
weixin_53543905的博客
03-28 1658
同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。
技术分享:Kerberos协议详解
边逛边看边学习
02-07 1438
CSDN果然技术大拿如云。前阵子发了一个ClickHouse的干货,阅读量蹭蹭地 本篇作者:擎创科技 大飞哥 介绍 最近工作中经常用到Kerberos认证,虽然一些软件已经实现了Kerberos认证,配置一下就能使用,但是我一直不是很清楚它的具体流程,下面通过分析它的协议(KerberosV5)进一步加深对Kerberos认证的了解。 角色 Kerberos是一种第三方认证协议,通过使用对称加密技术为客户端/服务器应用程序提供强身份验证。在希腊神话中Kerberos是守护地狱之门的一条三头神犬,而.
Kerberos认证原理(原创图解+详解)
Ciyaso的博客
10-26 7846
一、 Kerberos Authentication Kerberos Authentication 解决的是“如何证明某个用户确确实实就是其所声称的那个用户”的问题。 Kerberos Authentication的整个过程涉及到Client和Server,他们之间传递证明需要使用一个Key(KServer-Client)来表示。Client为了让Server对自己进行有效的认证,向对方提供如下两组信息: ①代表Client自身Identity的信息,为了简便,它以明文的形式传递。 ②将Client的Id
Kerberos认证协议
u011079143的博客
05-14 3519
安全协议:Kerberos认证协议 一、简介 Kerberos由MIT于1988年开发,用于分布式环境中,完成服务器与用户之间的相互认证。设计者的设计初衷是要用Kerberos的三个头来守卫网络之门。三个头分别包括:认证、账目清算和审计。 Kerberos要解决的问题 在一个开放的分布式网络环境中,用户通过工作站访问服务器提供的服务,存在许多问题: 工作站上的用户可以冒充另一个用户操作 用户可以...
Kerberos网络认证协议搭建与分析-A48郭茁宁-1183710109-实验报告1
08-08
二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等 三、实验内容与实验要求实验内容、原理分析及具体实验要求 四、实验过程与分析根据具体实验,记录、
apacheds-kerberos-codec-2.0.0-M15-API文档-中文版.zip
04-23
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 赠送Maven依赖信息文件:...
apacheds-kerberos-codec-2.0.0-M15-API文档-中英对照版.zip
04-09
赠送jar包:apacheds-kerberos-codec-2.0.0-M15.jar; 赠送原API文档:apacheds-kerberos-codec-2.0.0-M15-javadoc.jar; 赠送源代码:apacheds-kerberos-codec-2.0.0-M15-sources.jar; 包含翻译后的API文档:...
大数据之Kerberos认证
m0_70949976的博客
05-15 5633
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全网络上进行身份验证,并获取访问网络资源的权限。
Kerberos安全体系简介
heima201907的博客
12-24 210
1.1. 功能 一个安全认证协议 用tickets验证 避免本地保存密码和在互联网上传输密码 包含一个可信任的第三方 使用对称加密 客户端与服务器(非KDC)之间能够相互验证 Kerberos只提供一种功能——在网络安全的完成用户的身份验证。它并不提供授权功能或者审计功能。 1.2. 概念 首次请求,三次通信方 the Au...
Kerberos安全认证-连载10-Hive Kerberos 安全配置及访问
qq_32020645的博客
06-22 4426
技术连载系列,前面内容请参考前面连载9内容:​​​​​​​Hive底层数据存储在HDFS中,HQL执行默认会转换成MR执行在Yarn中,当HDFS配置了Kerberos安全认证时,只对HDFS进行认证是不够的,因为Hive作为数据仓库基础架构也需要访问HDFS上的数据。因此,为了确保整个大数据环境的安全性,Hive也需要配置Kerberos安全认证,这样可以控制对Hive和底层HDFS数据的访问权限,防止未经授权的访问和操作,确保数据的安全性。目前对HDFS进行了Kerberos安全认证后,在Hive。
CDH数仓项目(三) —— Kerberos安全认证和Sentry权限管理
不以物喜的博客
02-02 2654
CDH数仓项目基于Kerberos安全认证和Sentry权限管理详细说明
Kerberos认证
mingyqf的博客
02-11 530
Kerberos认证# 在学习黄金白银票据前,首先先了解一下什么是Kerberos认证 .KDC(Key Distribution Center)密钥分发中心。 在KDC中又分为两个部分:Authentication Service(AS,身份验证服务)和Ticket Granting Service(TGS,票据授权服务) AD会维护一个Account Database(账户数据库). 它存储了域中所有用户的密码Hash和白名单。只有账户密码都在白名单中的Client才能申请到TGT。 Kerberos
kerberoskerberos 认证浅析
九师兄
06-28 2337
转载并且补充:Kerberos认证浅析在希腊神话中Kerberos是守护地狱之门的一条凶猛的三头神犬,而本文介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的。Kerberos认证是一个三路处理过程,依赖称为密钥分发中心(KDC)的第三方服务来验证计算机相互的身份,并建立密钥以保证计算机安全连接。本质上每台计算机分享KDC一个秘钥,而KDC有两个部件:一个Kerberos 认证服务器和一个票据授权服务器。如果KDC不知道被请求目标服务器,则会求助于另一个KDC来完成认证。它允许在
Kerberos认证原理
Adolph的专栏
06-24 2428
1 Kerberos Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证流程将有助于解决Hadoop集群中的安全配置过程中的问题。 1.1 Kerberos可以用来做什么 简单地说,Kerberos提供了一种单点登录(SSO)的方法。考虑这样一个场景,在一个网络中有不同的服务器,比如,打印服务器、邮件服务器和...
Kerberos认证协议解析:MIT对话篇
"Kerberos认证协议是一种网络安全协议,由麻省理工学院(MIT)...Kerberos认证协议是现代网络环境中实现身份验证和授权的关键技术,它促进了资源共享,提升了安全性,并为多用户环境提供了高效的身份管理解决方案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值