SSH与Kerberos原理、关系和区别

最新推荐文章于 2023-05-08 22:45:00 发布
最新推荐文章于 2023-05-08 22:45:00 发布
阅读量4.1k 收藏 4
点赞数 1
文章标签: ssh server authentication service session user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bajiaodidi/article/details/5948245
版权

SSH和Kerberos是用来进行安全认证和安全通讯的,它们之间的关系是什么,区别是什么?

 

SSH是安全认证的安全通讯的方法,Kerberos是安全认证和安全通讯的一套架构体系。SSh采用简单的方法 client <--> Server 之间进行安全认证和安全通讯。 Kerberos的认证架构系统中包括KDC,Service Server和Service Client。简单地说,SSH用在clients和一台Server之间进行安全认证,而Kerberos用在clients和多台Service Servers之间进行安全认证。Kerberos的出现就是为了解决在一个系统中每台Server都独立认证的繁琐问题,而采用集中认证。

 

SSh的安全认证方法有4种:Host-Based authentication、Public-key authentication、Challenge-response authentication和Password authentication。我们通常使用Public-key authentication和Password authentication。

 

Public-key安全认证方法是user调用ssh-keygen命令产生public-keys和private-key pairs,user把private-key和public-key存储在本地 ~/.ssh/identity (protocol 1), ~/.ssh/id_dsa (protocol 2 DSA), 或者 ~/.ssh/id_rsa (protocol 2 RSA) ,把 public-key存储在本地 ~/.ssh/identity.pub (protocol 1), ~/.ssh/id_dsa.pub (protocol 2 DSA), 或者 ~/.ssh/id_rsa.pub (protocol 2 RSA)。接着user把public-key拷贝到远程要访问的Server的user的home目录下的~/.ssh/authorized_keys。

 

public/private-key pairs是如何进行安全认证的呢。public/private-key是非对称的加密/解密方法。即用public-key加密的信息,只能用private-key揭开;用private-key加密的信息,只能用public-key解开。这与传统的对称加密/解密方法是完全不同的。对称的加密/加密方法是用encrypted-key加密,只能用这个 encrypted-key解密,所以加密/解密双方必先约定一个encrypted-key。但是对称的加密/解密方法有更好的效率,所以一般使用非对称加密/解密方法认证和约定传输信息的对称加密/解密的encrypted-key,而使用对称加密/解密的方法开保证传输线程的安全。SSh/TLS正是使用了这样的方式。

 

public-key的安全认证过程:

                                  login(user-name)

           user(client)------------------------------------->  server

                     public-key(host-key,message, transfer encrypted-key)

          server  --------------------------------------------> user

                      encrypted-key(message)

          user  --------------------------------->  server

                       encrypted-key(ok)

          server -------------------------------->  user    // establish the connection

 

 

SSh的Password安全认证过程:

 

                                  login(user-name)

           user(client)------------------------------------->  server

 

                      password(host-key,message, transfer encrypted-key)

           server  --------------------------------------------> user

                        encrypted-key(message)

          user   --------------------------------->  server

                        encrypted-key(ok)

          server -------------------------------->  user    // establish the connection

 

从SSH的两种安全认证的方法看到,Public-Key和Passord的认证交互过程是基本一样的,区别就是Password认证user要把自己的password公开给server,而public-key认证user只需要把public-key公布给server,从而增加了更多的安全性。

 

上面的认证只涉及Server对User的安全认证,那User如何对Server进行安全认证呢。SSH中使用host-key来帮助User对Server进行认证。Server的host-key存储在User本地的~/.ssh/known_hosts中,如果Server的host-key发生变化,SSH则会通知User,这样可以避免假Server的欺骗和man-in-the-middle攻击。

 

Kerberos是如何进行安全认证的呢。

 

Kerberos的设计目标是在一个系统中,用户只需一次集中安全口令认证从而可以访问系统中的Service Servers。因此在认证系统中要有一个独立的Authentication Server(AS)。

 

AS如果让通过安全口令认证的用户访问系统中的Service Servers呢。在日常生活中,简单的做法是AS给通过口令认证的用户一个Service Server的ticket,用户拿着ticket去访问Service Server。为了防止伪ticket的危害,ticket必须要经过加密,所以AS和Service Server之间有约定的加密密钥,即AS知道Server key,记为K_server。

 

Service Servers有责任和义务保护用户的数据安全,即Service Servers必须要保证用户的数据不能被其他人获取和修改。所以Service Servers也要通过安全认证来保证试图访问的用户就是用户本人。现在没有了口令认证,如何保证呢。是否可以通过用户的身份信息来验证呢,即用户的name,location(ip-addr);但是这些身份信息任何人都可以获取的,所以用户很容易被被他人仿冒。明的信息不可靠,那就用暗号吧!就像电影中描述的,秘密组织间使用暗号联络。Kerberos正是使用了“暗号”来确保Service Servers对用户的身份认证,“暗号”称为Session key,记为K_session。

用户通过口令安全认证后,向AS请求要访问Service Server A,AS验证用户是否有权限,若有,就分配“暗号号” K_session给用户和Server A。“暗号”K_session放在Server的ticket中,同时返回给用户。“暗号”K_session返回给用户是否会被窃取呢,不会的!因为AS和用户之间的通讯是经过加密的,安全的。

 

为了系统架构的更加清晰,Kerberos把用户口令认证的模块AS和分配Service Server ticket的模块分开,分配Service Server ticket的模块成为Ticket Granting Server,即TGS。AS验证用户口令安全后,把TGS的ticket发给用户,用户拿着TGS的ticket访问TGS,请求Service Servers的tickets。

 

 

Kerberos的认证流程:

                             user-name, ip-addr

      User  ------------------------------------------------------------------>  AS

 

              user_password(K_session_tgs),

              K_tgs(user-name, ip-addr, tgs-name, ticket_life, K_session_tgs)

      AS   ---------------------------------------------------------------------> User

 

              K_session_tgs(user-name,ip-addr),

              K_tgs(user-name, ip-addr, tgs-name, ticket_life, K_session_tgs)

      User ---------------------------------------------------------------------> TGS

 

              K_session_tgs(K_session_server),

              K_server(user-name, ip-addr, server-name, ticket_life, K_session_server)

      TGS --------------------------------------------------------------------------> User

 

              K_session_server(user-name,ip-addr),

              K_server(user-name, ip-addr, server-name, ticket_life, K_session_server)

      User --------------------------------------------------------------------------> Server

 

                                           ok--connection established

      Server ------------------------------------------------------------------------> User

 

 

 

 

 

 

 

 

 

 

bajiaodidi
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kerberos配置SSH免密登录
aryoyo的博客
06-07 4860
环境:KDC server:hostname: yaya.example.com, ip: 192.168.0.104   ;          客户端:hostname: yaya2.example.com  ip: 192.168.0.106在KDC server上:1.安装:yum install krb5\*[root@yaya log]# rpm -qa|grep -i krb5krb5...
KerberosPrinciple-Chinese:Kerberos原理--经典对话 中文版
05-01
Kerberos原理--经典对话 中文版最近在学习Kerberos原理,无意间发现了,好家伙全是英文,果断网上寻找中文版。但网上的翻译水平实在不敢恭维,很多都是机翻,读都读不通,这个我觉得还好。让我要命的是,连最基本的...
Kerberos原理
11-15
Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。文件详细介绍了kerberos原理
JSch登录sftp,跳过 Kerberos username 身份验证提示
虾哔哔的博客
09-04 1499
一般情况下,我们登录sftp服务器,用户名认证或者密钥认证即可。 但是如果对方服务器设置了Kerberos 身份验证,而已方又没有对应的配置时,则会提示输入 Kerberos username [xxx] Kerberos password 此时,简单的解决办法是,可以去掉Kerberos 身份验证来解决 解决办法 session.setConfig(“PreferredAut...
使用MacPort安装了Kerberosssh无法使用Kerberos验证
weixin_34406086的博客
02-08 217
2019独角兽企业重金招聘Python工程师标准>>> ...
Oracle/Kerberos验证SSH免密访问
老刘的O记博客
06-01 375
一、基础环境 # 1、DNS Server正反解析(非hosts) kdc.testko.com 192.168.1.253 KDC Server:CentOS7 ko2.testko.com 192.168.1.232 Oracle Server:Oracle 11.2.0.4.210420:sid = orcl kct.testko.com 192.168.1.233 Oracle Client # 2、/etc/hosts 192.1
Kerberos 认证原理笔记
热门推荐
This is bill的专属博客
12-02 1万+
一、文章来由为了 computer security 课的展示准备素材。二、什么是 KerberosKerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者摘自百度百科 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定
kerberos&ssh 原理、免密登录搭建
波士地盘
12-16 785
原理 详细介绍 参考oracle文档:Kerberos 服务 安装过程 1.安装krb5 yum install -y krb5-server yum install krb5-workstation pam_krb5 -y 用hosts代替dns [root@localhost ~]# cat /etc/hosts 127.0.0.1 localhost localhost.lo...
SSH的GSSAPIAuthenticationKerberosAuthentication区别
Laurence的技术博客
06-06 2604
SSH的/etc/ssh/sshd_config配置文件中有两个“看上去”很紧密的配置项:GSSAPIAuthenticationKerberosAuthentication,原因是:大家都知道在大多数情况下GSSAPI认证就是Kerberos认证,所以问题来了:那SSH里的这个KerberosAuthentication又是什么呢?和GSSAPIAuthentication有什么关系呢?我们接下来通过5组对比测试把这个问题解释清楚。...............
详细介绍ssh 认证方式有哪些?
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-08 1370
详细介绍ssh 认证方式有哪些?
Kerberos 的安装和使用
傅腾的专栏
06-15 5085
讲述 Kerberos 详细的安装和使用
Kerberos原理
07-04
Kerberos是一个重要的认证协议,它为互不相识的通信双方做安全的认证工作。Kerberos这个名字的原义是希腊神话中守卫冥王大门的长有三头的看门狗。下面这篇Kerberos的文章不知是哪位老大翻译的,感谢先!
Hadoop部署和配置Kerberos安全认证
05-17
Hadoop部署和配置Kerberos安全认证全套流程。已经过实测并部署与生产环境。
Kerberos安全框架原理.pdf
10-14
Kerberos安全框架原理.pdf
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
kerberos原理
07-27
Kerberos是一个密钥分配协议和鉴别协议,同时也是一个密钥分配中心(KDC)。它采用AES进行加密,因此具有更高的安全性。Kerberos的工作原理如下: 1. 客户端向KDC发送身份验证请求。这个请求包括客户端的身份信息和时间戳。 2. KDC验证客户端的身份,并生成一个票据授予票据(TGT),其中包含客户端的身份信息和一个会话密钥。 3. KDC将TGT发送给客户端。 4. 客户端使用自己的密码解密TGT,并获得会话密钥。 5. 客户端向KDC发送服务票据请求,其中包括服务的标识符和会话密钥。 6. KDC验证客户端的会话密钥,并生成一个服务票据(ST),其中包含服务的标识符和一个服务会话密钥。 7. KDC将ST发送给客户端。 8. 客户端将ST发送给服务。 9. 服务使用自己的密钥解密ST,并验证客户端的身份。 10. 一旦验证成功,服务和客户端可以使用会话密钥进行加密和解密通信。 Kerberos原理是通过共享密钥和票据来实现安全的身份验证和访问控制。客户端只需要进行一次身份验证,就可以使用获得的票据访问多个服务,实现单点登录(SSO)。由于消息无法穿透防火墙,Kerberos通常用于组织内部的应用场景。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Kerberos 原理简介](https://blog.csdn.net/qq_34902437/article/details/106380629)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Kerberos协议工作原理](https://blog.csdn.net/qq_32005671/article/details/54862678)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值