Kerberos认证过程学习理解

最新推荐文章于 2023-09-15 19:45:00 发布
最新推荐文章于 2023-09-15 19:45:00 发布
阅读量1.3k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bugzeroman/article/details/82457841
版权

概念:
Kerberos服务器:AS认证服务器,TGS服务授权服务器
Client 客户端,代表使用应用的用户
AppServer 服务端,应用提供各种服务的服务器

Client在Kerberos注册用户名c,密码Kc
AppServer在Kerberos注册用户名s,密码Ks
TGS在Kerberos注册用户名tgs,密码Ktgs

说明:
Kerberos为Client和AppServer提供可信任第三方认证服务。
Kerberos服务器将用户的用户名及密码存放在它的数据库中。
密码Kc只有Client和Kerberos才拥有,通过Client在Kerberos服务器注册保证密码一致。
同理密码Ks只有AppServer和Kerberos才拥有。

认证过程:
1.Client->AS
KRB_AS_REQ={c, tgs, TS1}
c表示Client客户标识,告诉AS请求的Client身份,便于AS到数据库中查询c的密钥
tgs是Client下一步要访问TGS服务器标识
TS1时间戳被AS用于验证Client时钟是否与AS时钟同步

2.AS->Client
KRB_AS_REP={K(c,tgs),TS2,lifetime,tgs_Tickets}Kc
K(c,tgs)是由AS随机产生的,用于Client与TGS共享的一个会话私钥
TS2是票据发放的时间戳,lifetime是票据有效期
tgs_Tickets是AS发给Client的用于访问TGS的票据授权票据
tgs_Tickets={K(c,tgs), c, c_mac, tgs, TS2, lifetime2}Ktgs
c_mac是Client的MAC地址

3.Client->TGS
KRB_TGS_REQ={s, tgs_Tickets, Authen_info}
s是Client期望访问的AppServer服务器
tgs_Tickets是Client上一步从AS获取的票据授权票据
Authen_info是Client发送的一条认证消息,用于确认发送票据tgs_Tickets的用户就是c
Authen_info={c, c_mac, TS3}K(c,tgs)

4.TGS->Client
KRB_TGS_REP={K(c,s), s, TS4, s_Tickets}K(c,tgs)
K(c,s)是TGS随机生成的密钥,为Client端和AppServer共享的会话密钥
s_Tickets={K(c,s), c, c_mac, s, TS4, lifetime}Ks
TGS用自己的密码Ktgs解密tgs_Tickets获得c,c_mac,K(c,tgs),TS2,lifetime
TGS首先根据时TS2,lifetime时间判断票据是否过期,未过期则继续,
TGS再用上面解密出来的会话私钥K(c,tgs)解密Authen_info,获得c,c_mac,
比较上面2次解密出来的c,c_mac是否一致,判断此次请求来自合法Client。

5.Client->AppServer
KRB_APPSERVER_REQ={s_Tickets,Authent_info},
Client使用K(c,tgs)从KRB_TGS_REP响应中获取K(c,s)
Client采用会话密钥K(c,s)加密Authent_info消息
Authen_info={c, c_mac, TS5}K(c,s)

6.AppServer->Client
AppServer用自己的密码Ks从S_Tickets解密获得K(c,s), c, c_mac, s, TS4, lifetime
(s标识确认Client需要访问该AppServer,AppServer可以通过能否在票中找到自已的名字s来判断解密是否正确)
AppServer然后用TS4时间戳和有效期lifetime来检查票是否有效,有效才进行下一步
AppServer再用从上面解密出来的K(c,s)从Authen_info解密获得c, c_mac
AppServer比较上面2次解密出来的c,c_mac是否一致,判断此次请求来自合法Client。
最后AppServer使用K(c,s)加密确认消息给Client端,告知对方它期待的服务器已收到它的服务请求。

7.Client
Client接收到AppServer的响应,并且使用K(c,s)解密成功即可。
此时Client与AppServer即实现了可信的双方认证。

其他:
2中因为Tickets_tgs已经采用TGS的私钥加密,故没有必要采用客户端的私钥再次加密,
所以AS向Client响应可以修改为:
KRB_AS_REP=tgs_Tickets,{K(c,tgs),TS2,lifetime}Kc
4中同样S_Tickets已经采用AppServer的私钥加密,也不需要使用K(c,tgs),可以修改为:
KRB_TGS_REP=s_Tickets,{K(c,s), s, TS4}K(c,tgs)

参考文档:

【hadoop大数据安全基础知识】Kerberos安全协议(原理)解析与编程实现
http://www.aboutyun.com/thread-11577-1-1.html

11810589-252aebb7ac0855d6.png
KerberosRequestResponseFlow.png
11810589-88b940cd211d956a.png
KerberosObjectsHoldSummary.png
11810589-a35e4191d88466b6.png
KerberosRequestResponseHandel.png
木木与呆呆
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kerberos认证过程.docx
09-25
非常容易理解kerberos认证过程讲解,kerberos最精华的部分是,让最后的认证发生在client和server之间,没有通过认证机构,节省了时间和服务资源
Kerberos认证流程及基本操作
qq_45329047的博客
03-23 3152
Kerberos主要是有三个重要的角色:1、访问服务的Client2、提供服务的Server3、KDC(Key Distribution Center)密钥分发中心,其中报错AS(authorization server)和TGS(ticket granting server)上图 AD其实类似于一个本机的一个数据库,存储所有client的白名单。
详细的 Kerberos 体系介绍
qiye622的博客
07-08 1769
Kerberos 介绍 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网上传送的数据包可以被任意地读取丶修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 协议的安全主要依赖与参加对时间的松散同步和短周期的叫做 Kerberos 票据的认证声明。下面是对这个协议
详细讲解kerberos认证过程、黄金、白银票据
qq_63217130的博客
08-18 1626
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
Kerberos认证
最新发布
简单点,编程的方式简单点
09-15 335
Kerberos是一种计算机网络认证协议,用于安全地验证用户和服务之间的身份。通过以上步骤,Kerberos认证过程完成,用户和服务之间的通信可以在安全的环境下进行。
kerberos认证过程
https://www.cnblogs.com/zpchcbd/
09-14 732
KDC(Key Distribution Center): 密钥分发中心,里面包含两个服务:AS和TGS AS(Authentication Server): 身份认证服务 TGS(Ticket Granting Server): 票据授予服务 TGT(Ticket Granting Ticket): 由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时 Pass The ...
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。...这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
Kerberos协议理解
05-05
Kerberos协议理解
flink写入带kerberos认证的kudu connector
03-24
flink写入带kerberos认证的kudu connector
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
详解kerberos认证原理
大数据星球-浪尖
02-10 6815
前言Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,kerberos侧重于通信前双方身份的认定工作,帮助客户端和服务端解决“...
Kerberos认证流程
[email protected]
02-29 2501
第一步,账号A和KDC互相认证。 1、账号A利用哈希函数将密码转化成一把密钥,这里称它为Key-Client。 2、利用Key-Client将当前的时间戳加密,生成一个字符串。表示为“{时间戳} Key-Client”。 3、将上一步生成的字符串“{时间戳} Key-Client”、账号A的信息以及一段随机字符串发给KDC。这样就组成了Kerberos的身份认证请求AS-REQ,可以使用下面...
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 6402
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 6560
Kerberos认证原理与使用教程
大数据之Kerberos认证
m0_70949976的博客
05-15 4893
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
kerberos安全认证示例
yujianbujianqwe的博客
08-23 224
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。原文链接:https://blog.csdn.net/prefect_start/article/details/130981822。
【大数据安全-Kerberos】一篇文章搞定Kerberos认证
weixin_53543905的博客
03-28 1270
同样地,TGS 将发送两条信息给客户端: 其中一条是 HTTP Ticket,由 HTTP 服务的密钥进行加密;客户端通过 kinit USERNAME 或其他方式,将客户端 ID,目标 HTTP 服务 ID,网络地址(可能是多个机器的 IP 地址列表,如果想在任何机器上使用,则可能为空),以及 TGT 有效期的寿命等信息发送给 Authentication Service。其中一条信息被称为 TGT ,由 TGS 的密钥加密,客户端无法解密,包含客户端 ID, TGS Session Key 等信息。
linux kerberos认证,Kerberos 认证过程详解
weixin_36197581的博客
05-15 1764
kerboros认证过程如下:前提:client和server都在kdc上已注册.第一步 Authentication Service Exchange第二步 Ticket Granting Service Exchange第三步 Client/Server Exchange首先Client向kdc申请server服务,kdc查看server服务是受保护的服务,所以要验证client的身份,这就是...
Kerberos 学习(二) 认证过程
prettyX的博客
12-04 622
今天来研究Kerberos协议的认证过程。 : ) Kerberos协议认证过程 1、当Client想要访问Server上的某个服务时,认证流程分为3个部分: Client 与 AS 的交互 Client 与 TGS 的交互 Client 与 Server 的交互 2、认证流程: (1)Client 与 AS 的交互: KRB_AS_REQ Client->AS: 第...
Kerberos认证过程三次通信
06-08
Kerberos认证过程中,总共需要三次通信,其过程如下: 第一次通信: 客户端向Kerberos认证服务器发送认证请求,请求包括客户端的标识和目标服务器的标识。这个请求是未加密的,因此可能会被窃听者截获并进行恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值