Kerberos v4验证的实现过程

最新推荐文章于 2023-06-23 16:05:47 发布
最新推荐文章于 2023-06-23 16:05:47 发布
阅读量3.4k 收藏 11
点赞数 2
分类专栏: 网络中的技术 文章标签: authentication session exchange server service 加密

Kerberos验证的名字来自于古希腊神话中的守护地狱之王Hades的三头犬的名字,其实现过程恰恰用到了三台服务器进行,即验证服务器(AS)、票据凭证服务器(TGS)和数据服务器(下文以Bob代称)。

当某个用户如Alice想通过Kerberos验证与数据服务器Bob通讯时需要经过6个步骤,详细如下:

Step 1、Alice->AS

Alice向AS发送自己的身份,如用户名:Alice。

Step 2、AS->ALice

AS用Alice在服务器上注册时所用的对称密钥(如Alice的登陆密码)加密将用于之后的验证过程的会话密钥Ks(Session Key)和已被TGS的密钥加密过的TGT(包括Alice的身份和Ks)。

Step 3、Alice->TGS

Alice在其客户机上输入密码即Ka解密出AS发送过来的Ks和TGT,之后用Ks加密一个时间戳以防第四方的重放攻击,最后将Ks(TGT)、数据服务器Bob的身份和TGT一并作为票据请求发送给TGS。

Step 4、TGS->Alice

TGS在收到Alice的票据请求后回送一个票据包括:用Ks加密过的Bob的身份和Alice和Bob之间的通讯密钥Kab、一个由Bob的密钥(即Kb)加密过的Alice的身份(可以包括Alice的IP、用户名等)、还有Kab共三样东西。

Step 5、Alice->Bob

Alice在受到TGS的票据后用Ks解出Kab后用Kab加密一个时间戳,之后将加密过的时间戳与TGS发送过来的鉴别码一起发送给Bob

Step 6、Bob->Alice

Bob分别用Kb、Kab解开Alice发送的鉴别码和时间戳后对Alice的IP、用户名及数据包的接收时间等进行验证,通过后用Kab加密另外一个时间戳回送给Alice。之后双方用Kab加密信息进行通讯。

缩写解释:

AS:Authentication Server 验证服务器

TGS:Ticket-Granting Server 票据验证服务器

TGT:Ticket-Granting Ticket 票据验证凭证

以上是Kerberos第四版协议的实现过程,在第五版中1、3、5步与v4一致,仅是在2、4中删除了票据的双重加密。

应该说Kerberos验证还是比较完善的但是专家们还是找到了几个潜在的问题,针对于v4但是对于v5也很多评价也适用。

第一是鉴别码容易被重放攻击,尽管有时间戳的设置但是票据在有效期内仍可被重放,因为票据的有效期可能很长而被恶意利用。并且时间戳基于网络上的时钟是同步的这一事实,如果欺骗主机接受一错误的时间,那么重放攻击毫无疑问的能够成功。

第二是猜测口令的攻击,当攻击者可以通过收集尽可能多的票据来进行猜测攻击,如果能够达到一定的数量那么这种攻击方法很容易奏效。

第三是恶意软件的问题,Kerberos协议依赖于Kerberos软件可以信赖的事实,如果系统被一个能够完成Kerberos验证的木马所替代,那么用户的身份变很容易被黑客仿冒。

 

 

 

 

 

 

 

 

 

 

整个流程大体上包含以下3个子过程:

  1. Client向KDC申请TGT(Ticket Granting Ticket)。

  2. Client通过获得TGT向DKC申请用于访问Server的Ticket。

  3. Client最终向为了Server对自己的认证向其提交Ticket。

不过上面的介绍离真正的Kerberos Authentication还是有一点出入。Kerberos整个认证过程通过3个sub-protocol来完成。这个3个Sub-Protocol分别完成上面列出的3个子过程。这3个sub-protocol分别为:

  1. Authentication Service Exchange

  2. Ticket Granting Service Exchange

  3. Client/Server Exchange

下图简单展示了完成这个3个Sub-protocol所进行Message Exchange。

kerberos认证过程-5

1. Authentication Service Exchange

通过这个Sub-protocol,KDC(确切地说是KDC中的Authentication Service)实现对Client身份的确认,并颁发给该Client一个TGT。具体过程如下:

Client向KDC的Authentication Service发送Authentication Service Request(KRB_AS_REQ), 为了确保KRB_AS_REQ仅限于自己和KDC知道,Client使用自己的Master Key对KRB_AS_REQ的主体部分进行加密(KDC可以通过Domain 的Account Database获得该Client的Master Key)。KRB_AS_REQ的大体包含以下的内容:

  • Pre-authentication data:包含用以证明自己身份的信息。说白了,就是证明自己知道自己声称的那个account的Password。一般地,它的内容是一个被Client的Master key加密过的Timestamp。

  • Client name & realm: 简单地说就是Domain name/Client

  • Server Name:注意这里的Server Name并不是Client真正要访问的Server的名称,而我们也说了TGT是和Server无关的(Client只能使用Ticket,而不是 TGT去访问Server)。这里的Server Name实际上是KDC的Ticket Granting Service的Server Name。

AS(Authentication Service)通过它接收到的KRB_AS_REQ验证发送方的是否是在Client name & realm中声称的那个人,也就是说要验证发送放是否知道Client的Password。所以AS只需从Account Database中提取Client对应的Master Key对Pre-authentication data进行解密,如果是一个合法的Timestamp,则可以证明发送放提供的是正确无误的密码。验证通过之后,AS将一份 Authentication Service Response(KRB_AS_REP)发送给Client。KRB_AS_REQ主要包含两个部分:本Client的Master Key加密过的Session Key(SKDC-Client:Logon Session Key)和被自己(KDC)加密的TGT。而TGT大体又包含以下的内容:

  • Session Key: SKDC-Client:Logon Session Key

  • Client name & realm: 简单地说就是Domain name/Client

  • End time: TGT到期的时间。

Client通过自己的Master Key对第一部分解密获得Session Key(SKDC-Client:Logon Session Key)之后,携带着TGT便可以进入下一步:TGS(Ticket Granting Service)Exchange。

2. TGS(Ticket Granting Service)Exchange

TGS(Ticket Granting Service)Exchange通过Client向KDC中的TGS(Ticket Granting Service)发送Ticket Granting Service Request(KRB_TGS_REQ)开始。KRB_TGS_REQ大体包含以下的内容:

  • TGT:Client通过AS Exchange获得的Ticket Granting Ticket,TGT被KDC的Master Key进行加密。

  • Authenticator:用以证明当初TGT的拥有者是否就是自己,所以它必须以TGT的办法方和自己的Session Key(SKDC-Client:Logon Session Key)来进行加密。

  • Client name & realm: 简单地说就是Domain name/Client。

  • Server name & realm: 简单地说就是Domain name/Server,这回是Client试图访问的那个Server。

TGS收到KRB_TGS_REQ在发给Client真正的Ticket之前,先得整个 Client提供的那个TGT是否是AS颁发给它的。于是它不得不通过Client提供的Authenticator来证明。但是 Authentication是通过Logon Session Key(SKDC-Client)进行加密的,而自己并没有保存这个Session Key。所以TGS先得通过自己的Master Key对Client提供的TGT进行解密,从而获得这个Logon Session Key(SKDC-Client),再通过这个Logon Session Key(SKDC-Client)解密Authenticator进行验证。验证通过向对方发送Ticket Granting Service Response(KRB_TGS_REP)。这个KRB_TGS_REP有两部分组成:使用Logon Session Key(SKDC-Client)加密过用于Client和Server的Session Key(SServer-Client)和使用Server的Master Key进行加密的Ticket。该Ticket大体包含以下一些内容:

  • Session Key:SServer-Client。

  • Client name & realm: 简单地说就是Domain name/Client。

  • End time: Ticket的到期时间。

Client收到KRB_TGS_REP,使用Logon Session Key(SKDC-Client)解密第一部分后获得Session Key(SServer-Client)。有了Session Key和Ticket,Client就可以之间和Server进行交互,而无须在通过KDC作中间人了。所以我们说Kerberos是一种高效的认证方式,它可以直接通过Client和Server双方来完成,不像Windows NT 4下的NTLM认证方式,每次认证都要通过一个双方信任的第3方来完成。

我们现在来看看 Client如果使用Ticket和Server怎样进行交互的,这个阶段通过我们的第3个Sub-protocol来完成:CS(Client/Server )Exchange。

3. CS(Client/Server )Exchange

这个已经在本文的第二节中已经介绍过,对于重复发内容就不再累赘了。Client通过TGS Exchange获得Client和Server的Session Key(SServer-Client),随后创建用于证明自己就是Ticket的真正所有者的Authenticator,并使用Session Key(SServer-Client)进行加密。最后将这个被加密过的Authenticator和Ticket作为Application Service Request(KRB_AP_REQ)发送给Server。除了上述两项内容之外,KRB_AP_REQ还包含一个Flag用于表示Client是否需要进行双向验证(Mutual Authentication)。

Server接收到KRB_AP_REQ之后,通过自己的Master Key解密Ticket,从而获得Session Key(SServer-Client)。通过Session Key(SServer-Client)解密Authenticator,进而验证对方的身份。验证成功,让Client访问需要访问的资源,否则直接拒绝对方的请求。

对于需要进行双向验证,Server从Authenticator提取Timestamp,使用Session Key(SServer-Client)进行加密,并将其发送给Client用于Client验证Server的身份。

Cynthea
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos 学习(二) 认证过程
prettyX的博客
12-04 636
今天来研究Kerberos协议的认证过程。 : ) Kerberos协议认证过程 1、当Client想要访问Server上的某个服务时,认证流程分为3个部分: Client 与 AS 的交互 Client 与 TGS 的交互 Client 与 Server 的交互 2、认证流程: (1)Client 与 AS 的交互: KRB_AS_REQ Client->AS: 第...
kerberos认证过程(转)
weixin_34221775的博客
09-30 169
http://blog.163.com/jobshot/blog/static/947091982008118105524719/   一、 基本原理 Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这...
Windows是如何通过Kerberos进行Authentication的【转】
leafqing04的专栏
05-17 2085
Windows下的Kerberos是如何进行Authentication
Kerberos 4 私钥认证服务
chenjialehhh的博客
11-09 1397
Kerberos是由MIT开发的一种基于对称密码体系的网络认证协议,本文介绍了关于Kerberos的相关概念与具体框架。
kerberos认证原理
qq_45360515的博客
10-18 308
Windows是如何通过Kerberos进行Authentication
Windows终端服务的Kerberos验证
03-04
为了进一步增强安全性并实现跨平台的互操作性,Microsoft Windows Server引入了基于Kerberos的身份验证,这是一种与IBM Network Authentication Service (IBM NAS)兼容的身份验证机制。 Kerberos是一种广泛采用的...
hive2-jdbc:Hive JDBC连接示例,包括简单和kerberos身份验证方法
04-28
JDBC API v3.x支持JRE v4.0或v5.0 JDBC API v4.x支持JRE v6.0或更高版本JDBC API v4.1.x支持JRE v7.0或更高版本适用于Apache Hive的Cloudera JDBC驱动程序支持Hive 0.11、0.12、0.13、0.14、1.0和1.1。 有关更多...
gokrb5:用于客户端和服务的Pure Go Kerberos
02-03
HTTP处理程序包装器实现SPNEGO Kerberos身份验证 HTTP处理程序包装器对Microsoft AD PAC授权数据进行解码 客户端 可以通过SPNEGO Kerberos身份验证的Web服务进行身份验证的客户端 能够更改客户密码 一般 用于自定义...
Go-gokrb5纯GoKerberos实现
08-14
Go-gokrb5库是用纯Go语言编写的Kerberos身份验证库,它为Go开发者提供了一种方便的方式来实现在应用程序中集成Kerberos安全机制。Kerberos是一种广泛用于网络认证的安全协议,它通过加密技术确保了用户身份的真实性...
solaris技术指南019.PDF
最新发布
04-14
本章节主要介绍了Solaris操作系统中Secure RPC(远程过程调用)的应用及其相关的身份验证机制,包括DES加密、Diffie-Hellman身份验证以及Kerberos V4身份验证等内容。Secure RPC是一种用于在网络中实现安全的身份...
Kerberos协议的介绍
唐诗宋词的专栏
07-25 8029
因为要研究单点登录(Single Sign-On SSO)的原理,Kerberos是必然会涉及的一项技术。在研究这个问题时,发现网上一致推荐麻省理工学院的一篇文章,这是用四幕话剧形式来解释Kerberos的一篇有趣轻松的文章。我尝试着把中英文对照都放在这里,我个人倾向于直接看英文。Designing an Authentication System:a Dialogue in Four Sce
服务器信息安全协议,Kerberos协议过程-信息安全工程师知识点
weixin_29661797的博客
08-05 1183
信息安全工程师知识点:Kerberos协议过程Kerberos协议中:用户(C)和认证服务器(AS)共享密钥Kc,认证服务器(AS)和票据许可服务器(TGS)共享密钥Ktgs,票据许可服务器(TGS)和服务器(V)之间共享密钥Kv,但是用户(C)和服务器(V)之间没有密钥共享,因此用户想要访问服务器,就必须通过认证服务器(AS)和票据许可服务器(TGS)获得相应的密钥Kc,v。Kerberos协...
kerberos4安全协议工作过程,C语言部分简易实现(附带模拟黑客入侵)
MICHAEL_HUANG4的博客
11-09 1385
#include <windows.h> #include <stdio.h> #include <string.h> #include <stdlib.h> #include <time.h> static int hacker; typedef struct ticket { int server_ID = -1; ...
Kerberos协议详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-23 906
Kerberos协议是一种用于网络身份验证的协议,最初是由麻省理工学院研究人员开发的,广泛应用于现代计算机网络中。Kerberos协议提供了一个机制,使得用户可以在无需重复输入密码的情况下,在计算机网络上访问多个计算机系统。是为了确保计算机网络中的用户身份验证、授权和访问控制的安全性。其主要设计目标包括:强身份认证:Kerberos协议使用基于加密的身份验证机制,确保用户身份的真实性。在协议中,TGT和服务票据都是基于密钥加密的,只有拥有正确密钥的身份才能加密和解密这些消息。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7047
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
Kerberos协议的原理[转载](对话版,耳目一新)
高涛的专栏
11-01 417
Kerberos是一个重要的认证协议,它为互不相识的通信双方做安全的认证工作。Kerberos这个名字的原义是希腊神话中守卫冥王大门的长有三头的看门狗。下面这篇Kerberos的文章不知是哪位老大翻译的,先感谢!这是MIT(Massachusetts Institute of Technology)为了帮助人们理解Kerberos的原理而写的一篇对话集。里面有两个虚构的人物:Athena和
CentOS7使用Kerberos认证NFSv4共享
QTM_Gitee的博客
04-05 2633
引言 大多数常规网络服务使用基于密码的认证方案,其中用户提供密码以访问给定的网络服务器。 但是,许多服务的认证信息的传输是未加密的。 为了确保这种方案的安全,外部人员必须无法访问网络,并且网络上的所有计算机和用户都必须是受信任的和可信任的。 使用简单的基于密码的认证,不能假定连接到Internet的网络是安全的。 任何能够访问网络的攻击者都可以使用简单的数据包分析器或数据包嗅探器来拦截用户名和密码,从而破坏用户帐户,从而损害整个安全基础结构的完整性。 Kerberos是一种比普通的基于密码的认证更加安全的认
网络安全基础(十一)
star_of_science的博客
07-07 4240
1.X.509证书 正确答案: X.509定义了一个使用X.500目录向其用户提供认证服务的框架。该目录可以作为公钥证书存储库。每个证书都包括用户的公钥,并由一个可信任的认证中心用私钥签名。除此之外,X.509定义了另一个基于使用公钥证书的认证协议 2.公钥证书 正确答案: 公钥证书由公钥加上公钥所有者的用户ID以及可信的第三方签名的整个数据块组成。第三方就是用户团体所信任的认证中心(CA),如政府机构或金融机构。用户可通过安全渠道把他或她的公钥提交给这个CA,获取证书。然后用户就可以发布这个证书。任
kerberos认证过程
独孤行风的博客
09-30 290
Kerberos V4协议详解:身份验证的核心技术
Kerberos V4协议交互过程是网络信息安全领域中的关键概念,它是一种广泛应用于网络环境中的认证协议,确保用户身份的真实性并提供安全访问控制。Kerberos的核心目标是解决跨域身份验证问题,即在一个网络中,用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值