Kerberos单点登录实现过程

最新推荐文章于 2023-06-03 16:29:01 发布
最新推荐文章于 2023-06-03 16:29:01 发布
阅读量1k 收藏 2
点赞数
分类专栏: 信息安全 文章标签: Exchange SSO Google Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_10117/article/details/81683337
版权

最近公司在做单点登录的选型,看了看Kerberos的技术实现。感觉网上Kerberos的相关资料不多,自己做了总结和大家分享,因为是在选型阶段,没做太深入的学习,学习了Kerberos的单点登录过程。

Kerberos基本原理

先转几个链接

1.关于理解Kerberos原理的经典对话,MIT的人为了帮助人们理解Kerberos的原理而写的一篇对话集,google Kerberos的原理”,满篇都是。

2.谈谈基于KerberosWindows Network Authentication - Part IIIIII,挺好挺详细的文章,一共三篇,值得一看。

http://www.cnblogs.com/artech/archive/2007/07/05/807492.html

3. 单点登录(SSO)的核心--kerberos身份认证协议技术参考(一),也是一系列三篇文章

http://chnking.cnblogs.com/archive/2006/03/07/344506.html

 

下面是自己的原创整理

Kerberos登录过程

名字解释

KDSKerberos Distribution Center 认证中心

TGTTicket Granting Ticket 身份凭证

Master Key真正的密钥的HashClientKDCServer均有自己的Master Key

Session Key这种Key只在一段时间有效,用于加密双方传输的部分数据包

SKDC-ServerServerKDC间的Session Key

SKDC-ClientClientKDC间的Session Key

1.      Authentication Service Exchange

这一步骤KDC实现了对Client的认证,同时KDCClient颁发了一个身份凭证TGTClient可凭此TGTKDC申请用于访问某个ServerTicket

1.1.     ClientKDCAuthentication Service服务发送KRB_AS_REQ,目的是申请获取一个用以访问所有Server的凭证(TGT);

KRB_AS_REQ包含:

l         Pre-authentication data:一个被Client Master Key加密的Timestamp,用于KDC验证客户端身份;

l         Client InfoClient标识,KDC以此查找ClientMaster Key

l         Server Info:此处并不是Client要访问ServerServer Name,实际上是KDCTicket Granting Service

1.2.     ASAuthentication Service服务)根据Client InfoKDC中提取Client Master Key,解密Pre-authentication data,如果Timestamp合法,则客户端通过验证,因为这个Master KeyClientKDC知道;

1.3.     ASKRB_AS_REP发送给客户端

KRB_AS_REP包含:

l         Client Master Key加密过的SKDC-Client

l         KDC Key加密过的TGTTGTSKDC-Client + Client Info + End Time),此TGT记做ClientTGT

2.      KRB_TGT

这一步骤Client获得了ServerTGT,此TGT封装了SKDC-Server,该Session Key会用于加密后续步骤中的Ticket

2.1.     Client接收到KRB_AS_REP后,使用Client Master Key对第一部分进行解密,可获得SKDC-Client,之后向Server申请获取ServerTGT,此TGT中封装了SKDC-Server

2.2.     ServerKRB_AP_REP返回给Client

KRB_AP_REP包括:

l         KDC Key加密过的TGTTGTSKDC-Server + Server Info + End Time),此TGT记做ServerTGT

注:ServerTGT可如同步骤1ServerKDC申请,并将申请到的TGT缓存到Server中。ClientServer获取时可直接将其返回,否则需通过AS ExchangeServerKDC获取。

3.      TGSTicket Granting ServiceExchange

这一步骤ClientKDC提供TGTKDC验证TGT通过后向Client颁发访问ServerTicket

3.1.     Client获得Server TGT后,向KDC中的TGSTicket Granting Service)发送KRB_TGS_REQ,申请用于访问Server Ticket

KRB_TGS_REQ包含:

l         ClientTGT:在步骤1处生成,由KDC Master Key加密

l         ServerTGT:在步骤2处生成,由KDC Master Key加密

l         AuthenticatorClient Info +Timestamp):用来证明Client TGT是自己所拥有的,所以需要用SKDCClient加密

l         Client InfoClient标识

l         Server Info: Client试图访问的那个Server

3.2.     KDC先用KDC Master Key解密ClientTGT,获得SKDC-Client

3.3.     使用SKDCClient解密Authenticator,通过比对3.23.3步骤中分别获得的Client Info可验证发送者是否是Client TGT的真正拥有者;

3.4.     KDC再用KDC Master Key解密ServerTGT获得SKDC-Server

3.5.     验证通过后,向Client发送KRB_TGS_REP

KRB_TGS_REP 包含:

l         使用SKDC-Client加密的SServer-Client

l         使用SKDC-Server加密的Session Ticket,该Ticket中包括SServer-ClientClient nameEnd TimeTicket到期时间)

4.      CSClient/Server Exchange

Client接收到KRB_TGS_REP 后,使用SKDC-Client解密可获得SServer-Client,有了SServer-ClientTicketClient就可以与Server进行交互而无需通过KDC

这一步骤完成了ServerClient的认证。

4.1.     Client接收到KRB_TGS_REP后,使用SKDC-Client对第一部分解密可获得SServer-Client,随后创建Authenticator并使用SServer-Client加密

4.2.     ClientServer发送KRB_AP_REQ

KRB_AP_REQ包含内容:

l         Session TicketClient Info + SServer-Client+ End Time

l         Authenticator Client Info + Timestamp

l         是否需要进行双向验证的Flag

4.3.     Server使用SKDC-Server解密Ticket获得 SServer-Client

4.4.     使用SServer-Client解密Authenticator,通过比较Authenticator中的Client InfoTicket中的Client Info实现对Client的验证。

iteye_10117
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos 单点登录
07-28
Kerberos单点登录概念及技术,可以帮助人们很好利用kerberos来开发单点登录
Keberos单点登录服务及其实现过程
weixin_43520214的博客
03-23 9863
Part 1: Keberos 介绍 在计算机科学领域,Kerberos 是麻省理工学院Athena 项目的一部分。它之所以被命名为 Kerberos,是因为它涉及三个实体,很像三头狗,它们通过通信来确定客户端和服务器的身份。称为密钥分发中心(简称 KDC)的受信任第三方可帮助客户端和服务相互证明其身份。它是一个网络认证系统,解决了不可信网络中的两个重要问题: 它允许用户仅使用一个密码访问所有资源(例如打印机、服务)。 它加密通过网络传递的消息并确保消息的完整性。我们将在接下来的课程中..
kerberos体系 单点登录
PK_666的博客
03-11 880
一、单点登录 单点登录是安全凭证在多个应用系统之间的传递或共享,一次认证就可以访问其授权的所有网络资源。 二、kerberos 密钥分配中心(KDC) 三个阶段:获得票据许可票据、获得服务许可票据、获得服务。 ...
常用SSO_单点登录_实现技术介绍
11-23
1、 SAML(是否已认证,Subject和资源授权) 2、 Kerberos(OS级SSO) 3、 OpenID(基于URL的SSO) 4、 CAS(基于session的SSO) 5、 基于Cookie 6、 Oauth(应用间的SSO) 7、 NTLM(基于AD的SSO)
论文研究-无证书隐式认证改进的Kerberos单点登录协议.pdf
09-13
针对Kerberos单点登录协议存在的口令攻击、重放攻击、密钥需要托管和效率不高等问题,引入一种无对数运算的无证书隐式认证与密钥协商协议对其进行了改进。在随机预言机模型下证明了新协议的强安全性,分析了改进后...
Kerberos认证过程.docx
09-25
非常容易理解的kerberos认证过程讲解,kerberos最精华的部分是,让最后的认证发生在client和server之间,没有通过认证机构,节省了时间和服务资源
单机 kafka 配置 kerberos,设置 ACL 权限
10-10
kafka 配置 kerberos,设置 ACL权限, java 客户端连接。
单点登录(SSO)的核心--kerberos身份认证协议技术参考(二)
weixin_34419326的博客
03-08 204
  二、        Kerberos V5身份验证协议如何工作 Kerberos V5身份验证协议(RFC 1510定义),提供一个在开放的、潜在不安全的网络环境中验证主体身份的方法。这一节讨论RFC标准的Kerberos V5在Windows Server 2003如何使用 这节分为以下四个子章节: l         Kerberos SSP结构:说明Windows Serv...
Kerberos+LDAP+NFSv4 实现单点登录
weixin_33885253的博客
07-02 394
Kerberos+LDAP+NFSv4 实现单点登录 Kerberos : 身份认证LDAP : 目录信息服务NFSv4 : 网络共享 实验环境 : debian 9 三台主机:nfs服务器 : 192.168.1.103nfs客户机 : 192.168.1.102 即SSSD客户端+NFS客户端kdc服务器 : 192.168.1.101 即Kerberos+LDAP ...
单点登录(SSO)的核心--kerberos身份认证协议技术参考
tanken welcome
12-03 2805
微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议。Windows Server 2003同时也实现了公钥身份认证的扩展。Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问。最初的用户身份验证是跟Winlo
Kerberos 具体流程
m0_60641871的博客
06-03 194
AS(Authentication Server)= 认证服务器 KDC(Key Distribution Center)= 密钥分发中心 TGT(Ticket Granting Ticket)= 票据授权票据,票据的票据 TGS(Ticket Granting Server)= 票据授权服务器 SS(Service Server)= 特定服务提供端
单点登录(SSO)的核心--kerberos身份认证协议技术参考(三)
phiger的专栏
11-17 1800
<br />http://chnking.cnblogs.com/archive/2006/03/12/348622.aspx1.1.1        长期非对称密钥: Public Key<br />当前,在微软的Kerberos身份验证的实现,存储在智能卡上的公钥证书只有长期的非对称公钥。1.1.2        短期对称密钥: Session Keys<br />用于票据授权票(TGT)和服务票据(service ticket)session keys的session keys是短期的、只是用于会话或
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
各地区年末城镇登记失业人员及失业率.xls
最新发布
05-05
数据来源:中国劳动统计NJ-2023版
企业固定资产信息管理系统设计与实现.doc
05-04
企业固定资产信息管理系统设计与实现.doc
node-v11.14.0-darwin-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v8.9.1-sunos-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
camunda实现单点登录
04-24
Camunda 实现单点登录有...另一种方法是使用 Kerberos 或 LDAP 来实现单点登录,它们可以将用户身份验证集中管理,从而使多个应用程序之间的用户身份验证无缝集成。具体实现方案可以参考 Camunda 文档中的相关部分。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值