加密机制Kerberos原理

最新推荐文章于 2024-03-06 21:32:10 发布
最新推荐文章于 2024-03-06 21:32:10 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: 计算机安全 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leftfist/article/details/105939780
版权

Kerberos是一种加密机制。Kerberos据说是希腊神话中一条三个头的看家神犬,凶猛异常。加密机制以此为名,估计是自认为很厉害,好打得吧。

Kerberos的设计意图,是希望整个认证过程不依赖于操作系统安全、主机物理安全、网址认证、网络安全之类,即使网络上传送的数据包被任意地读取、修改和插入数据,它也浑然不惧。这就比https更厉害了。https就是用来保护信息在传输过程中不被窃取篡改的,但它依赖于CA认证中心和证书。

这么牛逼,是怎么做到的?其实就是加密咯。传输的信息都经过加密,所以不怕泄露;而且还可以验证,因此不怕篡改和抵赖。老实说,加密和校验都不是什么新鲜招,但妙就妙在它的加密方式。

它用对方的口令做密钥进行加密。

具体一点,就是它没有用非对称加密,什么私钥公钥、你来我往这么复杂。用的就是对称加密,简单多了。唯一的诀窍,在于许多加密信息,其密钥用的是信息接收者的口令。

什么意思?

在Kerberos机制中,由Client、Application Server、KDC三大部分组成。Client、Application Server好理解,KDC则是一个居于中心地位的中央认证模块,叫KDC(key distribution center):密钥发放中心。KDC由两个模块组成:认证服务模块AS(authentication service),授权服务模块TGS(ticket granting service,票据授权服务)。认证和授权是安全验证的两个主题。认证解决你是谁的问题,授权则解决你能做啥的问题。

Kerberos的运作流程如下图:
在这里插入图片描述

结合上图,解说如下:

1、需要凭证

客户端(client)想去访问某应用服务器1(Application 1 Server),结果Application 1 Server说,你啥凭证都没有,没身份,没授权,恕不接待。

2、寻求凭证

客户端于是找到KDC,报上自己的username(应该是账号)。

3、发送凭证

KDC.AS向client发回一个包,里面有一个票据TGT和一把密钥SK_TGS,记作{TGT,SK_TGS},这个包使用了client的口令进行加密。其中,TGT本身又是一个包{ user, address, tgs_name, start_time, lisftime, SK_TGS},它是用KDC.TGS的口令进行加密的!注意到TGT里也包含了一份相同的SK_TGS。SK_TGS是client和KDC.TGS进行会话的密钥。

4、得到凭证

client收到KDC.AS发回的包以后,用自己的口令解开,得到TGT和SK_TGS。然后,client向KDC.TGS发送[TGT,Authenticator]。其中Authenticator={ user, addresss, start_time, lifetime},使用了SK_TGS进行加密

5、校验凭证

KDC.TGS收到client发来的包后,用自己的口令解开TGT,得到了SK_TGS。然后,用SK_TGS解开Authenticator,将里面的内容与TGT里的相关信息进行比对和验证。

验明正身以后,KDC.TGS为 client 和 Application 1 Server 之间生成一个会话密钥SK_Service;然后发送给 client 一个包:[ {SK_Service}SK_TGS,ST]。其中,SK_Service使用SK_TGS加密,票据ST使用Application 1 Server 的口令加密。同样,ST本身也是一个包,内容为:{ user, address, start_time, lifetime, SK_Service }。请注意里面也有一份SK_Service。

6、开启对话

client收到KDC.TGS发回的包,利用SK_TGS解密得到SK_Service,然后用SK_Service加密生成Authenticator,然后向Application 1 Server发送[ ST,Authenticator ]。

Application 1 Server用自己的口令解开ST,得到里面的会话密钥SK_Service,以此解开Authenticator,然后对比验证。从此与client之间使用SK_Service开始进行了愉快的对话。

7、需要“单点登录”

client想访问第2个应用服务器Application 2 Server,遭拒

8、单点登录

由于在有效时间内,client的身份已被证实,因此无须再向KDC.AS进行身份认证,直接与KDC.TGS申请Application 2 Server的访问授权。。。

由上可知,Kerberos主要是使用了类似电子信封这一安全技术,将密钥放在加密票据里,而而票据的加密往往又使用了对方的口令作为密钥。另外,一个传输包往往存在票据和加密包两种对象,而票据和加密包里的内容又有相关性,用票据里的密钥解开加密包后,可以互为参照,防止了篡改和抵赖。初初看Kerberos,觉得非常绕,各种票据、会话密钥满天飞,但只要明白这个套路,就不难理解。

再总结得彻底一点,就是Kerberos非常重视使用会话密钥。访问不同的对象,就用不同的会话密钥,每人一把,永不落空。会话密钥由KDC统一生成,它怎么发给对方呢?用对方的口令来加密。这真是一个神来之笔。对比https。https的传输内容,主要也是对称加密。但密钥怎么产生呢?是客户端和服务器建立连接之初协商产生的。密钥创建出来之后,为了传输给对方,就用了非对称加密,用对方公钥加密,然后对方再用私钥解密,颇费周折。然后又衍生出我怎么知道这个公钥是你的公钥呢?于是CA和证书又来了。而Kerberos够狠,就用你的口令来加密,那你自己的口令,自己肯定知道啊。

这就引出一个问题,KDC是怎么知道对方的口令的?其实,KDC作为中央认证模块,它预先存储了账号和应用服务器的口令,这也是Kerberos机制一个重要的基础设施。明白了这一层,只能说,Kerberos有自己的优势,但只能用在定制开发的应用系统里,大家知根知底。如果在互联网,似乎除了https也没有什么更好的办法了。

左直拳
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos原理
11-15
Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。文件详细介绍了kerberos原理
Kerberoasting学习
mingyqf的博客
02-24 797
Author: Shu1L Link: https://shu1l.github.io/2020/08/05/kerberosating-gong-ji-xue-xi/ 前言 Kerberoasting攻击是Tim Medin在DerbyCon 2014 上发布的一种域口令攻击方法,Tim Medin同时发布了 配套的攻击工具kerberoast。此后,不少研究人员对Ker beroasting进行了改进和扩展,在GitHub上开发发布了 大量工具,使得Kerberoasting逐渐发展成为域攻击的常用方法
kerberos学习系列一:原理
最新发布
qwerty1372431588的博客
03-06 1039
Kerberos 一词来源于古希腊神话中的 Cerberus —— 守护地狱之门的三头犬。Kerberos 是一种基于加密 Ticket 的身份认证协议。Kerberos 主要由三个部分组成:Key Distribution Center (即KDC)、Client 和 Service。
内网渗透:详解kerberoast攻击
A_991128a的博客
07-29 280
上篇文章介绍了kerberos的协议的认证流程以及可能出现的安全问题,也简要说了一下kerberoast攻击,本篇文章就具体介绍一下kerberoasting具体原理以及如何进行操作。关于内网相关的文章已经发了两篇了,大家感兴趣的话可以找以前的文章看一下,后面会继续出关于内网方面的知识。内网渗透:Kerberos认证协议安全性分析内网横移:抓取域管理员密码首先再来回顾一下Kerberoast协议的认证过程。kerberoast认证过程算上PAC可以说有四个个阶段。如下图所示。
hadoop安全机制Kerberos详细介绍
cqboy1991的专栏
01-26 5093
Kerberos 1、Kerberos是一个基于共享密钥对称加密的安全网络认证系统,它避免了将密码(包括密码hash)在网上传输,而是将密码作为对称加密的密钥,通过能不能解密来验证用户的身份; 2、Kerberos在验证完用户身份后会发给用户Ticket,这个Ticket包含了用户的授权,用户拿着这个Ticket去享受各种服务,所以在Kerberos管理的范围内用户只需要登录一次就可以
密码学应用-Kerberos体系
qq_39871572的博客
07-08 438
Kerberos体系是一种网络认证协议,其设计及的目的是通过密钥系统对客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主句地址的信任,不要求网络上所有主句的物理安全,并假定网络上传送的数据包可以任意的被读取,修改和插入数据。在以上情况下,Kerberos体系作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密码)执行认证服务的。协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明。下面是对协议的一个简化描述,它包括以
服务器信息安全协议,Kerberos协议过程-信息安全工程师知识点
weixin_29661797的博客
08-05 1130
信息安全工程师知识点:Kerberos协议过程在Kerberos协议中:用户(C)和认证服务器(AS)共享密钥Kc,认证服务器(AS)和票据许可服务器(TGS)共享密钥Ktgs,票据许可服务器(TGS)和服务器(V)之间共享密钥Kv,但是用户(C)和服务器(V)之间没有密钥共享,因此用户想要访问服务器,就必须通过认证服务器(AS)和票据许可服务器(TGS)获得相应的密钥Kc,v。Kerberos协...
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 1767
数据安全防护及Kerberos简介
Kerberos与PKI简介
zhigangsun的专栏
05-06 5135
Kerberos是对称密钥,而PKI是非对称密钥Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-grantingticket)访问多个服务,即SSO(Single SignOn)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全
Kerberos原理
07-04
Kerberos是一个重要的认证协议,它为互不相识的通信双方做安全的认证工作。Kerberos这个名字的原义是希腊神话中守卫冥王大门的长有三头的看门狗。下面这篇Kerberos的文章不知是哪位老大翻译的,感谢先!
KerberosPrinciple-Chinese:Kerberos原理--经典对话 中文版
05-01
Kerberos原理--经典对话 中文版最近在学习Kerberos原理,无意间发现了,好家伙全是英文,果断网上寻找中文版。但网上的翻译水平实在不敢恭维,很多都是机翻,读都读不通,这个我觉得还好。让我要命的是,连最基本的...
kerberos认证机制
08-24
1.集群中密钥的管理、分发 2.kerberos的整个工作流程以及认证机制
kerberos原理及应用
06-22
kerberos协议原理及应用,...................
Kerberos原理及应用
03-04
Kerberos原理简介及2000系统上的应用。
kerberos安装包
01-01
安装kerberos5时需要的rpm包,版本1.15.1-37.el7_6.x86_64。里面4个文件:krb5-libs-1.15.1-37.el7_6.x86_64.rpm;krb5-server-1.15.1-37.el7_6.x86_64.rpm;krb5-workstation-1.15.1-37.el7_6.x86_64.rpm;libkadm5...
Kerberos安全框架原理.pdf
10-14
Kerberos安全框架原理.pdf
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
加密机制
Cassidy的博客
10-13 2909
下面给大家介绍一下,我所理解的加密方式。我首先分为了单向加密和双向加密,然后双向加密又分为了对称加密和非堆成加密。然后再介绍其中的几个典型例子。 1 单向加密 在理论上,从明文加密到密文后,不可反向解密的。可以从迭代和加盐的方式尽可能保证加密数据不可反向解密。传递敏感数据的时候使用的。如:密码。使用单向加密的时候,传递的数据只有密文,没有明文,也没有密钥。 我对加密机制了解的也不...
Kerberos网络认证协议的理解
penriver的博客
07-01 1736
1. Kerberos 1.1. 概念 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 1.2. 组成 Kerberos的世界包含三个实体,其中KDC包含两个服务器(AS,
kerberos原理
07-27
Kerberos是一个密钥分配协议和鉴别协议,同时也是一个密钥分配中心(KDC)。它采用AES进行加密,因此具有更高的安全性。Kerberos的工作原理如下: 1. 客户端向KDC发送身份验证请求。这个请求包括客户端的身份信息和时间戳。 2. KDC验证客户端的身份,并生成一个票据授予票据(TGT),其中包含客户端的身份信息和一个会话密钥。 3. KDC将TGT发送给客户端。 4. 客户端使用自己的密码解密TGT,并获得会话密钥。 5. 客户端向KDC发送服务票据请求,其中包括服务的标识符和会话密钥。 6. KDC验证客户端的会话密钥,并生成一个服务票据(ST),其中包含服务的标识符和一个服务会话密钥。 7. KDC将ST发送给客户端。 8. 客户端将ST发送给服务。 9. 服务使用自己的密钥解密ST,并验证客户端的身份。 10. 一旦验证成功,服务和客户端可以使用会话密钥进行加密和解密通信。 Kerberos原理是通过共享密钥和票据来实现安全的身份验证和访问控制。客户端只需要进行一次身份验证,就可以使用获得的票据访问多个服务,实现单点登录(SSO)。由于消息无法穿透防火墙,Kerberos通常用于组织内部的应用场景。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Kerberos 原理简介](https://blog.csdn.net/qq_34902437/article/details/106380629)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Kerberos协议工作原理](https://blog.csdn.net/qq_32005671/article/details/54862678)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值