Kerberos简介

最新推荐文章于 2024-09-10 22:39:05 发布
最新推荐文章于 2024-09-10 22:39:05 发布
阅读量615 收藏
点赞数
分类专栏: 计算机安全 文章标签: service session authentication 加密 解密 security

Kerberos简介

Posted on 2006-03-20 15:24 idior 阅读(24939) 评论(22) 编辑 收藏 所属分类: Security

Kerberos 协议:

Kerberos 协议主要用于计算机网络的身份鉴别 (Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据 (ticket-granting ticket) 访问多个服务,即 SSO(Single Sign On) 。由于在每个 Client 和 Service 之间建立了共享密钥,使得该协议具有相当的安全性。

条件

先来看看 Kerberos 协议的前提条件:

如下图所示, Client 与 KDC , KDC 与 Service 在协议工作前已经有了各自的共享密钥,并且由于协议中的消息无法穿透防火墙,这些条件就限制了 Kerberos 协议往往用于一个组织的内部, 使其应用场景不同于 X.509 PKI 。

 

过程

Kerberos 协议分为两个部分:

1 . Client 向 KDC 发送自己的身份信息, KDC 从 Ticket Granting Service 得到 TGT(ticket-granting ticket) , 并用协议开始前 Client 与 KDC 之间的密钥将 TGT 加密回复给 Client 。

此时只有真正的 Client 才能利用它与 KDC 之间的密钥将加密后的 TGT 解密,从而获得 TGT 。

(此过程避免了 Client 直接向 KDC 发送密码,以求通过验证的不安全方式)

2. Client 利用之前获得的 TGT 向 KDC 请求其他 Service 的 Ticket ,从而通过其他 Service 的身份鉴别。

 Kerberos 协议的重点在于第二部分,简介如下:

 

1.    Client 将之前获得 TGT 和要请求的服务信息 ( 服务名等 ) 发送给 KDC , KDC中的Ticket Granting Service 将为 Client 和 Service 之间生成一个 Session Key 用于 Service 对 Client 的身份鉴别。然后 KDC 将这个 Session Key 和用户名,用户地址( IP ),服务名,有效期 , 时间戳一起包装成一个 Ticket( 这些信息最终用于 Service 对 Client 的身份鉴别 ) 发送给 Service , 不过 Kerberos 协议并没有直接将 Ticket 发送给 Service ,而是通过 Client 转发给 Service. 所以有了第二步。

2.    此时 KDC 将刚才的 Ticket转发 给 Client 。由于这个 Ticket 是要给 Service 的,不能让 Client 看到,所以 KDC 用协议开始前 KDC 与 Service 之间的密钥将 Ticket 加密后再发送给 Client 。同时为了让 Client 和 Service 之间共享那个秘密 (KDC 在第一步为它们创建的 Session Key) , KDC 用 Client 与它之间的密钥将 Session Key 加密随加密的 Ticket 一起返回给 Client 。

3.    为了完成 Ticket 的传递, Client 将刚才收到的 Ticket 转发到 Service. 由于 Client 不知道 KDC 与 Service 之间的密钥,所以它无法算改Ticket中的信息。同时 Client 将收到的 Session Key 解密出来,然后将自己的用户名,用户地址( IP )打包成 Authenticator 用 Session Key 加密也发送给 Service 。

4.    Service 收到 Ticket 后利用它与 KDC 之间的密钥将 Ticket 中的信息解密出来,从而获得 Session Key 和用户名,用户地址( IP ),服务名,有效期。然后再用 Session Key 将 Authenticator 解密从而获得用户名,用户地址( IP )将其与之前 Ticket 中解密出来的用户名,用户地址( IP )做比较从而验证 Client 的身份。

5.    如果 Service 有返回结果,将其返回给 Client 。

总结

概括起来说 Kerberos 协议主要做了两件事

1.    Ticket 的安全传递。

2.    Session Key 的安全发布。

再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用 Session Key,在通过鉴别之后 Client 和 Service 之间传递的消息也可以获得 Confidentiality(机密性), Integrity(完整性) 的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性,这也限制了它的应用。不过相对而言它比 X.509 PKI 的身份鉴别方式实施起来要简单多了。

推荐资料:

Kerberos的原理

Kerberos: An Authentication Service for Computer Networks

Web Services Security系列文章

lionzl
关注
专栏目录
【安全】JAAS/GSS-API/SASL/Kerberos简介
九师兄
06-22 2520
# JAAS/GSS-API/SASL/Kerberos简介 如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。 JAAS JAAS是Java Aut...
Kerberos认证协议
u011079143的博客
05-14 3548
安全协议:Kerberos认证协议 一、简介 Kerberos由MIT于1988年开发,用于分布式环境中,完成服务器与用户之间的相互认证。设计者的设计初衷是要用Kerberos的三个头来守卫网络之门。三个头分别包括:认证、账目清算和审计。 Kerberos要解决的问题 在一个开放的分布式网络环境中,用户通过工作站访问服务器提供的服务,存在许多问题: 工作站上的用户可以冒充另一个用户操作 用户可以...
Kerberos简介(转)
VerRan
09-13 275
转自:http://idior.cnblogs.com/archive/2006/03/20/354027.html Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每...
Kerberos:更安全的网络认证协议
最新发布
dxh9231028的博客
09-10 1440
Kerberos 是一种网络认证协议,主要用于特定的场景下,代替传统的token方式,以一种更繁琐,但更安全的方式来认证用户信息。它通过机制,确保用户在网络中与服务之间进行加密通信,并且避免了密码在网络中传输。Kerberos 的设计目标是通过可信的第三方(即)管理用户身份,提供单点登录 (SSO) 和安全的认证方式。
Kerberos协议
EDDJH_31的博客
08-01 769
前几天在复现MS14_068漏洞时,发现漏洞原理跟Kerberos协议有关,当时就大致看了一下。今天下午突然看到Kerberos协议的时候,发现自己对协议还是不太明白,所以在网上找了些资料认真看了一下,做个总结跟大家分享一下 Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 协议的安全主要依赖
9、Kerberos协议
安全学习笔记
07-23 4197
Kerberos协议 Kerberos
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
php 实现kerberos认证,Kerberos简介_PHP教程
weixin_35885813的博客
03-23 451
Kerberos简介Kerberos协议:Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。条件先来看看Kerbe...
kerberos协议简介.pdf
07-11
Kerberos 协议简介 Kerberos 协议是一种计算机网络认证协议,允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。该协议基于对称密码学,并需要一个值得信赖的第三方。 Kerberos 协议...
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
第一章 Kerberos简介 第二章 环境准备 2.1 使用软件版本信息介绍 2.2 节点架构介绍 2.3 基础系统环境准备 第三章 Kerberos框架搭建 3.1 Kerberos Server搭建 3.2 Kerberos Client搭建 3.3 规划principal 第四章 配置...
Kerberos协议标准
03-12
Kerberos协议标准
Kerberos协议及其利用
蚁景网安学院
06-02 871
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
Windows认证机制和协议---Kerberos协议
Naive的博客
05-03 1643
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
kerberos认证协议
stonesharp的专栏
01-07 1768
什么是kerberos协议,估计很多人都没有通过,实际上它应用非常广泛,在windows域和许多开发平台上应用很广。它应用最多的是统一登录SSO(Single Sign On)框架上应用。      什么是SSO,举个例子来说,一个公司开始有个系统A,用户每次登陆都要输入用户名密码鉴权。用来确认用户是合法用户,同时也要确定服务是合法服务,如何确定服务是合法服务呢,通常方法是验证过程不要使用明文密
从0到1的熟悉掌握——Kerberos协议
IerkeU的博客
05-01 2938
Kerberos,作为第三方网络认证协议,在客户端需要与服务端通信时,通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。Kerberos协议在内网域渗透领域至关重要,白银票据、黄金票据、攻击域控等都离不开Kerberos协议。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7327
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值