Kerberos协议认证原理/过程(详细易理解)

最新推荐文章于 2025-03-21 18:38:12 发布
最新推荐文章于 2025-03-21 18:38:12 发布
阅读量4.5k 收藏 27
点赞数 39
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62832001/article/details/143863132
版权

前言

为了方便理解,我们先了解一些名词,然后附上一张图片方便理解过程(最后有超精简版流程,适合详细过程记不住的小伙伴)

名词:

Client: 访问服务的客户端
Server: 提供服务的服务器
KDC (Key Distribution Center): 密钥分发中心:
       
        AS (Authentication Service): 认证服务器
        TGS (Ticket Granting Service): 票据授予服务
DC (Domain Controller): 域控制器
AD (Account Database): 用户数据库
TGT (Ticket Granting Ticket): 票证授予票证        
ST (Servre Ticket): 服务票据
流程图:

认证过程

第一阶段:客户端与认证服务器 (AS) 交互

1.客户端发起请求:客户端将自己的用户名、IP 地址和时间戳发送到 AS,标识身份并防止重放攻击。

2.AS 检查用户是否存在:AS AD 中查找用户是否存在于域中(例如白名单)。如果用户存在,AS 认为用户有效,继续下一步;否则,认证失败。

3. AS 向客户端返回两部分内容:(1)TGT(票据授予票据):包含客户端信息、IP 地址和时间戳等,经过 TGS 的密钥加密,只有 TGS 能解密和读取其中的内容。(2)会话密钥 (CT_SK) 及其他信息:包括 CT_SKclient+TGS session key)、TGS 信息、TGT有效时间和时间戳。此部分使用客户端密钥加密,客户端用自己的密钥解密以提取 CT_SK 和时间戳。

第一阶段结果:客户端成功获取了 TGT 和用于与 TGS 通信的会话密钥 CT_SK

第二阶段:客户端与票据授予服务 (TGS) 交互

1.客户端验证 AS 响应的时间戳:客户端检查时间戳是否超过 5 分钟,避免伪造认证。验证通过后,客户端继续与 TGS 通信。

2. 客户端向 TGS 发起请求:请求内容分为三部分:(1)使用 CT_SK 加密的客户端信息、IP 地址和时间戳,用于 TGS 识别客户端身份。(2)客户端希望访问的服务(明文)。(3)TGT,由 AS 生成并加密(这个密钥只有 KDC 中的 TGS 服务知道,只有 TGS 能解密并读取 TGT 中的内容)

3. TGS 验证请求并生成服务票据 (ST):

TGS 解密 TGT:获取到用户信息和 CT_SK,并通过时间戳确认请求是否有效。

对比信息:TGS 使用 CT_SK 解密客户端发送的第一部分,并验证用户信息一致性,确保客户端身份真实。

生成响应:(1)使用服务端密钥加密的服务票据 ST,包含客户端信息、目标服务信息、ST 有效期、时间戳和会话密钥 CS_SKclient-server session key)(用于客户端和服务端通信)。 (2)使用 CT_SK 加密的内容,包含 CS_SK、时间戳和 ST 有效期,客户端用CT_SK 解密获取这些内容。

第二阶段结果:客户端成功获得服务票据 (ST) 和客户端-服务端会话密钥 CS_SK

第三阶段:客户端与目标服务交互

1. 客户端向服务端发起请求:请求内容包括两部分:(1)使用 CS_SK 加密的客户端信息和时间戳。(2)使用目标服务的密钥加密的 STTGS 返回的STST中包含 CS_SK),客户端无法解密。

2.服务端验证客户端身份:

解密 ST:服务端使用自己的密钥解密 ST,获得客户端信息和会话密钥 CS_SK。

验证信息一致性:使用 CS_SK 解密客户端发送的第一部分内容,核对解密后的客户端信息是否与ST中一致,以确认客户端身份真实性。

3.双向认证确认:服务端向客户端发送确认消息,使用 CS_SK 加密。客户端解密后确认服务端的真实性,从而完成认证。

第三阶段结果:客户端与服务端成功完成双向认证,基于 CS_SK 的安全通信通道建立。至此,第三阶段通信完成,到这里整个 kerberos 认证也就完成了,接下来客户端与服务端就能放心的进行通信了。

超精简版本

第一阶段:客户端与认证服务器 (AS) 交互
结果:客户端成功获取了 TGT 和用于与 TGS 通信的会话密钥 CT_SK
第二阶段:客户端与票据授予服务 (TGS) 交互
结果:客户端成功获得服务票据 (ST) 和客户端-服务端会话密钥 CS_SK
第三阶段:客户端与目标服务交互
结果:客户端与服务端成功完成双向认证,基于 CS_SK 的安全通信通道建立。至此,第三阶段通信完成,到这里整个 kerberos 认证也就完成了,接下来客户端与服务端就能放心的进行通信了

周小新824
关注
Kerberos协议认证介绍 超详细
2ed
11-15 2090
转载:https://blog.csdn.net/wulantian/article/details/42418231 内容太多,可直接看总结 前几天在给人解释Windows是如何通过Kerberos进行Authentication的时候,讲了半天也别把那位老兄讲明白,还差点把自己给绕进去。后来想想原因有以下两点:对于一个没有完全不了解Kerberos的人来说,Kerberos的整个Authe...
kerberos 认证流程-理解
LINGX5的博客
08-31 806
域内的用户向 KDC(域控服务器)发送请求包,告诉域控,我要获得访问服务的票据。用户名,主机名,认证因子 Authenticator(由客户端用户 hash 加密的时间戳等信息),其他信息。
三步轻松理解Kerberos协议
06-19
Kerberos 是一种身份验证协议,它作为一种可信任的第三方认证服务,通过使用对称加密技术为客户 端/服务器应用程序提供强身份验证。在域环境下,AD域使用Kerberos协议进行验证,熟悉和掌握 Kerberos协议是域渗透的基础。
Kerberos协议工作原理介绍
最新发布
跟佟格码路一起学习计算机知识吧~
03-21 953
Kerberos是一种计算机网络安全协议,主要用于在非安全网络中提供强认证服务。它由麻省理工学院开发,旨在为客户端/服务器应用程序提供强大的认证机制,确保用户和服务之间的通信是安全
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1152
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
Kerberos:更安全网络认证协议
dxh9231028的博客
09-10 2223
Kerberos 是一种网络认证协议,主要用于特定的场景下,代替传统的token方式,以一种更繁琐,但更安全的方式来认证用户信息。它通过机制,确保用户在网络中与服务之间进行加密通信,并且避免了密码在网络中传输。Kerberos 的设计目标是通过可信的第三方(即)管理用户身份,提供单点登录 (SSO)安全认证方式。
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2587
数据安全防护及Kerberos简介
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
详细讲解kerberos认证过程、黄金、白银票据
qq_63217130的博客
08-18 3120
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
Kerberos 认证流程详解
m0_57836225的博客
09-25 1329
Kerberos 是一种基于对称密钥加密的网络认证协议,它的设计目标是在不安全网络环境中为用户和服务提供安全认证和授权。Kerberos 协议的核心是一个密钥分发中心(Key Distribution Center,KDC),它负责管理用户和服务的密钥,并为用户和服务之间的通信提供认证和授权。Kerberos 是一种强大的网络认证协议,它提供了安全、高效、可扩展的认证机制。了解 Kerberos 认证流程对于保障网络安全至关重要。
kerberos认证过程
weixin_55821558的博客
03-20 1006
1.KDC,uname,upwd -x算法=>authticator 暗号 2.KDC ->uname,pwd->x1算法->解密authticator 确认客户端身份->生成登录会话秘钥login key 3.KDC发送两部分内容 1.KDC key加密的(userinfo用户信息,loging key)就是TGT,TGT的中文意思相当于认购权证 ,2.upwd加密的(login key) 4.客户端->使用upwd解密得到login key并缓存,同时缓存TGT,.
kerberos安全认证
12-29
Kerberos是一种广泛应用于网络身份验证的安全协议,它由麻省理工学院开发并设计,旨在提供强身份验证和加密通信。在IT行业中,Kerberos是实现企业级系统安全的重要工具,尤其在大数据生态系统中,如Spark、Oozie、...
Kerberos认证原理
weixin_45083592的博客
11-26 839
Kerberos认证原理 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证,软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统 概念 1)KDC:密钥分发中心,负责管理发放票据,记录授权 2)Realm:Kerberos管理领域的标识 3)principal:当每添加一个用户或服务的时候都需要向
内网安全——Kerberos协议详细全解
m0_67189356的博客
09-21 6651
Kerberos认证详解
Kerberos协议
EDDJH_31的博客
08-01 826
前几天在复现MS14_068漏洞时,发现漏洞原理Kerberos协议有关,当时就大致看了一下。今天下午突然看到Kerberos协议的时候,发现自己对协议还是不太明白,所以在网上找了些资料认真看了一下,做个总结跟大家分享一下 Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证协议安全主要依赖
Kerberos认证底层逻辑(通俗懂版)
weixin_44893236的博客
01-28 969
## 一、Kerberos协议Kerberos是一种由麻省理工大学提出的一种网络身份验证协议,设计初衷是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。‌个人认为可以类比HTTPS去理解Kerberos的Client、Server、KDC 可以类比HTTPS的Client、Server、CA去理解
Windows是如何通过Kerberos进行Authentication的【转】
leafqing04的专栏
05-17 2171
Windows下的Kerberos是如何进行Authentication的
kerberos认证原理
m0_37613244的博客
09-19 286
前几天在给人解释Windows是如何通过Kerberos进行Authentication的时候,讲了半天也别把那位老兄讲明白,还差点把自己给绕进去。后来想想原因有以下两点:对于一个没有完全不了解Kerberos的人来说,Kerberos的整个Authentication过程确实不好理解——一会儿以这个Key进行加密、一会儿又要以另一个Key进行加密,确实很容把人给弄晕;另一方面是我讲解方式有问题,一开始就从Ker...
Kerberos认证流程详解
热门推荐
jewes的专栏
03-08 5万+
Kerberos是诞生于上个世纪90年代的计算机认证协议,被广泛应用于各大操作系统和Hadoop生态系统中。了解Kerberos认证的流程将有助于解决Hadoop集群中的安全配置过程中的问题。为此,本文根据最近阅读的一些材料,详细介绍Kerberos认证流程。欢迎斧正!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值