Kerberos 介绍

最新推荐文章于 2024-05-03 22:01:44 发布
最新推荐文章于 2024-05-03 22:01:44 发布
阅读量102 收藏
点赞数
分类专栏: j2se 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/marylay/article/details/84153222
版权

Kerberos 协议:

Kerberos 协议主要用于计算机网络的身份鉴别 (Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据 (ticket-granting ticket) 访问多个服务,即 SSO(Single Sign On) 。由于在每个 Client 和Service 之间建立了共享密钥,使得该协议具有相当的安全性。

条件

先来看看 Kerberos 协议的前提条件:

如下图所示, Client 与 KDC , KDC 与 Service 在协议工作前已经有了各自的共享密钥,并且由于协议中的消息无法穿透防火墙,这些条件就限制了 Kerberos 协议往往用于一个组织的内部, 使其应用场景不同于 X.509 PKI 。

  

过程 

Kerberos 协议分为两个部分:

1 . Client 向 KDC 发送自己的身份信息, KDC 从 Ticket Granting Service 得到 TGT(ticket-granting ticket) , 并用协议开始前 Client 与 KDC 之间的密钥将 TGT 加密回复给 Client 。

此时只有真正的 Client 才能利用它与 KDC 之间的密钥将加密后的 TGT 解密,从而获得 TGT 。

(此过程避免了 Client 直接向 KDC 发送密码,以求通过验证的不安全方式)

2. Client 利用之前获得的 TGT 向 KDC 请求其他 Service 的 Ticket ,从而通过其他 Service 的身份鉴别。

 Kerberos 协议的重点在于第二部分,简介如下:

 

1.    Client 将之前获得 TGT 和要请求的服务信息 ( 服务名等 ) 发送给 KDC , KDC中的Ticket Granting Service将为 Client 和 Service 之间生成一个 Session Key 用于 Service 对 Client 的身份鉴别。然后 KDC 将这个 Session Key 和用户名,用户地址( IP ),服务名,有效期 , 时间戳一起包装成一个 Ticket( 这些信息最终用于 Service 对Client 的身份鉴别 ) 发送给 Service , 不过 Kerberos 协议并没有直接将 Ticket 发送给 Service ,而是通过 Client转发给 Service. 所以有了第二步。

2.    此时 KDC 将刚才的 Ticket转发 给 Client 。由于这个 Ticket 是要给 Service 的,不能让 Client 看到,所以KDC 用协议开始前 KDC 与 Service 之间的密钥将 Ticket 加密后再发送给 Client 。同时为了让 Client 和 Service之间共享那个秘密 (KDC 在第一步为它们创建的 Session Key) , KDC 用 Client 与它之间的密钥将 Session Key加密随加密的 Ticket 一起返回给 Client 。

3.    为了完成 Ticket 的传递, Client 将刚才收到的 Ticket 转发到 Service. 由于 Client 不知道 KDC 与 Service之间的密钥,所以它无法算改Ticket中的信息。同时 Client 将收到的 Session Key 解密出来,然后将自己的用户名,用户地址( IP )打包成 Authenticator 用 Session Key 加密也发送给 Service 。

4.    Service 收到 Ticket 后利用它与 KDC 之间的密钥将 Ticket 中的信息解密出来,从而获得 Session Key 和用户名,用户地址( IP ),服务名,有效期。然后再用 Session Key 将 Authenticator 解密从而获得用户名,用户地址( IP )将其与之前 Ticket 中解密出来的用户名,用户地址( IP )做比较从而验证 Client 的身份。

5.    如果 Service 有返回结果,将其返回给 Client 。

总结

概括起来说 Kerberos 协议主要做了两件事

1.    Ticket 的安全传递。

2.    Session Key 的安全发布。

再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用 Session Key,在通过鉴别之后 Client 和Service 之间传递的消息也可以获得 Confidentiality(机密性), Integrity(完整性) 的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性,这也限制了它的应用。不过相对而言它比 X.509 PKI 的身份鉴别方式实施起来要简单多了。

推荐资料:

Kerberos的原理

Kerberos: An Authentication Service for Computer Networks

 

 

marylay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kerberos认证协议
u011079143的博客
05-14 3503
安全协议:Kerberos认证协议 一、简介 Kerberos由MIT于1988年开发,用于分布式环境中,完成服务器与用户之间的相互认证。设计者的设计初衷是要用Kerberos的三个头来守卫网络之门。三个头分别包括:认证、账目清算和审计。 Kerberos要解决的问题 在一个开放的分布式网络环境中,用户通过工作站访问服务器提供的服务,存在许多问题: 工作站上的用户可以冒充另一个用户操作 用户可以...
Kerberos简介(转)
VerRan
09-13 250
转自:http://idior.cnblogs.com/archive/2006/03/20/354027.html Kerberos协议: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每...
Kerberos协议
EDDJH_31的博客
08-01 733
前几天在复现MS14_068漏洞时,发现漏洞原理跟Kerberos协议有关,当时就大致看了一下。今天下午突然看到Kerberos协议的时候,发现自己对协议还是不太明白,所以在网上找了些资料认真看了一下,做个总结跟大家分享一下 Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 协议的安全主要依赖
9、Kerberos协议
安全学习笔记
07-23 4169
Kerberos协议 Kerberos
Kerberos协议及其利用
蚁景网安学院
06-02 854
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
Kerberos 详细介绍
10-01
Kerberos是一种广泛使用的计算机网络授权协议,它最初由麻省理工学院(MIT)开发,旨在提供一种安全的认证方式,以便在网络中的计算机用户或服务之间安全地进行通信。Kerberos采用的是对称密钥加密机制,同时也在其...
Kerberos协议理解
05-05
下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础概念 * KDC(Key Distribution Center):负责生成和管理身份验证票据的中心服务器。 * AS(Authentication Service):负责生成TGT...
kerberos+hadoop搭建
04-01
下面将详细介绍 Kerberos+Hadoop 搭建的过程。 环境准备 在开始搭建 Kerberos+Hadoop 之前,需要进行环境准备。首先,需要规划机器,包括规划机器的角色和配置免密登录。其次,需要安装 JDK,因为 Hadoop 需要 JDK...
kerberos认证机制
08-24
接下来,我们将更详细地介绍Kerberos认证机制的工作流程。 ##### **2.1 客户端请求服务** 当客户端想要访问一个受保护的服务时,它会首先向Kerberos的认证服务器发送一个请求。在这个请求中,客户端会提供自己的...
Kerberos原理
11-15
Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。...文件详细介绍kerberos原理。
Kerberos协议标准
03-12
Kerberos协议标准
kerberos 基础知识和安装操作
10-10
kerberos 的基础术语、验证过程讲解、安装步骤及操作使用。
Kerberos 认证协议详解
02-14
Kerberos 协议本身,及其应用场景都进行了详细讲解,不可多得的好文
kerberos认证协议
stonesharp的专栏
01-07 1740
什么是kerberos协议,估计很多人都没有通过,实际上它应用非常广泛,在windows域和许多开发平台上应用很广。它应用最多的是统一登录SSO(Single Sign On)框架上应用。      什么是SSO,举个例子来说,一个公司开始有个系统A,用户每次登陆都要输入用户名密码鉴权。用来确认用户是合法用户,同时也要确定服务是合法服务,如何确定服务是合法服务呢,通常方法是验证过程不要使用明文密
Windows认证机制和协议---Kerberos协议
Naive的博客
05-03 1277
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
从0到1的熟悉掌握——Kerberos协议
IerkeU的博客
05-01 2886
Kerberos,作为第三方网络认证协议,在客户端需要与服务端通信时,通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。Kerberos协议在内网域渗透领域至关重要,白银票据、黄金票据、攻击域控等都离不开Kerberos协议。
kerberos介绍
最新发布
06-08
Kerberos是一个网络身份验证协议,用于在客户端/服务器模式下进行身份验证,以及提供数据加密保护。Kerberos提供了一种安全的身份验证机制,可以防止网络中的恶意攻击。在Kerberos中,用户只需要在登录时输入一次密码,即可获得访问网络中任何服务器的票据,无需再为每个服务器输入密码。Kerberos还提供了数据加密保护,以确保网络中的数据传输是安全的。Kerberos有三个主要组件:客户端,服务器和Kerberos认证服务器(KDC)。客户端向KDC请求票据,并将票据发送给服务器,以获得访问权限。KDC负责管理身份验证和票据分发。Kerberos是目前较为常用的身份验证方式之一,被广泛应用于各种操作系统和应用程序中。 --相关问题--:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值