【安全】Kerberos协议介绍

最新推荐文章于 2024-07-11 00:27:01 发布
最新推荐文章于 2024-07-11 00:27:01 发布
阅读量1.4k 收藏
点赞数
分类专栏: 不体系 文章标签: 安全
原文链接:https://mp.csdn.net/mdeditor/83472209#
版权
不体系 专栏收录该内容
150 篇文章 449 订阅 ¥39.90 ¥99.00
订阅专栏
Kerberos是一种网络授权协议,确保非安全网络中的身份认证。认证过程涉及客户机与认证服务器(AS)交互,获取服务的证书,并通过授权服务器(TGS)进行后续通信。协议依赖于时间同步和短期票据,但也存在单点故障和时钟同步要求等缺陷。
摘要由CSDN通过智能技术生成

文章目录

在这里插入图片描述

1.概述

Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。

2. 认证过程

认证过程具体如下:

  1. 客户机向认证服务器(AS)发送请求,要求得到某服务器的证书
  2. 然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为:
 1) 服务器 “ticket” ;
 2) 一个临时加密密钥(又称为会话密钥 “session key”) 。

客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。

上述认证交换过程需要只读方式访问 Kerberos 数据库。但有时,数据库中的记录必须进行修改,如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器(Kerberos 管理器 KADM)间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝,这可以认为是执行过程中的细节问题,并且会不断改变以适应各种不同数据库技术。

2.1 举例

简要大概地说一下Kerberos是如何工作的:

  1. 假设你要在一台电脑上访问另一个服务器(你可以发送telnet或类似的登录请求)。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。
  2. 要得到这张入场券,你首先要向验证服务器(AS)请求验证。验证服务器会创建基于你的密码(从你的用户名而来)的一个“会话密钥”(就是一个加密密钥),并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。
  3. 然后,你把这张允许入场的入场券发到授权服务器(TGS)。TGS物理上可以和验证服务器是同一个服务器,只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。
  4. 服务器或者拒绝这张票据,或者接受这张票据并执行服务。
  5. 因为你从TGS收到的这张票据是打上时间戳的,所以它允许你在某个特定时期内(一般是八小时)不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。

实际的过程要比刚才描述的复杂得多。用户过程也会根据具体执行有一些改变。

3. 协议内容

协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明。 下面是对这个协议的一个简化描述,将使用以下缩写:

AS(Authentication Server)= 认证服务器
KDC(Key Distribution Center)= 密钥分发中心
TGT(Ticket Granting Ticket)= 票据授权票据,票据的票据
TGS(Ticket Granting Server)= 票据授权服务器
SS(Service Server)= 特定服务提供端

客户端用户发送自己的用户名到KDC服务器以向AS服务进行认证。KDC服务器会生成相应的TGT票据,打上时间戳,在本地数据库中查找该用户的密码,并用该密码对TGT进行加密,将结果发还给客户端用户。该操作仅在用户登录或者kinit申请的时候进行。 客户端收到该信息,并使用自己的密码进行解密之后,就能得到TGT票据了。这个TGT会在一段时间之后失效,也有一些程序(session manager)能在用户登陆期间进行自动更新。 当客户端用户需要使用一些特定服务(Kerberos术语中用"principal"表示)的时候,该客户端就发送TGT到KDC服务器中的TGS服务。当该用户的TGT验证通过并且其有权访问所申请的服务时,TGS服务会生成一个该服务所对应的ticket和session key,并发还给客户端。客户端将服务请求与该ticket一并发送给相应的服务端即可。具体的流程请看下面的描述。

其在网络通讯协定中属于显示层。

简单地说,用户先用共享密钥从某认证服务器得到一个身份证明。随后,用户使用这个身份证明与SS通信,而不使用共享密钥。 [2]

4. 缺陷

  1. 失败于单点:它需要中心服务器的持续响应。当Kerberos服务结束前,没有人可以连接到服务器。这个缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。
  2. Kerberos要求参与通信的主机的时钟同步。票据具有一定有效期,因此,如果主机的时钟与Kerberos服务器的时钟不同步,认证会失败。默认设置要求时钟的时间相差不超过10分钟。在实践中,通常用网络时间协议后台程序来保持主机时钟同步。
  3. 管理协议并没有标准化,在服务器实现工具中有一些差别。
  4. 因为所有用户使用的密钥都存储于中心服务器中,危及服务器的安全的行为将危及所有用户的密钥。
  5. 一个危险客户机将危及用户密码。
九师兄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
从0到1的熟悉掌握——Kerberos协议
IerkeU的博客
05-01 2895
Kerberos,作为第三方网络认证协议,在客户端需要与服务端通信时,通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。Kerberos协议在内网域渗透领域至关重要,白银票据、黄金票据、攻击域控等都离不开Kerberos协议
Kerberos简介
chenglinhust的专栏
06-14 1389
Kerberos简介
01、Kerberos安全认证之原理及搭建命令使用学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1233
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
security+第四章复习记录
baynk的博客
01-10 466
0x01 身份认证类型 type1 1类是你所知道的内容,例如密码或者PIN。 type2 2类是你拥有的物品,例如智能卡。 type3 3类是你的特征,例如生物识别。 0x02 kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 简要大概地说一下Kerberos是如何工作的: 假设你要在一台电脑上访问另一个服务器(你可以发送tel...
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7145
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
mysql kerberos_Kerberos认证流程简述
weixin_30923011的博客
02-07 391
摸鱼了很长一段时间,被大佬按在地上摩擦,一时间精神恍惚想不起来写点啥,正好回来碰巧给别人讲kerberos协议认证流程,结果讲来讲去把自己讲晕了,就非常尴尬于是有了这篇文章(友情提示:无事莫装X,装X遭人X),争取用我简单浅显而贫乏的词汇量,描述一下相关流程0x01 认知(1)这是一个关于kerberos的经典图示,最简化地展示了kerberos的验证流程kerberos是一种网络身份认证协议,...
Kerberos协议理解
05-05
下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础概念 * KDC(Key Distribution Center):负责生成和管理身份验证票据的中心服务器。 * AS(Authentication Service):负责生成TGT...
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)域环境中,它为客户端和服务器应用提供了安全的认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
kerberos协议简介.pdf
07-11
Kerberos 协议是一种计算机网络认证协议,允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。该协议基于对称密码学,并需要一个值得信赖的第三方。 Kerberos 协议可以保护网络实体免...
域渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了域渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
服务器信息安全协议,Kerberos协议过程-信息安全工程师知识点
weixin_29661797的博客
08-05 1211
信息安全工程师知识点:Kerberos协议过程在Kerberos协议中:用户(C)和认证服务器(AS)共享密钥Kc,认证服务器(AS)和票据许可服务器(TGS)共享密钥Ktgs,票据许可服务器(TGS)和服务器(V)之间共享密钥Kv,但是用户(C)和服务器(V)之间没有密钥共享,因此用户想要访问服务器,就必须通过认证服务器(AS)和票据许可服务器(TGS)获得相应的密钥Kc,v。Kerberos协...
Kerberos协议及其利用
蚁景网安学院
06-02 857
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
Kerberos 原理简述
Jian Sun_的博客
03-14 1292
Kerberos 是非常出名的密钥分配协议,同时也兼具了鉴别协议的功能,也是一个 KDC(Key Distribution Center,密钥分配中心)。Kerberos 采用 AES 进行加密,所以安全性更高。 Kerberos 的工作原理 其核心思想是这样的:和我们平时生活一样,当我需要到社区中心盖一些章的时候,社区中心往往需要你提供一个证明,证明你是你,这样的证明通常你需要找派出所去开具。所以这个 AS 就像是派出所,而 TGS 就像是社区中心。 具体流程 1. Client 向 ...
KEBEROS协议 概念
weixin_30332241的博客
01-28 139
KEBEROS 协议是 80 年代由 MIT 开发的一种协议。其命名是根据希腊神话中守卫冥王大门的长有三头的看门狗做的。 定名是贴切的,因为 KERBEROS 是一个三路处理方法,根据称为密匙分配中心(KDC)的第三方服务来验证计算机相互的身份,并建立密匙以保证计算机间安全连接。 KERBEROS 协议基本上是可行的,因为每台计算机分享KDC一个秘密,KDC 有两个部件: 一个 KEBE...
kerberos协议
lovebomei的博客
04-04 1881
KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS AS 全称:authentication service 作用:为client生成TGT的服务 TGS 全称:ticket granting service 作用:为client生成某个服务的ticket AD 全称:account databas...
Kerberos协议初探
qq_22639405的博客
09-28 211
Kerberos协议的组成角色
Kerberos协议详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-23 938
Kerberos协议是一种用于网络身份验证的协议,最初是由麻省理工学院研究人员开发的,广泛应用于现代计算机网络中。Kerberos协议提供了一个机制,使得用户可以在无需重复输入密码的情况下,在计算机网络上访问多个计算机系统。是为了确保计算机网络中的用户身份验证、授权和访问控制的安全性。其主要设计目标包括:强身份认证:Kerberos协议使用基于加密的身份验证机制,确保用户身份的真实性。在协议中,TGT和服务票据都是基于密钥加密的,只有拥有正确密钥的身份才能加密和解密这些消息。
Kerberos认证协议介绍
lonelymanontheway的博客
10-19 1279
概述、特性、原理、概念、步骤、Authentication Service Exchange、Ticket Granting Service Exchange、Client/Server Exchange、 总结、实战、安装
Kerberos协议详解:安全认证与密钥管理
Kerberos协议是一种在不安全网络环境下提供身份验证服务的安全机制,其核心目标是在用户、服务器以及认证中心(Kerberos Key Distribution Center, KDC)之间建立信任关系,确保数据传输的安全性。以下是Kerberos...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值