kerberos的as tgs cs认证基本原理

最新推荐文章于 2025-04-08 11:52:37 发布
最新推荐文章于 2025-04-08 11:52:37 发布
阅读量2.9k 收藏 1
点赞数 1
分类专栏: 大数据 文章标签: kerberos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43536701/article/details/109615325
版权

KDC(kerberos Distribution Center)密钥分发中心,维护所有账户的名称和Master Key(key的hash code)。
提供:AS认证服务、TGS票据授予服务
Client 访问 Service需要Kerberos认证过程3个子协议:
1.AS Exchange
2.TGS Exchange
3.CS Exchange
认证过程如下图:
在这里插入图片描述

1.1Authentication Service Exchange
该服务通过KDC的AS服务对Client身份的确认,并颁发给该Client一个TGT服务授权票据。
在这里插入图片描述

Client向KDC AS发送KRB_AS_REQ请求,Client使用自己的Master Key对KRB_AS_REQ的主体部分进行加密(KDC可以通过AD获取该client的master key)KRB_AS_REQ的大体内容:
Pre-authentication data:包含用以证明自己身份的信息。(证明自己知道account的密码)一般是被client的master key加密的Timestamp
Client name&realm:就是Domin name\Client name

Server Name :KDC 的TGS 的server name
当使用Kerberos V5时,用户的密码永远不会通过网络发送,甚至不会以加密的形式发送,Kerberos V5管理期间除外。
在这里插入图片描述

AS通过接收KRB_AS_REQ是否是Client name&realm声称的account,AS只需要通过提取Client对应的master key 对Pre-authentication解密,如果是合法的Timestamp,则可以证明提供了正确的密码。
通过验证后AS将一份Authentication Service Response(KRB_AS_REP)发送给client,KRB_AS_REP主要包含两部分:本Client的Master key 加密的Session key(SKDC-Client:Logon Session Key),被自己(KDC服务krbtgt对应的key,只有KDC解密防止篡改)加密的TGT。TGT包含以下的内容:
Session Key:SKDC-Client:Logon Session Key
Client name&realm:Domin name/Client
End time:TGT到期时间
Client通过自己 的Master key对第一部分解密获取Session key(SKDC-Client:Logon Session Key)之后,携带TGT便可以进入下一步:TGS(Ticket granting Service)Exchange

1.2Ticket Granting Service Exchange
证明持有的TGT是AS颁发,并获取对应服务的票据
在这里插入图片描述

Client向KDC中的TGS发送KRB_TGS_REQ,请求包含:
TGT:client通过AS Exchange获取的TGT被KDC的Master key进行加密。
Authenticator:用来证明当初TGT的拥有者是否是自己,所以它必须以TGT的颁发方(KDC)和自己(client)的Session key(SKDC-Client:Logon Session Key)来进行加密。在Kerberos的Authenticator实际上就是关于Client的一些信息和当前时间的一个Timestamp。
Client name&realm:Domin name/client name
Server name &realm:Domin name/Server ,这次是Client试图访问的Server。

在这里插入图片描述

TGS收到KRB_TGS_REQ颁发Ticket之前会验证Client提供的TGT是否是AS颁发的。通过Authenticator来证明。但是Authenticator是用Logon Session Key(SKDC-Client)加密的,获取Logon Session Key TGS先用自己的Master key解密TGT,从而获取这个logon Session key解密Authenticator进行验证。通过验证向Client 发送KRB_TGS_REP有两部分组成:使用Logon Session key(SKDC-Client)加密用于Client和Server的Session Key(Sserver-Client)、使用Server的Master Key进行加密的Ticket。Ticket大体包含以下内容:
Session Key:Sserver-Client
Client name&realm:Domin name/Client
End time:Ticket的到期时间
Client收到KRB_GTS_REP使用Logon Session Key(SKDC-Client)解密第一部分获取Session key(SServer-Client)。有了Session Key和Ticket,Client 就可以和Server进行交互。

1.3Client/Server Exchange
证明自己就是Ticket的合法所有者
在这里插入图片描述

Client 通过TGS Exchange获取Client和Server的Session key,随后就是证明自己就是ticket的真正所有者的Authenticator,并使用Session key(SServer-Client)进行加密。最后将Authenticator和Ticket作为KRB_AP_REQ发送给server。

Server接受到KRB_AP_REQ之后,通过自己的master key解密Ticket 从而获取Session key。通过session key解密Authentictor,进行身份验证。验证成功让Client访问需要的资源,否则拒绝对方访问请求。

[内网安全] Windows 域认证Kerberos 协议认证
Blue17 の 小窝
03-06 1286
此时客户端会用自己的密钥将第二部分内容解密,获取时间戳、自己将要访问的 TGS 的信息以及用于与 TGS 通信的密钥 CT_SK。服务端收到来自客户端的请求,使用自己的密钥,将客户端发送来的 ST 部分进行解密,核对时间戳后将其中的 CS_SK 取出,使用 CS_SK 将客户端发来的第一部分内容进行解密,从而获得经过 TGS 认证过后的客户端信息,此时他将这部分信息和客户端第二部分内容带来的信息进行比对,最终确认客户端就是经过了 KDC 认证的具有真实身份的客户端,是他可以提供服务的客户端。
kerberos:介绍
玉汝于成
04-19 3503
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
Kerberos认证协议中TGS服务器可以去掉吗?
西青年·部落格
08-21 3465
Kerberos协议最早是由MIT提出的,是一种身份认证协议。 应用场景:在一个开放环境中,一个工作站用户想通过网络对分布在网络中的各种服务提出请求,那么希望服务器能够只对授权用户提供服务,并能够鉴别服务请求的种类。 Kerberos协议的原理:Kerberos通过提供一个集中的授权服务器来负责用户对服务器的认证和服务器对用户的认证,而不是为每个服务器提供详细的认证协议。 Kerberos
WEB安全--内网渗透--KerberosAS_REQ&AS_REP
最新发布
m0_74800552的博客
04-08 1066
QAQ
kerberos
哇哈哈
10-29 3700
https://www.cnblogs.com/artech/archive/2007/07/05/807492.html https://www.cnblogs.com/-qing-/p/11349134.html https://ieevee.com/tech/2016/06/07/kerberos-1.html https://blog.csdn.net/czz1141979570/arti...
Kerberos协议之TGS_REQ & TGS_REP
喜欢Python编程的程序员柚柚呀
08-12 895
拿到内容1和内容2,使用自己hash来作为密钥,来解密内容1,拿到客户端/服务器会话密钥和客户端ID,继续把拿到客户端/服务器会话密钥来解密内容2,获(新的身份验证器)得客户端ID,如果一致,就会返回内容给客户端,来表示回应。(这一步不管用户有没有访问服务的权限,只要TGT正确,就都会返回ST服务票据,这也是kerberoasting能利用的原因,任何一个用户,只要hash正确,就可以请求域内任何一个服务的ST票据)在完成上述的检测后,如果验证通过,则TGS完成了对客户端的认证,会生成一个用Logon。
kerberos 认证AS_REQ与AS_REP
04-11 1794
简述 kerberos 的第一步请求与KDC的返回报文一共关注与两个问题,第一是验证“你是你”,既验证访问客户端的身份,证明你是你,第二个则是提供下一步请求的凭证。 AS_REQ 用户向KDC发起AS_REQ,请求凭据是用户 hash加密的时间戳。请求凭据放在PA_DATA里面。详情见以下每个字段的详细介绍 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cMHUQQ38-1618106536162)(9AF2DB007AAD4C98A9AE0DE4BA9BEDF8)] 同
linux kerberos认证,Kerberos 认证过程详解
weixin_36197581的博客
05-15 1874
kerboros认证过程如下:前提:client和server都在kdc上已注册.第一步 Authentication Service Exchange第二步 Ticket Granting Service Exchange第三步 Client/Server Exchange首先Client向kdc申请server服务,kdc查看server服务是受保护的服务,所以要验证client的身份,这就是...
Kerberos认证原理
qq_40144558的博客
06-08 1430
Kerberos认证原理去年做hadoop的时候使用kerberos,现在来整理一下它的原理,不对的地方请见谅 一、基本原理Authentication解决的其实是如何证明你就是你说的那个人的问题,对于如何进行Authentication,一半采用这样的方法:如果一个秘密(Secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A,相当于局...
[kerberos] kerberos 认证详解
qq_42987796的博客
12-13 1452
kerberos 认证的白话版
Kerberos认证模型(c语言实现)
sinat_20019511的博客
03-11 3838
Kerberos认证模型 原理概述 Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议,并发布的一套免费软件。它的设计主要针对客户-服务器模型,并提供了一系列交互认证——用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。 Kerberos协议基于对称密码学,并需要一个值得信赖的第三方。Kerberos协议的扩展可以为认证的某些阶段提供公钥密码学支持。 认证流程 首先,用户使
【清晰】Kerberos安全体系详解.pdf
07-20
kerberos认证的详解,详细描述了kdc中astgs的工作原理
Kerbroes协议之AS-REQ & AS-REP
qq_53058639的博客
08-11 552
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客 户机 /服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
网络安全—Kerberos认证系统
本散修的一些学习心得与笔记,道友请自便。
11-14 563
首先在其中生成的Session都是作下一次通话是否正确为目的,也就是为了保证认证过程双方身份都是正确的除了客户端不知道KDC的密钥之外,我们在本地使用密钥加密发送过去KDC是知道如何解密的,利用这个特性,KDC就可以使用他自己内部的密钥进行信息加密作为票据,我们无法解密,但是我们发过去响应的时候总是带有时间戳或者客户端信息,我们票据中也带有这些信息,然而这些信息都是KDC才能解密, 所以票据就代表了对方发过来的信息是否有误,可以知道是否疑似超时被截获信息了。
信息安全-认证技术原理与应用
我的个人博客
08-24 4124
认证技术原理与应用、认证概述、认证类型与认证过程、认证技术方法、认证主要产品与技术指标、认证技术应用
一篇文章看懂Kerberos协议
qq_29948489的博客
12-14 1313
kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
Kerberos 4 私钥认证服务
chenjialehhh的博客
11-09 1529
Kerberos是由MIT开发的一种基于对称密码体系的网络认证协议,本文介绍了关于Kerberos的相关概念与具体框架。
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2600
数据安全防护及Kerberos简介
kerberos详解
SkyChaserYu的博客
03-16 3578
kerberos介绍 1、重要术语 1. KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,ASTGS 2. AS 全称:authentication service 作用:为client生成TGT的服务 3.TGS 全称:ticket granting service 作用:为client生成某个服务的...
kerberos认证原理
09-15
Kerberos认证解决的是"如何证明我就是我的问题"。在Kerberos认证过程中,涉及到三个角色:客户端(C)、认证服务器(AS)和票据授予服务器(TGS)。整个认证过程可以分为以下几个步骤: 1. 客户端向认证服务器发送身份认证请求。请求中包括客户端的用户名和所需服务的标识。 2. 认证服务器验证客户端的身份,并生成一个临时的Session Key(会话密钥)和票据授予票据(TGT)。TGT是使用认证服务器的私钥加密的,并且只有TGS才能解密。 3. 认证服务器将TGT发送给客户端。客户端收到TGT后,使用自己的密码解密TGT,获取Session Key,并将Session Key保存在本地。 4. 客户端向TGS发送服务票据请求。请求中包括TGT、目标服务的标识和客户端的身份。 5. TGS验证客户端的身份和TGT的有效性,如果通过验证,TGS生成一个临时的服务票据,并使用目标服务的密钥加密该票据。 6. TGS将服务票据发送给客户端。客户端收到服务票据后,使用Session Key解密票据,获取服务票据和目标服务的密钥。 7. 客户端向目标服务发送服务请求。请求中包括服务票据。 8. 目标服务使用自己的密钥解密服务票据,验证票据的有效性。如果验证通过,目标服务向客户端发送一个挑战,客户端使用Session Key对挑战进行加密并发送给目标服务。 9. 目标服务使用自己的密钥解密客户端的响应,并验证响应的正确性。如果验证通过,目标服务确认客户端的身份,并提供所请求的服务。 整个Kerberos认证过程中,使用了多次通信和临时生成的Session Key来确保安全性。认证服务器的数据库中存储了具有Kerberos认证权限的用户和网络服务的信息,用于验证对象的身份和权限。通过这种方式,Kerberos实现了"限权"的认证协议。 请参考上面提供的引用、和来获得更多关于Kerberos认证的详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值