Kerberos认证模型(c语言实现)

最新推荐文章于 2024-03-15 18:26:56 发布
最新推荐文章于 2024-03-15 18:26:56 发布
阅读量3.2k 收藏 29
点赞数 5
文章标签: c Kerberos 信息安全 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20019511/article/details/114670046
版权

文章目录

Kerberos认证模型

原理概述

Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议,并发布的一套免费软件。它的设计主要针对客户-服务器模型,并提供了一系列交互认证——用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。

Kerberos协议基于对称密码学,并需要一个值得信赖的第三方。Kerberos协议的扩展可以为认证的某些阶段提供公钥密码学支持。

认证流程

首先,用户使用客户端(用户自己的机器)上的程序进行登录:
  • 用户输入用户ID和密码到客户端。
  • 客户端程序运行一个单向函数(大多数为杂凑)把密码转换成密钥,这个就是客户端(用户)的“用户密钥”(user’s secret key)。
随后,客户端认证(客户端(Client)从认证服务器(AS)获取票据的票据(TGT)):

  • Client向AS发送1条明文消息,申请基于该用户所应享有的服务,例如“用户Sunny想请求服务”(Sunny是用户ID)。(注意:用户不向AS发送“用户密钥”(user’s secret key),也不发送密码)该AS能够从本地数据库中查询到该申请用户的密码,并通过相同途径转换成相同的“用户密钥”(user’s secret key)。

  • AS检查该用户ID是否在于本地数据库中,如果用户存在则返回2条消息:

    • 消息A:Client/TGS会话密钥(Client/TGS Session Key)(该Session Key用在将来Client与TGS的通信(会话)上),通过用户密钥(user’s secret key)进行加密
    • 消息B:票据授权票据(TGT)(TGT包括:消息A中的“Client/TGS会话密钥”(Client/TGS Session Key),用户ID,用户网址,TGT有效期),通过TGS密钥(TGS’s secret key)进行加密

  • 一旦Client收到消息A和消息B,Client首先尝试用自己的“用户密钥”(user’s secret key)解密消息A,如果用户输入的密码与AS数据库中的密码不符,则不能成功解密消息A。输入正确的密码并通过随之生成的"user’s secret key"才能解密消息A,从而得到“Client/TGS会话密钥”(Client/TGS Session Key)。(注意:Client不能解密消息B,因为B是用TGS密钥(TGS’s secret key)加密的)。拥有了“Client/TGS会话密钥”(Client/TGS Session Key),Client就足以通过TGS进行认证了。

然后,服务授权(client从TGS获取票据(client-to-server ticket)):

  • 当client需要申请特定服务时,其向TGS发送以下2条消息:

    • 消息c:即消息B的内容(TGS’s secret key加密后的TGT),和想获取的服务的服务ID(注意:不是用户ID)
    • 消息d:认证符(Authenticator)(Authenticator包括:用户ID,时间戳),Client/TGS会话密钥(Client/TGS Session Key)进行加密

  • 收到消息c和消息d后,TGS首先检查KDC数据库中是否存在所需的服务,查找到之后,TGS用自己的“TGS密钥”(TGS’s secret key)解密消息c中的消息B(也就是TGT),从而得到之前生成的“Client/TGS会话密钥”(Client/TGS Session Key)。TGS再用这个Session Key解密消息d得到包含用户ID和时间戳的Authenticator,并对TGT和Authenticator进行验证,验证通过之后返回2条消息:

    • 消息E:client-server票据(client-to-server ticket)(该ticket包括:Client/SS会话密钥 (Client/Server Session Key),用户ID,用户网址,有效期),通过提供该服务的服务器密钥(service’s secret key)进行加密
    • 消息F:Client/SS会话密钥( Client/Server Session Key)(该Session Key用在将来Client与Server Service的通信(会话)上),通过Client/TGS会话密钥(Client/TGS Session Key)进行加密

  • Client收到这些消息后,用“Client/TGS会话密钥”(Client/TGS Session Key)解密消息F,得到“Client/SS会话密钥”(Client/Server Session Key)。(注意:Client不能解密消息E,因为E是用“服务器密钥”(service’s secret key)加密的)。

最后,服务请求(client从SS获取服务):

  • 当获得“Client/SS会话密钥”(Client/Server Session Key)之后,Client就能够使用服务器提供的服务了。Client向指定服务器SS发出2条消息:

    • 消息e:即上一步中的消息E“client-server票据”(client-to-server ticket),通过服务器密钥(service’s secret key)进行加密
    • 消息g:新的Authenticator(包括:用户ID,时间戳),通过Client/SS会话密钥(Client/Server Session Key)进行加密

  • SS用自己的密钥(service’s secret key)解密消息e从而得到TGS提供的Client/SS会话密钥(Client/Server Session Key)。再用这个会话密钥解密消息g得到Authenticator,(同TGS一样)对Ticket和Authenticator进行验证,验证通过则返回1条消息(确认函:确证身份真实,乐于提供服务):

    • 消息H:新时间戳(新时间戳是:Client发送的时间戳加1,v5已经取消这一做法),通过Client/SS会话密钥(Client/Server Session Key)进行加密

  • Client通过Client/SS会话密钥(Client/Server Session Key)解密消息H,得到新时间戳并验证其是否正确。验证通过的话则客户端可以信赖服务器,并向服务器(SS)发送服务请求。

  • 服务器(SS)向客户端提供相应的服务。

总体结构设计

各个进程函数结构设计

  • Client
// Step1 发送用户名到AS
void SendToAS(char *clientID);
// Step2 从AS接收消息A和消息B
void ReceiveFromAS
最低0.47元/天 解锁文章
一个路过的Developer
关注
  • 5
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
kerberos4安全协议工作过程,C语言部分简易实现(附带模拟黑客入侵)
MICHAEL_HUANG4的博客
11-09 1380
#include <windows.h> #include <stdio.h> #include <string.h> #include <stdlib.h> #include <time.h> static int hacker; typedef struct ticket { int server_ID = -1; ...
Kerberos.NET:完全内置于托管代码中的Kerberos实现
02-05
Kerberos.NET 一个完全由托管代码构建的完整Kerberos库,没有(很多)操作系统依赖性。 .NET基础 该项目由支持。 它是什么? .NET内置的库,可让您处理Kerberos消息。 您可以运行客户端,托管自己的KDC或仅验证传入票证。 它旨在尽可能轻巧。 可以值得一读。 提琴手扩展 您可以在此页面右侧的下找到Fiddler扩展安装程序。 有关更多信息,请阅读。 跨平台支持 该库将在所有上工作,但。 入门 使用该库有两种方法。 首先是下载代码并在本地构建。 第二个更好的选择是仅使用nuget。 PM > Install-Package Kerberos.NET 关于Nug
kerberos认证
xiaoyutongxue6的博客
01-04 343
一、 基本原理 Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何...
kerberos的java实现
06-07
用java语言实现的简单的kerberos,可以对客户端进行AS,tgs的认证
SMB的NTLM认证过程与NTLM挑战的编程实现
我的专栏
07-13 1330
作者:FLASHSKYSITE:http://www.xfocus.net/,http://www.shopsky.com/邮件:flashsky@xfocus.org                        //注:本文不涉及到NTLM具体的认证算法,但是给出通过SSPI的API实现的过程。    SMB协议可以说是WIN系统的核心协议,这里大致给大家讲解一下SMB认证
Kerberos v5 源代码
12-16
Kerberos v5 在windows 上的源代码,该代码适当的编译后,可以直接在windows下运行
java实现flink订阅Kerberos认证的Kafka消息示例源码
04-16
在Java中实现Flink订阅Kerberos认证的Kafka消息是一项关键任务,特别是在处理安全敏感的数据流时。本文将深入探讨这一主题,介绍如何利用Apache Flink与Kafka的集成,以及如何通过Kerberos进行身份验证。 首先,...
flink写入带kerberos认证的kudu connector
03-24
当Flink需要与Kudu交互时,Kerberos认证机制的引入是为了增强系统的安全性,防止未授权的访问。本文将详细介绍如何在Flink中配置和使用带Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种...
hadoop快速集成kerberos认证
01-13
Hadoop作为一个分布式计算框架,为了保障数据的安全性,常常需要集成Kerberos认证系统。Kerberos是一种网络认证协议,它提供了强大的身份验证服务,确保只有授权的用户和服务可以访问资源。本压缩包文件包含了实现...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
在本文中,我们将深入探讨如何使用Python 3.6.5版本通过Kerberos认证来连接Hive和HDFS。Kerberos是一种广泛使用的网络身份验证协议,它为不安全的网络环境提供了安全的身份验证机制。它依赖于共享密钥加密来确保通信...
kerberos认证hive连接代码
12-05
kerberos认证hive连接代码,springmvc配置加上java触发认证kerberos认证
kerberos安全认证
12-29
下面我们将深入探讨Kerberos的原理、工作流程以及如何在这些组件中实现安全认证。 **Kerberos基本原理** Kerberos基于密钥分发中心(KDC)的概念,它分为两个部分:Authentication Server (AS) 和 Ticket Granting...
【内网横向】Kerberos认证
qq_48201589的博客
03-08 304
Windows的身份认证方式主要有NTLM认证Kerberos认证两种,但是在域中,依旧采用Kerberos认证的方式(网络认证协议)。Kerberos协议在内网域渗透中可谓是必修的课程,黄金票据、白银票据以及委派攻击都离不开Kerberos协议。
NTLM 网络安全认证编程实现(VC)
深圳软客 的专栏
12-10 3435
                                                NTLM 网络安全认证编程实现(VC)                                               □   深圳远客 (song_0962@sina.com)   为什么你的基于TCP/IP的应用软件在开发调试时好好的,到了用户手上就有的就不行?原因是你的应用
kerberos认证调用接口的顺序
最新发布
weixin_39291964的博客
03-15 328
Kerberos是一种网络认证协议,它使用对称密钥加密和第三方认证服务中心来验证用户身份,以确保网络服务的安全。Kerberos认证过程涉及几个关键组件:客户端(Client)、认证服务器(Authentication Server, AS)、票据授予服务器(Ticket Granting Server, TGS)和服务服务器(Service Server)。
kerberos认证协议
stonesharp的专栏
01-07 1731
什么是kerberos协议,估计很多人都没有通过,实际上它应用非常广泛,在windows域和许多开发平台上应用很广。它应用最多的是统一登录SSO(Single Sign On)框架上应用。      什么是SSO,举个例子来说,一个公司开始有个系统A,用户每次登陆都要输入用户名密码鉴权。用来确认用户是合法用户,同时也要确定服务是合法服务,如何确定服务是合法服务呢,通常方法是验证过程不要使用明文密
9、Kerberos协议
安全学习笔记
07-23 4159
Kerberos协议 Kerberos
Kerberos Hadoop Java代码原理学习
心中永远的正能量
04-03 3977
缘起 一直被这个三头恶犬欺负,今天我们分析一下它们的实现机制。 一提到kerberos,就会想起来一些概念,keytab, principal, tgt, ticket, KDC, JAAS, subject, credential, UGI, GSS等,概念难懂,代码也很难理解。 kerberos本身的概念这里就不分析了,自行看介绍。主要分析下java代码层面的东西。 初识UGI
c#连接kafka_如何使用Kerberos在C#中配置kafka生成器
weixin_34856548的博客
01-13 427
嗨我在服务器上连接到kafka有问题...我在Linux服务器上使用kafka(使用Kerberos),通过添加配置keytab,principal(jaas config)连接到它的java客户端,现在我需要向c#app添加类似的配置,这将生成一些消息给kafka . C#app可以在Windows机器上运行 .C#app正在使用Confluent.Kafka,连接到没有kerberos au...
kerberos认证 python实现
05-14
Python中提供了PyKerberos库,可以用来实现Kerberos认证。以下是一个简单的示例代码: ```python import kerberos # 定义Kerberos服务名和主机名 SERVICE_NAME = "HTTP" HOST_NAME = "example.com" # 获取用户的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值