kerberos协议介绍

最新推荐文章于 2024-04-19 13:47:22 发布
最新推荐文章于 2024-04-19 13:47:22 发布
阅读量580 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/websecyw/p/11232210.html
版权

一.kerberos认证过程

 

client向kerberos服务请求,希望获取访问server的权限。kerberos得到了这个消息,首先得判断client是否是可信赖的,也就是白名单黑名单的说法。这就是AS服务完成的工作,通过在AD中存储黑名单和白名单来区分client。成功后,返回TGT给client。client得到了TGT后,继续向kerberos请求,希望获取访问server的权限。kerberos又得到了这个消息,这时候通过client消息中的TGT,判断出了client拥有了这个权限,给了client访问server的权限ticket。 client得到ticket后,终于可以成功访问server。这个ticket只是针对这个server,其他server需要向TGS申请。 

 

 

 

 

 

二.服务作用

KDC(key distributed center)
作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS

AS(authentication service)
作用:为client生成TGT的服务

TGS(ticket granting service)
作用:为client生成某个服务的ticket

AD(account database)
作用:存储所有client的白名单,只有存在于白名单的client才能顺利申请到TGT

TGT(ticket-granting ticket)
作用:用于获取ticket的票据

client
想访问某个server的客户端

server
提供某种业务的服务

 三.步骤详解

(AS-REQ)Client 发送用户名 Tom 到 KDC (Key Distribution Center)以向 AS (Authentication Service)请求 TGT 票据等信息。

(AS-REP)收到请求后,AS 生成随机字符串 Session Key,使用 Tom 的 NTLM Hash 对 Session Key 加密得到密文 A,再使用账号 krbtgt 的 NTLM Hash 对 Session Key 、 Client Info和 timestamp 加密得到 TGT,A 和 TGT 一起返回给 Client。

(TGS-REQ) Client 收到请求后,使用自身的 NTLM Hash 解密 A 就能得到 Session Key,然后使用 Session Key 对 Client Info 和 timestamp 加密得到 B,加上 TGT ,发送给 KDC中的 TGS。

(TGS-REP)TGS 收到请求后,使用 krbtgt 的 NTLM Hash 解密 TGT,得到 Session Key 和 timestamp 以及 Client Info,同时,使用 TGT 解密出的 Session Key 解密密文B,得到Client Info 和 timestamp。 比对这两部分解密得到的内容以验证是否通过。通过后,生成一个新的随机数 Session Key2,并用它加密 client info 和 timestamp 得到密文 enc-part;使用服务器计算机的NTLM Hash 对 session key2 和 client info 以及 timestamp 加密得到最终的 Ticket,返回给 Client。

(AP-REQ)Client 使用 Ticket 和 enc-part 直接请求某服务。

(AP-REP) 对Ticket 和 enc-part 解密后进行验证授权。

注意

  • Kerberos 协议设计的思路就是用来在不受信的环境下进行认证的协议。

  • krbtgt 账号的 NTLM Hash 理论上只存在于 KDC 中。这意味着 TGT 只能由 KDC 来解密。如果krbtgt 账号的NTLM Hash泄露了,那么 TGT 就能被解密甚至伪造。伪造的 TGT 叫做黄金票据。

  • Ticket 是由服务器计算机本身的 NTLM Hash 加密的,Client 不能解密。如果该Hash 泄露,那么就可以解密甚至伪造 Ticket。伪造的 Ticket 叫做白银票据。

  • 在上述的流程中,涉及到时间戳 timestamp,由于它的存在,才使得被第三方获取了加密信息 A 、B、TGT不会在短时间内被暴力破解。timestamp 一般时间为8小时。

  • Kerberos 协议和 NTLM 协议都会使用 NTLM Hash 对生成的任意随机数加密,然后比对结果。 Kerberos 的主要区别在于添加了第三方——-KDC参与到认证过程中。

  • Client info 中包含域名信息、Client 名称等

参考:https://blog.csdn.net/lovebomei/article/details/79814979

   https://green-m.me/2019/01/24/play-with-kerberos/

 

转载于:https://www.cnblogs.com/websecyw/p/11232210.html

weixin_30824479
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全】Kerberos协议介绍
九师兄
10-28 1411
文章目录1.概述2. 认证过程2.1 举例3. 协议内容4. 缺陷 1.概述 Kerberos是一种计算机网络授权协议,用来在非安全网络,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。 2. 认证过程 认证过程具体如下: 客户机向认证服务器(AS)发送请求,要求得到某服务器的证书 然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: ...
Kerberos协议理解
05-05
下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础概念 * KDC(Key Distribution Center):负责生成和管理身份验证票据的心服务器。 * AS(Authentication Service):负责生成TGT...
Kerberos协议简介
@_囚徒-2018_的家园
07-20 987
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。
Kerberos协议详解
顺其自然~专栏
11-21 782
服务器此时收到了来自客户端的请求,它会使用自己的密钥,即Server密钥将客户端第二部分内容进行解密,核对时间戳之后将其的CS_SK取出,使用CS_SK将客户端发来的第一部分内容进行解密,从而获得经过TGS认证过后的客户端信息,此时它将这部分信息和客户端第二部分内容带来的自己的信息进行比对,最终确认该客户端就是经过KDC认证的具有真实身份的客户端,是它可以提供服务的客户端。如果不存在,认证失败结束。ST用AP的Hash加密,如果获取了这个Hash,就可以伪造ST,进而跳过KDC的认证,直接和AP通信。
Kerberos认证协议介绍
lonelymanontheway的博客
10-19 1279
概述、特性、原理、概念、步骤、Authentication Service Exchange、Ticket Granting Service Exchange、Client/Server Exchange、 总结、实战、安装
kerberos协议简介.pdf
07-11
Kerberos 协议简介 Kerberos 协议是一种计算机网络认证协议,允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。该协议基于对称密码学,并需要一个值得信赖的第三方。 Kerberos 协议...
三步轻松理解Kerberos协议
06-19
Kerberos协议是一种广泛应用于企业环境的身份验证协议,特别是在Active Directory (AD)域环境,它为客户端和服务器应用提供了安全的认证服务。该协议的核心在于使用对称加密技术,确保了用户身份的安全验证,防止...
Kerberos简介(转)
VerRan
09-13 256
转自:http://idior.cnblogs.com/archive/2006/03/20/354027.html Kerberos协议Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每...
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7145
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
内网安全——Kerberos协议详细全解
m0_67189356的博客
09-21 6090
Kerberos认证详解
kerberos介绍
最新发布
玉汝于成
04-19 2886
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos,这个可信任的第三方被称为密钥分发心(KDC)。
Kerberos协议及其利用
蚁景网安学院
06-02 857
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
一篇文章看懂Kerberos协议
qq_29948489的博客
12-14 520
kerberos是一种计算机网络认证协议,他能够为网络通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
内网渗透之kerberos协议解析
未完成的歌~的博客
07-13 822
Kerberos协议是由麻省理工学院(MIT)开发的一种网络身份验证协议,用于在非安全网络实现安全的身份验证。其设计目标是通过密钥系统为客户与服务器应用程序提供强大的认证服务。Kerberos协议要解决的实际上就是一个身份认证的问题,顾名思义,当一个客户机去访问一个服务器的某服务时,服务器如何判断该客户机是否有权限来访问本服务器上的服务,同时保证在该过程的数据包即便被拦截或者被篡改也不影响整个通讯的安全性。
信息安全技术知识:Kerberos协议的工作过程
tech
11-07 1993
source: http://www.cnitpm.com/pm1/40088.html 信息安全技术知识:Kerberos协议的工作过程 来源:信管网  2017年02月28日   【信管网:项目管理师专业网站】   所有评论 Kerberos协议的工作过程     ·Kerberos基本思想     采用对称密钥体制对信息进行加密,能正确对信息进行解密的用户就是合
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值