Kerberos认证的浅析

最新推荐文章于 2024-05-03 22:01:44 发布
最新推荐文章于 2024-05-03 22:01:44 发布
阅读量1.4k 收藏 8
点赞数 1
文章标签: 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43733912/article/details/109476598
版权

一、Kerberos认证

Kerberos的重要性:

对我们搞Web的而言,弄清Kerberos认证过程,最有利于帮助我们理解域内的金票和银票!

Kerberos介绍:

在古希腊神话中Kerberos指的是:有着一只三头犬守护在地狱之门外,禁止任何人类闯入地狱之中。
而现实中的Kerberos是一种网络身份验证协议,旨在通过密钥加密技术为客户端/服务器应用程序提供身份验证,主要用在域环境下的身份验证。

 

通过上图可以看到整个认证流程有三个重要的角色,分别为Client、Server和KDC。

下面介绍下几个相关的名词:

  1. 访问服务的 Client;

  2. 提供服务的 Server;

3.KDC(Key Distribution Center)密钥分发中心。
在KDC中又分为两个部分:Authentication Service(AS,身份验证服务)和Ticket Granting Service(TGS,票据授权服务)

4.DC是Domain Controller的缩写,即域控制器;AD是Active Directory的缩写,即活动目录。
DC中有一个特殊用户叫做:krbtgt,它是一个无法登录的账户,是在创建域时系统自动创建的,在整个kerberos认证中会多次用到它的Hash值去做验证。
AD会维护一个Account Database(账户数据库). 它存储了域中所有用户的密码Hash和白名单。只有账户密码都在白名单中的Client才能申请到TGT。

Kerberos粗略的验证流程:

举个简单的栗子:如果把 Kerberos 中的票据一类比作一张门禁卡,那么 Client 端就是住客,Server 端就是房间,而 KDC 就是小区的门禁。住客想要进入小区,就需要手里的门禁卡与门禁想对应,只有通过门禁的检验,才能打开门禁进入小区。

需要注意的是,小区门禁卡只有一张,而Kerberos认证则需要两张票。

Kerberos 详解认证流程:

当 Client 想要访问 Server 上的某个服务时,需要先向 AS 证明自己的身份,验证通过后AS会发放的一个TGT,随后Client再次向TGS证明自己的身份,验证通过后TGS会发放一个ST,最后Client向 Server 发起认证请求,这个过程分为三块:

Client 与 AS 的交互,
Client 与 TGS 的交互,
Client 与 Server 的交互。

第一步,Client 与 AS 的交互:

准备:用户在Client中输入账号密码后,Client会对密码进行hash code,我们叫做Master key。

请求:
Client 先向 KDC 的 AS 发送 Authenticator(认证者),我们叫它Authenticator1,为了确保Authenticator1仅限于自己和KDC知道,Client使用自己的Master Key对其的主体部分进行加密。
其内容为:
1.经过 Client用户密码hash code(Master key)加密的TimeStamp(一个当前时间的时间戳)。
2.Client的一些信息(info),比如用户名。

响应:
(1).AS接收到Authenticator1后,会根据Client提交的用户名在AD中寻找是否在白名单中,然后查询到该用户名的密码,并提取到Client对应的Master key,对TimeStamp(时间戳)进行解密,如果是一个合法的Timestamp,就证明了Client提供的用户名和密码是存在AD中的,并且AS提取到的Timestamp不能超过5分钟,否则AS就会直接拒绝Client的请求。
(2).TimeStamp验证通过后,AS会给Client发送一个由Client的Master key加密过的Logon Session Key和一个TGT(client-server-ticket)。

TGT的内容:
经过KDC中的krbtgt的密码HASH加密的 Logon Session Key(登录会话密钥) 和 TimeStamp(时间戳)、TGS会话密钥、用户信息、TGT到期时间。

注意

  1. Logon Session Key是什么:Client向KDC发起对TGT的申请,”我需要一张TGT用以申请获取用以访问所有Server的Ticket”。KDC在收到该申请请求后,生成一个用于该Client和KDC进行安全通信的Session Key(SKDC-Client,也被称为Logon Session Key)。这里KDC不会保存SKDC-Client。
    需要注意的是SKDC-Client是一个Session Key,他具有自己的生命周期,同时TGT和Session相互关联,当Logon Session Key过期,TGT也就宣告失效,此后Client不得不重新向KDC申请新的TGT,KDC将会生成一个不同Session Key和与之关联的TGT

  2. 第二步会有一个Session Key ,是用于Client和Server之间通信的Session Key(SServer-Client)

第二步,Client 与 TGS 的交互,Client使用TGT从KDC获得基于某个Server的Ticket:

一、请求:
Client通过自己的Master key对第一部分解密获得Logon Session Key之后,携带着TGT对TGT发送请求。Client是解不开TGT的,它作为一个Client通过身份验证的票提交给TGS。

请求的内容:
(1).TGT:Client通过与AS交互获得的TGT,TGT 被 KDC 的 Master Key 进行加密。
(2).Authenticator2:Client端使用 Logon Session Key对其进行加密,Authenticator2实际上就是关于Client的一些信息和当前时间的一个Timestamp,用以证明当初 TGT 的拥有者是否就是自己。

TGS收到Client请求,验证其真实身份:
TGS 在发给Client真正的Ticket之前,先得整个Client提供的那个TGT是否是AS颁发给它的,于是它得通过 Client 提供的 Authenticator2 来证明。但是 Authentication2 是通过 Client的 Logon Session Key 进行加密的,而TGS并没有保存这个 Logon Session Key 。所以 TGS 先得通过自己的 Master Key{krbtgt的密码hash处理} 对 Client 提供的 TGT 进行解密,从而获得Client Info和 Logon Session Key(SKDC-Client),再通过这个Logon Session Key解密 Authenticator2
获得Client Info,对两个Client Info进行比较进而验证对方的真实身份

二、响应--TGS验证通过后发ST(Service Ticket)票:

响应内容:

认证通过后TGS生成使用Logon Session Key(SKDC-Client)加密过用于Client和Server之间通信的Session Key(SServer-Client),Server的Master Key进行加密的ST(Service Ticket)

(1).经过 Logon session key加密的Client和Server之间的Session Key
(2).经过Server的Master Key进行加密的ST(Service Ticket)。

Ticket大体包含以下一些内容:
Session Key(SServer-Client)
Domain name\Client。
Ticket的到期时间。

Client 收到TGS的响应,使用 Logon session key,解密第一部分后获得 Session Key (注意区分 Logon Session Key 与 Session Key 分别是什么步骤获得的,及其的区别)。有了 Session Key 和 ST(Service Ticket), Client 就可以直接和 Server 进行交互,而无须在通过 KDC 作中间人了。

第三步,Client 与 Server 的交互--双向验证:

Server验证Client:
Client通过与TGS交互获得访问Server的Session Key,然后为了证明自己就是ST(Service Ticket)的真正所有者,会将Authenticator和时间戳提取出来,并使用Session Key进行加密。最后将这个被加密过的Authenticator3 和ST作为请求数据包发送给Server。此外还包含一个Flag用于表示Client是否需要进行双向验证。

Server接收到Request之后,首先通过自己的Master Key(krbtgt的密码hash处理)解密ST,从而获得Session Key。然后通过解密出来的Session Key再去解密Authenticator3 ,进而验证对方的身份。如果验证成功,且时间戳不长于5min,就让 Client 访问对应的资源,否则就会直接拒绝对方的请求。

双向认证:
到目前为止,服务端已经完成了对客户端的验证,但是,整个认证过程还没有结束。接下来就是Client对Server进行验证以确保Client所访问的不是一个钓鱼服务.

Client验证Server:
Server需要将Authenticator3中解密出来的Timestamp再次用Session Key进行加密,并发送给Client。Client再用缓存Session Key进行解密,如果Timestamp和之前的内容完全一样,则可以证明此时的Server是它想访问的Server。


 

热爱、学习
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kerberos认证原理
weixin_45083592的博客
11-26 732
Kerberos认证原理 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证,软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统 概念 1)KDC:密钥分发中心,负责管理发放票据,记录授权 2)Realm:Kerberos管理领域的标识 3)principal:当每添加一个用户或服务的时候都需要向
kerberos认证协议
路虽远,行将至。事虽难,做必达。
03-07 1574
kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 kerberos和NTLM的区别: 在kerberos之前,Microsoft使用一种称为NTLM...
大数据之Kerberos认证
m0_70949976的博客
05-15 5482
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
Windows认证机制和协议---Kerberos协议
最新发布
Naive的博客
05-03 1143
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
黄金票据制作原理及利用方式
Happy峰
09-23 2689
Golden Ticket黄金票据制作原理及利用方式 Krbtgt账户介绍 krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成 的,无法登录主机 黄金票据原理 TGT=Krbtgt的html hash 加密 1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS返回的 ,TGP它是由Krbtgt加密和签名的 ,krbtgt的NTLM Hash又是固定的,而CT_SK并不会保存在KDC中。 2、所以只要得到krbtgt
Kerberos 认证系统由来适用场景优缺点
wang2leee的博客
10-31 654
Kerberos 认证系统的由来源于开放式网络环境中的安全需求。为了解决这一问题,研究人员提出了 Kerberos 认证系统,它采用第三方认证服务来验证用户身份,提高了网络环境的安全性。Kerberos 的命名方案主要采用一种独特的方式,将用户、服务器和认证服务器的标识信息进行编码。Kerberos 认证系统的设计初衷是为了在开放式网络环境中提供一种可靠、安全的认证方式。该系统在 MIT 的 Athena 项目中得到了广泛应用,并成为当今网络环境中重要的认证基础设施之一。
[kerberos] kerberos 认证详解
qq_42987796的博客
12-13 1275
kerberos 认证的白话版
flink写入带kerberos认证的kudu connector
03-24
当Flink需要与Kudu交互时,Kerberos认证机制的引入是为了增强系统的安全性,防止未授权的访问。本文将详细介绍如何在Flink中配置和使用带Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种...
kerberos安全认证
12-29
下面我们将深入探讨Kerberos的原理、工作流程以及如何在这些组件中实现安全认证。 **Kerberos基本原理** Kerberos基于密钥分发中心(KDC)的概念,它分为两个部分:Authentication Server (AS) 和 Ticket Granting...
kafka 配置kerberos安全认证
01-28
这个里面是kafka配置kerberos的详细步骤,其方式也可以应用到kafka自带的认证体系
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过...
kerberos认证原理---讲的非常细致,易懂
tianyeshiye
01-16 404
前几天在给人解释Windows是如何通过Kerberos进行Authentication的时候,讲了半天也别把那位老兄讲明白,还差点把自己给绕进去。后来想想原因有以下两点:对于一个没有完全不了解Kerberos的人来说,Kerberos的整个Authentication过程确实不好理解——一会儿以这个Key进行加密、一会儿又要以另一个Key进行加密,确实很容易把人给弄晕;另一方面是我讲解方式有问题...
黄金票据的原理和使用
qq_45455136的博客
09-28 1207
krbtgt用户是系统在创建域时自动生成的账号,密码是随机生成的,无法登录主机,是KDC(密钥分发中心)的服务账号。在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的 TGT票据加密使用的TGS(票据授予服务器)密码就是krbtgt用户的NTLM Hash Kerberos中的TGT和CT_SK是AS(认证服务器)返回的,TGT是由krbtgt加密和签名的,krbtgt的NTLM Hash是固定的,CT_SK不会保存在KDC中 得到krbtgt的NTLM Hash就可以伪造
权限维持-黄金票据
m0_64815693的博客
06-04 251
权限维持-黄金票据
Hvv(二)
qq_53142368的博客
06-25 1070
安全
【域权限维持】-黄金票据
qq_41617902的博客
11-07 1275
Windows域权限维持-黄金票据
高光时刻丨赛宁网安携前沿技术研究亮相Blackhat 2022
Cyberpeace的博客
08-15 483
赛宁网安天虞实验室共4名研究人员参与了本次议题的研究,通过Blackhat 2022向外界分享了赛宁网安技术探索的全新成果。
kafka kerberos认证
11-28
Kafka Kerberos认证是Kafka消息队列系统中一种安全认证机制,用于确保Kafka集群中的通信和数据传输的安全性。 Kafka是一个分布式的高吞吐量消息队列系统,可以用于实现实时数据流处理和消息传递。为了保护Kafka集群...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值