Kerberos 认证、黄金票据、白银票据

最新推荐文章于 2024-05-22 14:14:52 发布
最新推荐文章于 2024-05-22 14:14:52 发布
阅读量678 收藏 8
点赞数 17
文章标签: 网络安全 web安全 笔记 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51559599/article/details/134697458
版权

Kerberos 协议出现情景

情景一

  • 假设一个网络内有 1000 个账户可以使用打印机服务,在使用打印机服务时需要对账户进行身份认证
  • 如果打印机将这 1000 个账户凭证保存到打印机本地将大量消耗系统资源

情景二

  • 假设一个网络中的用户可以在 1000 台主机上登录
  • 如果这 1000 台主机都将账户凭证保存到本机上,当某个用户更改密码时,需要在这 1000 台主机都更改密码,进行大量操作。

解决措施

出于以上种种情景,需要一个认证服务器知道所有的账户密码(在域中为活动AD目录)

服务票据

image-20231129173709602

TGS、服务票据

TGS(Ticket Granting Service)是身份认证协议中的一个重要组件,它负责向认证成功的用户颁发服务票据(Service Ticket),用于用户获取对特定服务的访问权限。服务器持有 TGS 颁发的票据后,携带票据访问相应的服务可获取响应的服务权限。

问题

在实际环境中,有各种各样的服务都需要进行认证,需要频繁输入密码进行认证,不仅繁琐,而且频繁传输密码加大了出现中间人劫持等安全风险。为了减少传递密码的次数,出现了票据授权票(TGT)

票据授权票

image-20231129191249202

AS、票据授权票

AS(Authentication Service)所在的服务器存储了用户凭证,用户输入账户密码进行认证成功后,AS 向用户颁发票据授权票(TGT,Ticket Granting Ticket)(身份票据),用户获取 TGT 后,凭借 TGT 即可向 TGS 申请各种服务票据(ST),用来获取各种服务的权限

Kerberos 协议

目的和 NTLM 协议一样,用于实现登录认证,不过 Kerberos 协议涉及了三方认证

KDC(Key Distribution Center)

KDC是Kerberos协议的核心组件,由两个主要部分组成:

  • 认证服务器(AS,Authentication Server):负责处理用户的初始身份认证请求。当用户需要访问网络中的服务时,用户首先向 AS 发送身份认证请求,获取票据授权票(身份票据)。
  • 票据授权服务器(TGS,Ticket Granting Server):负责颁发服务票据,以便用户可以访问网络中的各种服务。一旦用户通过 AS 的身份认证,AS 会颁发给用户一个 TGT(Ticket Granting Ticket),用户可以使用 TGT 向 TGS 请求服务票据。

img

Kerberos 协议流程

  1. 用户输入账户密码去找 AS 服务获取票据授权票(身份票据)
  2. 用户使用身份票据获取服务票据
  3. 使用服务票据获取具体的服务

黄金票据和白银票据

  • 黄金票据就是伪造了 Kerberos 中的身份票据

  • 白银票据就是伪造了 Kerberos 中的服务票据

应用场景:权限维持

丢失了获取的域控权限,拿回权限

gjl_
关注
  • 17
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
kerberos安全认证
12-29
下面我们将深入探讨Kerberos的原理、工作流程以及如何在这些组件中实现安全认证。 **Kerberos基本原理** Kerberos基于密钥分发中心(KDC)的概念,它分为两个部分:Authentication Server (AS) 和 Ticket Granting...
hadoop快速集成kerberos认证
01-13
Hadoop作为一个分布式计算框架,为了保障数据的安全性,常常需要集成Kerberos认证系统。Kerberos是一种网络认证协议,它提供了强大的身份验证服务,确保只有授权的用户和服务可以访问资源。本压缩包文件包含了实现...
kerberos认证黄金票据白银票据
最新发布
qq_64951792的博客
05-22 1028
kerberos认证过程、黄金票据白银票据
一文搞定Kerberos认证协议(黄金票据白银票据
qq_22792465的博客
07-15 1924
Kerberos主要为三方协议(地狱三头犬)即:客户端Client、服务端Server、密钥分发中心KDC其中KDC中包括AS(Authentication Server、认证服务器)和TGS(Ticket GrantingServer、票据授予服务器)AD(活动目录,里面包含域内用户数据库、存储用户、用户组、域相关的信息)这里首先用一句话进行解释Kerberos协议流程以便于下文阐述的理解(仅帮助理解下述出现的名词后续有详细解析,带着这句话往下观看):解决的问题:如何证明我就是我!!!!
最浅显易懂kerberos认证黄金白银票据
04-22 814
一、kerberos认证 一、 1.客户端账号用自己的密码哈希加密(时间戳、客户端、服务端等信息)发送给AS (身份验证服务) AS 收到后进行查找,确认有该账号后生成随机密钥1 2.发送回客户端两个东西: 用客户端账号对应的密码哈希加密的(随机密钥1)和TGT(黄金票据):用特定账户哈希加密的(随机密钥1和时间戳等信息) 二、 客户端收到后用自己的密码哈希解密得到随机密钥1,然后用随机密钥1加密(时间戳等信息)–—信息1 与TGT一同发给TGS票据授权服务) 三、 1.TGS收到后用特定账户哈希解密得到
解析:Kerberos黄金票据白银票据
Sgirll的博客
07-15 795
是指攻击者获取了合法用户的TGT(Ticket Granting Ticket)的信息,然后对TGT进行篡改以生成伪造的服务票据TGS票据)。白银票据伪装成合法的TGS票据,用于访问特定的服务,但与黄金票据不同,白银票据只能访问被篡改的服务,无法获得对整个域的完全控制。服务访问:用户使用TGS票据向目标服务发送请求,目标服务使用TGS的私有秘钥解密票据并验证用户的身份。服务票据的颁发:TGS验证TGT,并为用户生成一个服务票据TGS票据),该票据包含有关用户和目标服务的信息,并用TGS的私有秘钥加密。
网络安全-内网渗透-Kerberos(票据)
m0_68976043的博客
04-01 961
Kerberos协议中主要是有三个角色的存在:访问服务的Client(以下表述为Client 或者用户)提供服务的Server(以下表述为服务)KDC(Key Distribution Center)密钥分发中心 kerberos 测试工具介绍流程图:简单来说:Kerberos是一种基于票据Ticket的认证方式。客户端想要访问服务端的某个服务,首先需要购买服务端认可的。也就是说,客户端在访问服务之前需要先买好票,等待服务验票之后才能访问。但是这张票并不能直接购买,需要一张。
flink写入带kerberos认证的kudu connector
03-24
当Flink需要与Kudu交互时,Kerberos认证机制的引入是为了增强系统的安全性,防止未授权的访问。本文将详细介绍如何在Flink中配置和使用带Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
接着,使用`kinit`命令生成`ccache_file`或`keytab_file`,这两个文件用于存储Kerberos票据和密钥。`keytab_file`是固定的密钥表文件,`ccache_file`是缓存的凭据文件,它们都可以用来进行身份验证。 现在,我们...
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于A和B,那么有个人对B声称自己就是A,B通过...
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7292
Kerberos认证原理与使用教程
黄金票据白银票据详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-22 5291
在 Windows 系统中,存在许多突破用户权限或绕过系统保护机制的漏洞,攻击者可以通过利用这些漏洞,提升自己的权限并获取黄金票据。​ Golden Ticket是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS票据授予服务)换取任意服务的ST。​ 每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 5574
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 3648
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全网络鉴别,允许个人访问网络中不同的机器。
Kerberos安全认证-连载1-Kerberos简介
qq_32020645的博客
06-04 2022
数据安全防护及Kerberos简介
kerberos:介绍
玉汝于成
04-19 2366
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
大数据权限认证 Kerberos 部署
u011047968的专栏
03-01 1423
Kerberos是一种网络身份验证协议,旨在支持使用密钥加密的客户端/服务器应用程序的强大身份验证。Kerberos网络资源提供最高级别的安全性。Kerberos 应用客户端/服务器体系结构并支持用户到服务器的身份验证,而不是主机到主机的身份验证。在此模型中,安全性和身份验证将取决于密钥技术,其中网络上的每个主机都有自己的密钥。
kerberos 创建票据
03-29
Kerberos是一种网络身份验证协议,用于安全地验证用户和计算机的身份。它使用票据来验证用户和计算机的身份。以下是创建Kerberos票据的步骤: 1. 用户向Kerberos服务器请求服务。这个请求被称为“认证请求”。 2. Kerberos服务器向用户发送一个“票据请求”,该请求包括一个随机生成的票据授权票(TGT)。 3. 用户使用其密码对TGT进行加密,并将其发送回Kerberos服务器。 4. Kerberos服务器对用户进行身份验证,并为用户颁发一个票据服务票(TGS)。 5. 用户使用TGS来请求所需的服务。 6. Kerberos服务器使用TGS对用户进行身份验证,并向用户颁发一个服务票据,该票据包括一个随机生成的会话密钥。 7. 用户使用会话密钥来访问所需的服务。 总之,Kerberos使用票据的方式来验证用户和计算机的身份,并确保安全地传输敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gjl_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值