kerboros协议讲解

最新推荐文章于 2024-04-19 13:47:22 发布
最新推荐文章于 2024-04-19 13:47:22 发布
阅读量688 收藏 6
点赞数
分类专栏: Windows系统安全 内网渗透学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangbz123/article/details/117631402
版权

目录

协议概述

这个协议以希腊神话中的人物Kerberos(或者Cerberus)命名,他在希腊神话中是Hades的一条凶猛的三头保卫神犬。
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

原理介绍

认证过程具体如下:
客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。

证书的构成为:

(1)服务器 “ticket” ;(2)一个临时加密密钥(又称为会话密钥 “session key”) 。
客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
述认证交换过程需要只读方式访问 Kerberos 数据库。但有时,数据库中的记录必须进行修改,如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器(Kerberos 管理器 KADM)间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝,这可以认为是执行过程中的细节问题,并且会不断改变以适应各种不同数据库技术。
在这里插入图片描述

认证步骤详解:

(1)、客户端client将登录客户端的用户名、地址、时间戳信息发送给AS认证服务器,用来生成票据许可票据(TGT)+会话密钥(sessionKEY);

(2)、AS服务器收到客户端client的请求后,KDC服务器生成随机会话密钥(session key)得到密钥K,使用客户端登录用户的NTLM hash对会话密钥(session key )进行加密得到密钥A,KDC服务器用户的NTLM hash对会话密钥(session key )客户端相关信息(client info)、时间戳(timestamp)等信息加密得到TGT,最后将会话密钥(key1)A和TGT一起发送给客户端;

(3)、客户端对收到的请求密钥A,使用客户端账户的NTML hash对A进行解密得到(session key)密钥K,解密后的密钥K对客户端相关信息(client info)、时间戳(timestamp)进行加密得到B,最后将密钥(key2)B与TGT发送给TGS;

(4)、TGS 收到客户端的请求后,使用 KDC 的 NTLM Hash 解密 TGT,得到 Session Key和时间戳 (timestamp) 、客户端相关信息(Client Info),使用 TGT 解密出的 Session Key 解密密文B,得到时间戳 (timestamp) 和客户端相关信息(Client Info)。之后对比这俩解密通过后会随机生成一个新的会话密钥(session key),并用生成的新会话密钥对时间戳 (timestamp) 和客户端相关信息(Client Info)进行加密得到密文C,使用TGS服务器的NTML hash对新的会话密钥(session key)和(timestamp) 和客户端相关信息(Client Info)密文C进行加密得到最终票据(Ticket)即ST(Service Ticket),最后一起发送给client;

(5)、客户端client最后将服务票据ST(Service Ticket)和密文C直接请求服务;

(6)、服务票据ST(Service Ticket)和密文C解密后进行鉴别授权。

举个栗子

小K和小J这俩小情侣(客户机)想去坐高铁旅行,得先需要买票吧,买票得经过售票员的身份认证吧(AS认证服务器),认证完成后售票员会给他俩火车票吧(票据和秘钥),到了检票口需要检票人员检票吧(TGS票据授权服务器),检票完成后会给他俩火车票吧(返回票据和秘钥),获得检票员的许可才可以通过吧,小情侣拿着火车票去旅行咯(SS服务器)。

相关名词

AS(Authentication Server)= 认证服务器
KDC(Key Distribution Center)= 密钥分发中心
TGT(Ticket Granting Ticket)= 票据授权票据,票据的票据
ST(Service Ticket)= 服务授权票据
TGS(Ticket Granting Server)= 票据授权服务器
SS(Service Server)= 特定服务提供端

参考文献

[https://adsecurity.org/?p=2011](https://adsecurity.org/?p=2011)
[https://www.jianshu.com/p/27df82594c3a?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation](https://www.jianshu.com/p/27df82594c3a?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation)
[https://www.cnblogs.com/stephen-init/p/3980503.html](https://www.cnblogs.com/stephen-init/p/3980503.html)
bye_X
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1107
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
kerberos sso oauth saml openid cas 认证 授权 单点登录
shyrainxy的专栏
12-14 1711
oauth:一般是做认证服务器,认证完成之后第三方去做鉴权,可web可后台 sso:
Kerboros下的Hbase
Axel_Fran的博客
03-22 178
目的测试Kerboros下hbase的权限 A 没在kerberos 添加princple前 B kerberos 添加princple后 (没有权限) Hbase 是有5个权限 r(read) w(write) x(excute)c(create) a (admin) 首先hbase(用户) 拥有最高权限。 步骤如下: find / -name "hbase*keytab" 需要先登录kinit hbase 那个keytab, 登录hbase shell, 输入us...
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全,Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 6108
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
springboot 集成 phoenix+hbase整合,完整demo
03-21
springboot 集成 phoenix+hbase整合,完整demo。 springboot集成phoenix+hbase 完整demo!!!!!!! springboot phoenix hbase
计算机网络与信息安全课件-第4章 密码学.pdf
12-03
密钥管理是另一个关键问题,涉及密钥的生成、存储、分发和撤销,例如密钥托管、X.509标准和Kerboros协议。秘密共享技术能防止关键信息过度集中,防止单点故障。 哈希函数在数据完整性检查和数字签名中扮演重要角色...
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 5605
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
一文搞懂Kerberos
聚集机器学习、信息安全
03-13 3683
Kerberos一词来源于古希腊神话中的Cerberus——守护地狱之门的三头犬,Kerberos是为TCP/IP 网络设计的可信第三方鉴别协议,最初是在麻省理工学院(MIT)为Athena 项目而开发的。Kerberos服务起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7027
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
kerberos:介绍
最新发布
玉汝于成
04-19 2515
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
安全认证Kerberos详解
Shawn的个人博客
04-16 1707
Kerberos是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。
kerberos简介
QTM_Gitee的博客
05-04 4009
维护网络内的系统安全性和完整性至关重要,它涵盖了网络基础架构中的每个用户,应用程序,服务和服务器。 它需要了解网络上正在运行的所有内容以及这些服务的使用方式。 维护此安全性的核心是维护对这些应用程序和服务的访问并强制执行该访问。 Kerberos是一种比普通的基于密码的认证更加安全的认证协议。使用Kerberos,即使在其他计算机上访问服务时也永远不会通过网络发送密码。 Kerberos提供了一种机制,允许用户和机器向网络标识自己,并接收对管理员配置的区域和服务的定义的、受限的访问权限。Kerberos通过
单点登录(SSO)的核心--kerberos身份认证协议技术参考
tanken welcome
12-03 2854
微软Windows Server 2003操作系统实现Kerberos 版本5的身份认证协议。Windows Server 2003同时也实现了公钥身份认证的扩展。Kerberos身份验证的客户端实现为一个SSP(security support provider),能够通过SSPI(Security Support Provider Interface)进行访问。最初的用户身份验证是跟Winlo
Kerberos
路雪军 Carl
04-15 2129
Kerberos是由美国麻省理工学院提出的基于可信赖的第三方的认证系统。Kerberos提供了一种在开放式网络环境下进行身份认证的方法,它使网络上的用户可以相互证明自己的身份。  Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证(ticket
Kerberos 安装与配置 (七)
Stay Focused And Work Hard !!!
08-09 1万+
7.1 KDC server的 安装1、安装最新版的KDC server ​ yum install krb5-server krb5-libs krb5-workstation 注:KDC (Key Distribution Center)密匙分配中心, 其在kerberos中通常提供两种服务: 1.Authentication Service (AS):认证服务
Kerberos原理和使用
交换一个思想,能得到俩思想
06-25 1万+
Kerberos原理Kerberos 服务是单点登录系统,这意味着您对于每个会话只需向服务进行一次自我验证,即可自动保护该会话过程中所有后续事务的安全。服务对您进行验证后,即无需在每次使用基于 Kerberos 的服务时进行验证。因此,无需在每次使用这些服务时都在网络上发送口令(增强了安全性)。MIT写了一段故事型的对话,比较生动得表述了Kerberos协议的工作原理:Athena和欧里庇得斯关于
Windows是如何通过Kerberos进行Authentication的【转】
leafqing04的专栏
05-17 2083
Windows下的Kerberos是如何进行Authentication的
系统安全分析与设计(软件设计师备考笔记)
imreal_的博客
02-27 6809
目录 第五章.系统安全分析与设计 第一节.信息系统安全属性 第二节.对称加密技术与非对称加密技术 第三节.信息摘要与数字签名 第四节.数字信封与PGP 第五节.各个网络层次的安全保障 第六节.网络安全——网络威胁与攻击及防火墙技术 第五章.系统安全分析与设计 第一节.信息系统安全属性 安全属性 保密性:最小授权原则(只给应用维持其基本职能最基本的权限)、防暴露(如在命名时可以将名称设置为乱码)、信息加密(防止信息在传输时被截获后破解)、物理保密 完整性(即保证数据在传输过程中不受损耗
jvm动态指定kerboros
06-13
在JVM运行时动态指定Kerberos配置文件,可以使用Java的System.setProperty()方法来设置javax.security.auth.kerberos.krb5.conf系统属性。具体操作如下: ``` String krb5FilePath = "/path/to/krb5.conf";...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值