Kerberos安全体系详解---Kerberos的简单实现

最新推荐文章于 2024-07-11 00:27:01 发布
最新推荐文章于 2024-07-11 00:27:01 发布
阅读量828 收藏 3
点赞数
文章标签: kerberos
原文链接:https://www.cnblogs.com/wukenaihe/p/3732141.html
版权
Kerberos是一种网络身份验证协议,通过tickets实现安全的身份验证,避免密码在网络中传输。该协议涉及3次通信,包括与Authentication Server、Ticket Granting Server和Http服务的交互,确保了客户端和服务端的安全连接。在整个过程中,涉及到对称加密、随机session key、时间戳验证等关键步骤。
摘要由CSDN通过智能技术生成

文章目录

1. Kerberos简介

1.1. 功能

  1. 一个安全认证协议
  2. 用tickets验证
  3. 避免本地保存密码和在互联网上传输密码
  4. 包含一个可信任的第三方
  5. 使用对称加密
  6. 客户端与服务器(非KDC)之间能够相互验证

Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。

1.2. 概念

首次请求,三次通信方

  • the Authentication Server
  • the Ticket Granting Server
  • the Service or host machine that you’re wanting access to.
    在这里插入图片描述
    图1 角色

【其他知识点】

  • 每次通信,消息包含两部分,一部分可解码,一部分不可解码
  • 服务端不会直接有KDC通信
  • KDC保存所有机器的账户名和密码
  • KDC本身具有一个密码

2. 3次通信


我们这里已获取服务器中的一张表(数据)的服务以为,为一个http服务。

2.1. 你和验证服务

如果想要获取http服务,你首先要向KDC表名你自己的身份。这个过程可以在你的程序启动时进行。Kerberos可以通过kinit获取。介绍自己通过未加密的信息发送至KDC获取Ticket Granting Ticket (TGT)。

(1)信息包含

  • 你的用户名/ID
  • 你的IP地址
  • TGT的有效时间

Authentication Server收到你的请求后,会去数据库中验证,你是否存在。注意,仅仅是验证是否存在,不会验证对错。

如果存在,Authentication Server会产生一个随机的Session key(可以是一个64位的字符串)。这个key用于你和Ticket Granting Server (TGS)之间通信。

(2)回送信息

Authentication Server同样会发送两部分信息给你,一部分信息为TGT,通过KDC自己的密码进行加密,包含:

  • 你的name/ID
  • TGS的name/ID
  • 时间戳
  • 你的IP地址
  • TGT的生命周期
  • TGS session key

另外一部分通过你的密码进行加密,包含的信息有:

  • TGS的name/ID
  • 时间戳
  • 生命周期
  • TGS session key

在这里插入图片描述
如果你的密码是正确的,你就能解密第二部分信息,获取到TGS session key。如果,密码不正确,无法解密,则认证失败。第一部分信息TGT,你是无法解密的,但需要展示缓存起来。

2.2. 你和TGS

如果第一部分你已经成功,你已经拥有无法解密的TGT和一个TGS Session Key。

(1)请求信息

a) 通过TGS Session Key加密的认证器部分:

  • 你的name/ID
  • 时间戳

b) 明文传输部分:

  • 请求的Http服务名(就是请求信息)
  • HTTP Service的Ticket生命周期

c) TGT部分

Ticket Granting Server收到信息后,首先检查数据库中是否包含有你请求的Http服务名。如果无,直接返回错误信息。

如果存在,则通过KDC的密码解密TGT,这个时候。我们就能获取到TGS Session key。然后,通过TGS Session key去解密你传输的第一部分认证器,获取到你的用户名和时间戳。

TGS再进行验证:

  1. 对比TGT中的用户名与认证器中的用户名
  2. 比较时间戳(网上有说认证器中的时间错和TGT中的时间错,个人觉得应该是认证器中的时间戳和系统的时间戳),不能超过一定范围
  3. 检查是否过期
  4. 检查IP地址是否一致
  5. 检查认证器是否已在TGS缓存中(避免应答攻击)
  6. 可以在这部分添加权限认证服务

TGS随机产生一个Http Service Session Key, 同时准备Http Service Ticket(ST)。

(2) 回答信息

a) 通过Http服务的密码进行加密的信息(ST):

  • 你的name/ID
  • Http服务name/ID
  • 你的IP地址
  • 时间戳
  • ST的生命周期
  • Http Service Session Key

b) 通过TGS Session Key加密的信息

  • Http服务name/ID
  • 时间戳
  • ST的生命周期
  • Http Service Session Key

你收到信息后,通过TGS Session Key解密,获取到了Http Service Session Key,但是你无法解密ST。

在这里插入图片描述

2.3. 你和Http服务

在前面两步成功后,以后每次获取Http服务,在Ticket没有过期,或者无更新的情况下,都可直接进行这一步。省略前面两个步骤。

(1) 请求信息

a) 通过Http Service Session Key,加密部分

  • 你的name/ID
  • 时间戳

b) ST

Http服务端通过自己的密码解压ST(KDC是用Http服务的密码加密的),这样就能够获取到Http Service Session Key,解密第一部分。

服务端解密好ST后,进行检查

  1. 对比ST中的用户名(KDC给的)与认证器中的用户名
  2. 比较时间戳(网上有说认证器中的时间错和TGT中的时间错,个人觉得应该是认证器中的时间戳和系统的时间戳),不能超过一定范围
  3. 检查是否过期
  4. 检查IP地址是否一致
  5. 检查认证器是否已在HTTP服务端的缓存中(避免应答攻击)

(2) 应答信息

a) 通过Http Service Session Key加密的信息

  • Http服务name/ID
  • 时间戳
    在这里插入图片描述

你在通过缓存的Http Service Session Key解密这部分信息,然后验证是否是你想要的服务器发送给你的信息。完成你的服务器的验证。

至此,整个过程全部完成。

reference

ZQ_ZHU
关注
Kerberos协议大揭秘之-身份认证请求和响应详解
村中少年的专栏
09-18 247
本文将对通过实际的pcap数据包对Kerberos协议进行详细的分析,包括TGS,TGT等多种概念
kerberos的java实现
06-07
用java语言实现简单kerberos,可以对客户端进行AS,tgs的认证
【清晰】Kerberos安全体系详解.pdf
07-20
kerberos认证详解,详细描述了kdc中as与tgs的工作原理
01、Kerberos安全认证之原理及搭建命令使用学习笔记
最新发布
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
07-11 1351
学习kerberos主要原因是目前部门里会有测试kerberos连通性的问题bug,所以以此来系统学习下kerberos安全认证,主要是学习在kerberos安全配置下如何去访问各个大数据组件。
详细的 Kerberos 体系介绍
qiye622的博客
07-08 1850
Kerberos 介绍 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网上传送的数据包可以被任意地读取丶修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 协议的安全主要依赖与参加对时间的松散同步和短周期的叫做 Kerberos 票据的认证声明。下面是对这个协议
Kerberos工作流:一个简单示例
日进一步
11-20 849
说明:内容来自《Hadoop安全-大数据平台隐私保护》,此处记录仅是便于快速回顾。 现在通过一个工作流示例,展示 Kerberos 大概是怎么工作的。首先定义所有出现的组件。 EXAMPLE.COM   Kerberos 域。 Alice   一个系统用户,其 UPN 为 alice@EXAMPLE.COM。 myservice   server1.example.com 上运行的一个服务,其 ...
kerberos java实现_Kerberos安全体系详解---Kerberos简单实现
weixin_33960567的博客
02-16 2063
1. Kerberos简介1.1. 功能一个安全认证协议用tickets验证避免本地保存密码和在互联网上传输密码包含一个可信任的第三方使用对称加密客户端与服务器(非KDC)之间能够相互验证Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。1.2. 概念首次请求,三次通信方the Authentication Serverthe Ticket Gr...
Kerberos-Authentication-Protocol-master.zip_Kerberos
09-24
Kerberos认证协议详解——基础篇》 Kerberos是一种强大的网络认证协议,它为用户提供了一种安全的身份验证方式,确保在网络通信中只有合法的用户可以访问资源。本篇文章将深入探讨Kerberos的基本原理、工作流程...
Python confluent kafka客户端配置kerberos认证流程详解
01-19
其中第一种SASL/GSSAPI的认证就是kerberos认证,对于java来说有原生的支持,但是对于python来说配置稍微麻烦一些,下面说一下具体的配置过程,confluent kafka模块底层依赖于librdkafka,这是使用c编写的高性能的...
大数据入门教程,小白快速掌握Hadoop集成Kerberos安全技术
黑马程序员官方博客
06-24 645
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。今天分享的视频教程从零学习Kerberos安全认证机制,并和Hadoop、YARN、HIVE进行集成,通过知识点 + 案例教学法帮助小白快速掌握Hadoop集成Kerberos安全技术。 小白快速掌握Hadoop集成Kerberos安全技术 http://yun.itheima.com/course/746.html?Stt 课程内容 第一章 Kerberos简介 第二章 环境准备 2.1 使用软
Kerberos认证系统的设计与实现
10-29
Kerberos认证系统的设计与实现
信息安全技术知识:Kerberos协议的工作过程
tech
11-07 1999
source: http://www.cnitpm.com/pm1/40088.html 信息安全技术知识:Kerberos协议的工作过程 来源:信管网  2017年02月28日   【信管网:项目管理师专业网站】   所有评论 Kerberos协议的工作过程     ·Kerberos基本思想     采用对称密钥体制对信息进行加密,能正确对信息进行解密的用户就是合
Keberos单点登录服务及其实现过程
热门推荐
weixin_43520214的博客
03-23 1万+
Part 1: Keberos 介绍 在计算机科学领域,Kerberos 是麻省理工学院Athena 项目的一部分。它之所以被命名为 Kerberos,是因为它涉及三个实体,很像三头狗,它们通过通信来确定客户端和服务器的身份。称为密钥分发中心(简称 KDC)的受信任第三方可帮助客户端和服务相互证明其身份。它是一个网络认证系统,解决了不可信网络中的两个重要问题: 它允许用户仅使用一个密码访问所有资源(例如打印机、服务)。 它加密通过网络传递的消息并确保消息的完整性。我们将在接下来的课程中..
Kerberos安全认证原理
weixin_38569499的博客
04-07 2047
目录 1、Kerberos是什么 2、主要角色 3、基本概念 4、认证过程 4.1 初始验证 4.2获取服务票据 4.3服务验证 5、环境假设 6、局限性 7、相关命令 参考文档: 协议:协议 主要命令:主要命令 1、Kerberos是什么 Kerberos是一种一种网络身份验证协议,只包括验证环节,不负责授权。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticke...
Kerberos体系介绍
不怕死的假老练
07-08 879
Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机、服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术执行的认证服务的。 协议的安全主要依赖于参加者对时间的松散同步和短周期的Kerberos票据的认证声明。下面是这个协议的一个流程图,它主要包括以下几个模块: AS:
Kerberos化http接口访问
weixin_43172032的博客
12-21 2311
Kerberos化http接口访问一,Linux ,Mac os 环境下curl 命令访问1.1, 拷贝 服务器上的 /etc/krb5.conf 文件还至目标电脑上。1.2, 执行kinit 获取票据,curl访问接口二,mac 环境下使用浏览器访问Kerberos 化 UI2.1 拷贝/etc/krb5.conf 文件,执行kinit2.2 safari浏览器2.3 Chrome浏览器打开界面三,windows环境下使用浏览器访问Kerberos 化 UI3.1 下载安装 KerberosTicket
Kerberos 认证、黄金票据、白银票据
weixin_51559599的博客
11-29 718
在实际环境中,有各种各样的服务都需要进行认证,需要频繁输入密码进行认证,不仅繁琐,而且频繁传输密码加大了出现中间人劫持等安全风险。服务器持有 TGS 颁发的票据后,携带票据访问相应的服务可获取响应的服务权限。AS(Authentication Service)所在的服务器存储了用户凭证,用户输入账户密码进行认证成功后,AS 向用户颁发。(身份票据),用户获取 TGT 后,凭借 TGT 即可向 TGS 申请各种服务票据(ST),用来获取各种服务的权限。白银票据就是伪造了 Kerberos 中的服务票据。
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 7970
Kerberos认证原理与使用教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值