您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

密码应用系列之Kerberos身份认证协议

时间:2021-10-27 12:55:02  来源:  作者:明朝万达

随着信息技术及相关应用的不断普及,用户每天需要登录不同的信息系统,如WEB服务器、邮件服务器、数据库服务器及各种应用服务器等。

传统的认证机制采用基于用户名/密码的分散管理,即用户通过网络世界的身份标识来访问各种资源,不同系统生成的身份标识无法相互传递,导致用户必须通过每个系统单独的用户名和密码进行来认证方能进入系统。

干货科普丨密码应用系列之Kerberos身份认证协议

 

传统认证机制存在两方面安全隐患:一是基于用户名/密码的认证方式安全强度不高;二是大量的用户名/密码给用户带来了额外的安全管理问题。在传统认证机制逐渐无法满足用户需求后,新的更具安全性的认证机制由此出现--单点登录技术。该技术在网络资源使用过程中更为高效、安全并且更加简便。

Kerberos是目前使用最广泛的单点登录协议之一,它利用集中式认证取代分散认证,通过减少用户身份认证次数,减轻服务器负担;同时使用对称密码算法实现通过可信第三方的认证服务。

Kerberos的运行环境由密钥分配中心(KDC)、应用服务器和客户端3个部分组成。

干货科普丨密码应用系列之Kerberos身份认证协议

△ Kerberos运行环境示意图

· KDC是整个系统的核心部分,负责维护所有用户的账户信息。

KDC提供认证服务(AS)和会话授权服务(TGS)。认证服务(AS)对用户的身份进行初始认证,若认证通过便给用户发放授权票据(TGT);用户使用该票据可访问会话授权服务(TGS),从而获得访问应用服务器时所需的服务票据(ST)。

· 应用服务器接受用户的服务访问请求,验证用户身份,并向合法用户提供所请求的服务。

· 客户端在用户登录时发送各种请求信息,并接收从KDC返回的信息。

Kerberos基本认证过程可以分为3个阶段,分别由3组消息来完成。

第一阶段 获得票据许可票据

本阶段,用户登录客户端请求服务,认证服务器(AS)在数据库中验证用户的访问权限,生成票据许可票据和会话密钥。

干货科普丨密码应用系列之Kerberos身份认证协议

 

1、用户从客户端向AS发送包含用户、服务器名和随机数N的消息KRB_AS_REQ。

2、AS验证C的身份和访问权限后,随机生成一个加密密钥作为下一阶段客户方与TGS通信的会话密钥:生成一个包含客户方、会话密钥以及开始和失效时间等信息的TGT,用TGS的密钥进行加密;AS将会话密钥和N用客户端的密钥K加密,并与TGT一起构成消息KRB_AS_REP,发送给客户端。客户端通过用户口令变换出K,获得会话密钥和N,根据N验证该消息是新鲜的。

第二阶段 获得服务许可票据

本阶段,客户端将票据许可票据以及包含用户名称,网络地址和时间的鉴别符发往票据授权服务器TGS,票据授权服务器TGS对票据和鉴别符进行解密,验证请求,然后生成请求服务许可票据。

干货科普丨密码应用系列之Kerberos身份认证协议

 

1、客户端向TGS发送TGT、需要访问的服务器名、保证消息新鲜的N、以及用户会话密钥签名的客户端认证信息,防止数据在传输过程中被篡改、每次客户端要访问某服务时,必须首先生成一个新的认证信息(鉴别符),该信息包括客户端名、主机地址、客户端主机时间,并且最终使用会话密钥加密。

2、TGS用会话密钥验证TGT后,获取服务器名,从数据库获得服务器密钥KS,随机生成客户端与应用之间的通信会话密钥和服务许可票据。使用会话密钥加密N和应用会话密钥与新产生的服务许可密钥一起发送给客户端。

第三阶段 获得服务

客户端将服务许可票据和认证信息发送给服务器,服务器验证票据和认证信息中的相匹配,允许访问服务。如果需要双向鉴别,服务器返回一个认证信息。

干货科普丨密码应用系列之Kerberos身份认证协议

 

1、客户端向服务器发送认证信息,并提交服务许可票据。

2、应用通过加密获得客户端的时间表及,同时将这些信息用应用会话密钥加密后发送客户端,客户端保留最近接收到的时间标记最大值,以防止重放攻击。

Kerberos认证系统虽然在网络环境中有着广泛应用,但也存在局限性。

首先,协议中的认证信息依赖于时间标记来实现抗重放攻击,这就要求使用该协议进行认证的计算机需要时间同步,而严格的时间同步需要有时间服务器,因此时间服务器的安全至关重要。

其次,协议认证的基础是通信方都无条件信任KDC,一旦其安全受到影响,将会威胁整个认证系统的安全,同时容易形成系统性能的瓶颈。



Tags:Kerberos   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
随着信息技术及相关应用的不断普及,用户每天需要登录不同的信息系统,如WEB服务器、邮件服务器、数据库服务器及各种应用服务器等。传统的认证机制采用基于用户名/密码的分散管...【详细内容】
2021-10-27  Tags: Kerberos  点击:(31)  评论:(0)  加入收藏
前言这篇文章主要讲的内容是微软为了访问控制而引进的一个扩展PAC,以及PAC在历史上出现过的一个严重的,允许普通用户提升到域管的漏洞MS14068。 一.PAC介绍网上很多版本的ker...【详细内容】
2019-12-30  Tags: Kerberos  点击:(106)  评论:(0)  加入收藏
▌简易百科推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  K佬食古    Tags:shell   点击:(0)  评论:(0)  加入收藏
步骤1、配置 /etc/sysconfig/network-scripts/ifcfg-eth0 里的文件。it动力的CentOS下的ifcfg-eth0的配置详情:[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifc...【详细内容】
2021-12-24  忆梦如风    Tags:网卡   点击:(9)  评论:(0)  加入收藏
1、查找当前目录下所有以.tar结尾的文件然后移动到指定目录find . -name “*.tar” -execmv {}./backup/ ;注解:find –name 主要用于查找某个文件名字,-exec 、xargs可...【详细内容】
2021-12-17  郭主任    Tags:运维   点击:(18)  评论:(0)  加入收藏
对于经常上网的朋友来说,除了手机购物上网,pc端玩网页游戏还是很多小伙伴首选的,但是有时候明明宽带链接上了,打开浏览器却出现上不了网的现象,下面小编要来跟大家说说电脑有网络...【详细内容】
2021-12-16  小白系统    Tags:网页无法打开   点击:(28)  评论:(0)  加入收藏
在访问像github、gitlab这样的外国网站时,很有可能会出现页面加载不出来或找不到页面的错误。这时候有的朋友就会以为是网络的问题,于是把Wifi断掉连上自己手机的热点,结果却还...【详细内容】
2021-12-15  启施技术IT狼叔    Tags:外网   点击:(14)  评论:(0)  加入收藏
网络地址来源:获取公网IP地址 https://ipip.yy.com/get_ip_info.phphttp://pv.sohu.com/cityjson?ie=utf-8http://www.ip168.com/json.do?view=myipaddress...【详细内容】
2021-12-15  韦廷华12    Tags:外网ip   点击:(14)  评论:(0)  加入收藏
准备好软件IPOP、用ENSP模拟一下华为交换机 启动交换机 <Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname FTPClient[FTPClient]interface vla...【详细内容】
2021-12-15  思源Edward    Tags:交换机   点击:(22)  评论:(0)  加入收藏
我们经常用到netstat命令查看主机连接状况,包括连接ip、端口、状态等,今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里,格式如下:Pro...【详细内容】
2021-12-14  K佬食古    Tags:netstat   点击:(19)  评论:(0)  加入收藏
什么是滑动窗口?窗口是操作系统开辟的一块缓存空间,发送方在收到接收方ACK应答之前,必须在缓冲区保留已发送的数据,如果按期收到确认应答,数据就可以从缓冲区移除。什么是滑动窗...【详细内容】
2021-12-14  DifferentJava    Tags:TCP   点击:(28)  评论:(0)  加入收藏
概述日常管理华为路由设备过程中,难为会忘记设备登录密码,那么该如何重置设备登录密码吗?本期文章将全面向各位小伙伴总结分享。重置华为设备登录密码思路先行 采用console登录...【详细内容】
2021-12-10  onme0    Tags:   点击:(26)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条