NTLM 和 Kerberos 安全认证过程简述

最新推荐文章于 2025-06-27 18:47:07 发布
最新推荐文章于 2025-06-27 18:47:07 发布
阅读量1.7k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 技术基础 文章标签: CISSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chelp/article/details/81985337
本文详细解析了NTLM与Kerberos两种网络认证协议的工作原理。NTLM采用质询/应答模式,涉及用户名验证、密码摘要信息认证及随机数加密对比等步骤。Kerberos则基于对称密钥密码学,通过KDC可信第三方验证用户名并颁发TGT,后续利用TGT请求服务票证ST,实现端到端安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考文件:http://www.cnblogs.com/artech/archive/2011/01/25/NTLM.html

NTLM采用一种质询/应答消息交换模式

1、身份认证用户名验证:客户端向服务器端发送用户名若用户名验证通过,服务器端生成随机数,然后向客户端发送该随机数字。

2、身份认证密码认证:(1)密码摘要信息认证:客户端软件利用MD5或者SHA哈希生成密码的摘要信息,并利用摘要对随机数字进行加密。(2)客户端发送利用摘要加密的随机数字给服务器端。

3、服务端向DC服务器请求相关信息进行验证:服务器向DC请求用户名相关信息包括用户名、密码摘要、存储的随机数字

4,安全验证通过与否测试:服务器端利用存储的用户密码的摘要信息,对随机数进行加密。然后将两个加密后的随机数字进行比较。如果两者相同,则通过用户身份认证。

参考文件:http://www.cnblogs.com/artech/archive/2011/01/24/kerberos.html

Kerberos 使用对称密钥密码学,并提供端到端的安全性。

KDC是kerberos认证的可信第三方;KDC维护所有网络成员的密钥;票证授予票证TGT理解为一张名片;

1、服务器端KDC.AS验证用户名,验证通过后,利用用户的密码作为密钥,加密TGT返回客户端。

2、客户端利用密码作为密钥解密TGT,然后发送TGT+某服务请求给KDC.TGS

3、KDC.TGS验证TGT信息后,然后向客户端返回ST,其中ST包含两个相同的SessionID+客户端用户的身份标识,第一个用KDC保存的用户共享密钥加密,第二个用KDC保存的某请求服务共享密钥加密。

4、客户端利用自己与KDC共享密钥解密,获取自己与某服务请求的服务器进行通信的会话密钥;接着添加自己的认证信息,然后将含两个认证信息的ST发送于某服务请求服务器。

5、某请求服务器利用自己与KDC共享密钥解密,获取自己与某服务请求的服务器进行通信的会话密钥;某请求服务器解密认证信息后与KDC存储认证信息进行比对 ,然后开始处理服务,并利用会话密钥加密返回给客户端。

Kerberos面试内容整理-面试常见问题及解析
不务正业的猿
06-05 162
Kerberos认证协议面试高频问题解析:1)认证过程分AS、TGS、AP三阶段六个消息,实现安全双向认证;2)TGT用于获取服务票据,ServiceTicket用于服务访问验证;3)通过时间戳票据短生命周期防御重放攻击;4)KDC宕机将影响新认证但现有票据仍有效;5)要求时间同步(偏差≤5分钟)确保票据有效性;6)相比NTLM更安全高效但需域环境支持;7)"黄金票据"漏洞可通过重置krbtgt密钥防范。掌握这些核心要点能有效应对Kerberos相关技术面试。
NTLM认证原理及其过程
2ed
11-19 8599
windows认证协议主要有以下两种: 基于ntlm的认证方式,主要用在早期的windows工作组环境中,认证的过程也相对比较简单、 另一种是基于Kerberos的认证方式,主要用在域环境中 NTLM认证 正在上传…重新上传取消 以下步骤刻画了 NTLM 非交互式认证过程, 第一步中提供了用户的 NTLM 认证信息,该步是用户交互式认证(Logon)过程的一部分。 (...
Windows安全认证机制-NTLM认证流程
yyh_linux_note的博客
04-17 816
本文基于SMB连接分析NTLM认证流程
NTLM认证
西敏寺的乐章的博客
04-21 921
NTLM是一种网络认证协议,与 NTLM Hash的关系就是:NTLM网络认证协议是以 NTLM Hash 作为根本凭证进行认证的协议,NTLM是一种基于质询/应答 (Challenge/Response )消息交换模式的认证机制,常用于工作组域环境下登录场景的身份认证。首先,用户注销、重启、锁屏后,操作系统会让 winlogon显示登录界面,也就是输入框,接收输入后,将密码交给 lsass进程,这个进程将明文密码加密成NTLM Hash,对比 SAM数据库中的 Hash进行验证。
Kerberos 深入详解:原理、认证流程与应用场景
最新发布
PwnGuo的博客
06-27 1187
Kerberos认证协议在企业大数据平台中的应用 Kerberos是一种基于对称密钥加密的网络身份认证协议,通过可信第三方KDC实现安全认证而不传输明文密码。其核心流程包含三个阶段:用户认证获取TGT票据、获取服务票据以及服务端验证。在企业Hadoop集群中,Kerberos被用于实现统一认证,所有客户端访问HDFS前必须经过完整认证流程,包括NameNodeDataNode在内的服务节点都需要配置专属服务主体keytab文件。该机制通过KDC作为根信任中心,构建了完整的认证信任链,确保只有获得有效票据
NTLM认证过程
Purpose_7的博客
07-30 994
NTLM 步骤说明: 客户端缓存密码的哈希值,丢弃原始密码 客户端向服务器发送明文形式的用户名 服务器端生成一个16位的随机数,作为challenge发送给客户端 客户端使用密码的哈希值加密challenge,并将结果(response)返回给服务器 ①服务器端将收到的用户名、原始challenge、客户端返回的response发送给DC(域控制器) ②DC从SAM库中找到该用户名对应的密码散列值 ③DC使用从SAM库中获取的密码散列值加密原始challenge ④比对两个challe
NTLM 哈希认证过程详解及实例操作
m0_57836225的博客
09-25 487
NTLM 哈希认证是一种常见的网络认证方式,它使用哈希算法来保护用户密码,提高认证的安全性。在实际应用中,我们需要注意 NTLM 哈希认证的安全风险,并采取相应的措施来增强认证的安全性,如使用强密码、定期更换密码、加强服务器的安全防护等。- 服务器会用自己存储的用户密码哈希值,以同样的方式计算出一个预期的响应值,然后与客户端发送过来的响应值进行比较,如果一致,则认证通过,允许客户端访问共享文件夹。- 服务器接收到客户端的响应值后,会使用存储在服务器上的用户密码的哈希值来验证响应值的正确性。
Kerberos认证以及黄金票据白银票据的简单介绍
Reset
08-21 1262
Kerberos是一种网络身份认证的协议,协议设计目的是通过使用秘钥加密技术为客户端/服务器应用程序提供强身份验证,保护服务器防止错误的用户使用,同时保护它的用户使用正确的服务器,即支持双向验证。Kerberos协议的整个认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改插入数据。简而言之,Kerberos作为一种可信任的第三方认证服务,通过传统的密码技术(共享密钥)执行认证服务。
Kerberos认证原理
weixin_45083592的博客
11-26 865
Kerberos的认证原理 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证,软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统 概念 1)KDC:密钥分发中心,负责管理发放票据,记录授权 2)Realm:Kerberos管理领域的标识 3)principal:当每添加一个用户或服务的时候都需要向
Kerberos认证过程
m0_46390077的博客
01-25 803
4、TGS服务先解密TGT2获得session key(as),紧接着利用session key(as)解密认证因子,对比认证因子与TGT2的客户端信息是否一致,如果一致生成session key(TGS),返回如下信息给客户端 TGT3(session key(TGS),服务器信息,票据到期时间)--session key(as)加密 TGT4(session key(TGS),客户端信息,票据到期时间)--客户端想要访问的服务器的哈希加密。1、客户端发送自己的用户名给AS。
windows认证机制
Armandhe的博客
06-21 1286
windows认证机制
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于AB,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
Kerberos认证过程.docx
09-25
非常容易理解的kerberos认证过程讲解,kerberos最精华的部分是,让最后的认证发生在clientserver之间,没有通过认证机构,节省了时间服务资源
NTLM身份验证
y97523的专栏
05-31 1257
NTLM工作流程是这样的: 1、客户端首先在本地加密当前用户的密码成为密码散列 2、客户端向服务器发送自己的帐号,这个帐号是没有经过加密的,明文直接传输 3、服务器产生一个16位的随机数字发送给客户端,作为一个 challenge(挑战) 4、客户端再用加密后的密码散列来加密这个 challenge ,然后把这个返回给服务器。作为 response(响应) 5、服务器把用户名、给客户端的chall
NTLMKerberos认证流程
Y5neKO's blog
09-11 2011
NTLMKerberos认证流程 NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。 2.认证流程 ①使用用户名密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务
Windows安全认证机制——NTLM本地认证
lurenjia404的博客
07-02 1403
Windows安全认证机制之NTLM本地认证
内网渗透——WINDOWS认证机制之NTLM
我们为什么能在这里遇到?
09-28 1999
域渗透就是基于windows域环境的渗透,而域渗透涉及到的技术,如哈希传递(PTH)票据传递(PTT)委派攻击等,都是基于域环境下的认证机制来实现的,这也是为什么要了解Windows认证机制的原因之一 Windows的认证包括三个部分,用户直接操作计算机登陆账户(本地认证),远程连接到工作组中的某个设备(网络认证),登陆到域环境中的某个设备(域认证) 参考:zresx 参考:3gstudent 本地认证 NTLM 本地认证十分简单:用户输入密码,系统收到密码后将用户输入的密码计算成NTLM Hash,然后与
Windows认证机制协议---NTLM详解
Naive的博客
01-09 3604
Windows网络认证是指在Windows操作系统中进行网络通信资源访问时,验证用户身份授予权限的过程。Windows操作系统通常使用两种方法对用户的明文密码进行加密处理。一部分为LM HASH,另一部分为NTML HASH。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值