NTLM 和 Kerberos 安全认证过程简述

最新推荐文章于 2025-08-24 23:57:22 发布
原创 最新推荐文章于 2025-08-24 23:57:22 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CISSP

本文详细解析了NTLM与Kerberos两种网络认证协议的工作原理。NTLM采用质询/应答模式,涉及用户名验证、密码摘要信息认证及随机数加密对比等步骤。Kerberos则基于对称密钥密码学,通过KDC可信第三方验证用户名并颁发TGT,后续利用TGT请求服务票证ST,实现端到端安全性。

参考文件:http://www.cnblogs.com/artech/archive/2011/01/25/NTLM.html

NTLM采用一种质询/应答消息交换模式

1、身份认证用户名验证:客户端向服务器端发送用户名若用户名验证通过,服务器端生成随机数,然后向客户端发送该随机数字。

2、身份认证密码认证:(1)密码摘要信息认证:客户端软件利用MD5或者SHA哈希生成密码的摘要信息,并利用摘要对随机数字进行加密。(2)客户端发送利用摘要加密的随机数字给服务器端。

3、服务端向DC服务器请求相关信息进行验证:服务器向DC请求用户名相关信息包括用户名、密码摘要、存储的随机数字

4,安全验证通过与否测试:服务器端利用存储的用户密码的摘要信息,对随机数进行加密。然后将两个加密后的随机数字进行比较。如果两者相同,则通过用户身份认证。

参考文件:http://www.cnblogs.com/artech/archive/2011/01/24/kerberos.html

Kerberos 使用对称密钥密码学,并提供端到端的安全性。

KDC是kerberos认证的可信第三方;KDC维护所有网络成员的密钥;票证授予票证TGT理解为一张名片;

1、服务器端KDC.AS验证用户名,验证通过后,利用用户的密码作为密钥,加密TGT返回客户端。

2、客户端利用密码作为密钥解密TGT,然后发送TGT+某服务请求给KDC.TGS

3、KDC.TGS验证TGT信息后,然后向客户端返回ST,其中ST包含两个相同的SessionID+客户端用户的身份标识,第一个用KDC保存的用户共享密钥加密,第二个用KDC保存的某请求服务共享密钥加密。

4、客户端利用自己与KDC共享密钥解密,获取自己与某服务请求的服务器进行通信的会话密钥;接着添加自己的认证信息,然后将含两个认证信息的ST发送于某服务请求服务器。

5、某请求服务器利用自己与KDC共享密钥解密,获取自己与某服务请求的服务器进行通信的会话密钥;某请求服务器解密认证信息后与KDC存储认证信息进行比对 ,然后开始处理服务,并利用会话密钥加密返回给客户端。

Windows安全认证机制-NTLM认证流程
yyh_linux_note的博客
04-17 950
本文基于SMB连接分析NTLM认证流程
NTLM认证原理及其过程
2ed
11-19 8679
windows认证协议主要有以下两种: 基于ntlm的认证方式,主要用在早期的windows工作组环境中,认证的过程也相对比较简单、 另一种是基于Kerberos的认证方式,主要用在域环境中 NTLM认证 正在上传…重新上传取消 以下步骤刻画了 NTLM 非交互式认证过程, 第一步中提供了用户的 NTLM 认证信息,该步是用户交互式认证(Logon)过程的一部分。 (...
NTLMKerberos认证流程
Y5neKO's blog
09-11 2137
NTLMKerberos认证流程 NTLM认证 1.概念 NTLM是NT LAN Manager的缩写,NTLM 是指 telnet 的一种验证身份方式,即问询/应答身份验证协议,是 Windows NT 早期版本的标准安全协议,Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。 2.认证流程 ①使用用户名密码登录客户端,进行本地认证 ②客户端首先在本地加密当前用户的密码为密码散列,即NTLM Hash1 ③确认双方协议版本,客户端向服务
NTLM认证
西敏寺的乐章的博客
04-21 1006
NTLM是一种网络认证协议,与 NTLM Hash的关系就是:NTLM网络认证协议是以 NTLM Hash 作为根本凭证进行认证的协议,NTLM是一种基于质询/应答 (Challenge/Response )消息交换模式的认证机制,常用于工作组域环境下登录场景的身份认证。首先,用户注销、重启、锁屏后,操作系统会让 winlogon显示登录界面,也就是输入框,接收输入后,将密码交给 lsass进程,这个进程将明文密码加密成NTLM Hash,对比 SAM数据库中的 Hash进行验证。
NTLM认证过程
Purpose_7的博客
07-30 1034
NTLM 步骤说明: 客户端缓存密码的哈希值,丢弃原始密码 客户端向服务器发送明文形式的用户名 服务器端生成一个16位的随机数,作为challenge发送给客户端 客户端使用密码的哈希值加密challenge,并将结果(response)返回给服务器 ①服务器端将收到的用户名、原始challenge、客户端返回的response发送给DC(域控制器) ②DC从SAM库中找到该用户名对应的密码散列值 ③DC使用从SAM库中获取的密码散列值加密原始challenge ④比对两个challe
Kerberos认证以及黄金票据白银票据的简单介绍
Reset
08-21 1363
Kerberos是一种网络身份认证的协议,协议设计目的是通过使用秘钥加密技术为客户端/服务器应用程序提供强身份验证,保护服务器防止错误的用户使用,同时保护它的用户使用正确的服务器,即支持双向验证。Kerberos协议的整个认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改插入数据。简而言之,Kerberos作为一种可信任的第三方认证服务,通过传统的密码技术(共享密钥)执行认证服务。
Kerberos认证过程
m0_46390077的博客
01-25 866
4、TGS服务先解密TGT2获得session key(as),紧接着利用session key(as)解密认证因子,对比认证因子与TGT2的客户端信息是否一致,如果一致生成session key(TGS),返回如下信息给客户端 TGT3(session key(TGS),服务器信息,票据到期时间)--session key(as)加密 TGT4(session key(TGS),客户端信息,票据到期时间)--客户端想要访问的服务器的哈希加密。1、客户端发送自己的用户名给AS。
Kerberos认证原理
weixin_45083592的博客
11-26 903
Kerberos的认证原理 什么是Kerberos Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证,软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统 概念 1)KDC:密钥分发中心,负责管理发放票据,记录授权 2)Realm:Kerberos管理领域的标识 3)principal:当每添加一个用户或服务的时候都需要向
Kerberos票证攻击​
最新发布
m0_72199724的博客
08-24 797
特性黄金票据 (Golden Ticket)白银票据 (Silver Ticket)伪造对象所需密钥KRBTGT账户的NTLM哈希目标服务账户的NTLM哈希访问范围域内所有资源(万能)特定服务器的特定服务(受限)与KDC交互不交互(完全绕过)不交互(完全绕过)检测位置难检测,主要看KDC日志异常难检测,主要看目标服务器日志主要用途权限维持、全域控制横向移动、访问特定资源。
kerberos认证过程,AD域认证
06-12
Authentication解决的是“如何证明某个人确确实实就是他或她所声称的那个人”的问题。对于如何进行Authentication,我们采用这样的方法:如果一个秘密(secret)仅仅存在于AB,那么有个人对B声称自己就是A,B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于Authentication的方面: Secret如何表示。 A如何向B提供Secret。 B如何识别Secret。
Kerberos认证过程.docx
09-25
非常容易理解的kerberos认证过程讲解,kerberos最精华的部分是,让最后的认证发生在clientserver之间,没有通过认证机构,节省了时间服务资源
代理通信,linux下,包含NTLM认证
01-18
本代码实现了网络代理通信,包含复杂的网络环境,ntlm认证等
NTLM 哈希认证过程详解及实例操作
m0_57836225的博客
09-25 551
NTLM 哈希认证是一种常见的网络认证方式,它使用哈希算法来保护用户密码,提高认证的安全性。在实际应用中,我们需要注意 NTLM 哈希认证的安全风险,并采取相应的措施来增强认证的安全性,如使用强密码、定期更换密码、加强服务器的安全防护等。- 服务器会用自己存储的用户密码哈希值,以同样的方式计算出一个预期的响应值,然后与客户端发送过来的响应值进行比较,如果一致,则认证通过,允许客户端访问共享文件夹。- 服务器接收到客户端的响应值后,会使用存储在服务器上的用户密码的哈希值来验证响应值的正确性。
NTLM身份验证
y97523的专栏
05-31 1281
NTLM工作流程是这样的: 1、客户端首先在本地加密当前用户的密码成为密码散列 2、客户端向服务器发送自己的帐号,这个帐号是没有经过加密的,明文直接传输 3、服务器产生一个16位的随机数字发送给客户端,作为一个 challenge(挑战) 4、客户端再用加密后的密码散列来加密这个 challenge ,然后把这个返回给服务器。作为 response(响应) 5、服务器把用户名、给客户端的chall
Windows安全认证机制——NTLM本地认证
lurenjia404的博客
07-02 1704
Windows安全认证机制之NTLM本地认证
内网渗透——WINDOWS认证机制之NTLM
我们为什么能在这里遇到?
09-28 2055
域渗透就是基于windows域环境的渗透,而域渗透涉及到的技术,如哈希传递(PTH)票据传递(PTT)委派攻击等,都是基于域环境下的认证机制来实现的,这也是为什么要了解Windows认证机制的原因之一 Windows的认证包括三个部分,用户直接操作计算机登陆账户(本地认证),远程连接到工作组中的某个设备(网络认证),登陆到域环境中的某个设备(域认证) 参考:zresx 参考:3gstudent 本地认证 NTLM 本地认证十分简单:用户输入密码,系统收到密码后将用户输入的密码计算成NTLM Hash,然后与
Windows认证机制协议---NTLM详解
Naive的博客
01-09 4317
Windows网络认证是指在Windows操作系统中进行网络通信资源访问时,验证用户身份授予权限的过程。Windows操作系统通常使用两种方法对用户的明文密码进行加密处理。一部分为LM HASH,另一部分为NTML HASH。
【内网横向】NTLM认证
网络安全从业者的学习笔记
03-09 436
NTLM使用在Windows NTWindows 2000 Server(or Later)工作组环境中(Kerberos用在域模式下)。在AD域环境中,如果需要认证Windows NT系统,也必须采用NTLMNTLM采用一种质询/应答(Challenge/Response)消息交换模式。
绘制思维导图总结NTLMkerberos认证流程。
05-08
<think>嗯,用户想要总结NTLMKerberos的认证流程,并绘制思维导图。首先,我需要先回忆这两种认证协议的基本流程区别。NTLM是微软早期的认证协议,基于挑战-响应机制,而Kerberos则更现代,基于票据机制,安全性更高。用户可能需要对比它们的步骤、优缺点以及适用场景。 首先,我应该先分别梳理两者的认证流程。NTLM的流程相对简单,分为协商、挑战验证三个阶段。客户端发送请求,服务器生成挑战值,客户端用密码哈希加密后返回,服务器验证。但NTLM可能存在中间人攻击的风险,而且效率较低,尤其是在跨域环境下。 Kerberos的流程更复杂,涉及KDC(密钥分发中心),包括AS_REQ、AS_REP、TGS_REQ、TGS_REP、AP_REQ、AP_REP等步骤。客户端先获取TGT,然后用TGT获取服务票据,最后用服务票据访问应用服务器。Kerberos支持双向认证票据的时效性,安全性更高,但需要时间同步KDC的高可用性。 接下来,用户可能需要对比两者的不同点,比如认证方式、安全性、效率、依赖条件等。例如,Kerberos使用对称加密票据,而NTLM使用挑战响应;Kerberos支持双向认证,NTLM不支持;Kerberos需要KDC,而NTLM依赖域控制器。 用户还提到要绘制思维导图,可能需要结构化的对比分步骤的流程说明。因此,回答中需要将流程分点列出,并明确各步骤的关键点。同时,引用部分提到了NTLMKerberos属于Windows集成验证机制,需要确保信息准确,可能参考已有的资料,比如引用[1]中的内容。 此外,用户可能希望了解在什么情况下选择哪种协议,比如内网环境可能更适合Kerberos,而旧系统可能仍使用NTLM。需要指出Kerberos在效率扩展性上的优势,以及NTLM的兼容性。 最后,生成相关问题时要围绕认证流程、对比、优化、应用场景等,帮助用户进一步深入理解。例如,如何优化Kerberos的部署,或者NTLM的安全风险如何缓解。</think># NTLM vs Kerberos 认证流程对比 ## 一、NTLM认证流程(三步握手) $$流程图: 客户端 \xrightarrow{协商请求} 服务端 \xleftarrow{挑战值} 客户端 \xrightarrow{加密响应} 服务端$$ 1. **协商**:客户端发送$NTLM_NEGOTIATE$消息 2. **挑战**:服务端生成$16字节随机数(Nonce)$[^1] 3. **响应**:客户端用$NT哈希值加密Nonce$返回 4. **验证**:域控制器通过$SAM数据库比对哈希$ ## 二、Kerberos认证流程(六步交互) $$流程图: 客户端 \leftrightarrow KDC \leftrightarrow TGS \leftrightarrow 应用服务器$$ 1. **AS_REQ**:请求$TGT(Ticket Granting Ticket)$ 2. **AS_REP**:获取$TGT+会话密钥(AES加密)$ 3. **TGS_REQ**:用$TGT申请服务票据$ 4. **TGS_REP**:获得$服务票据+服务会话密钥$ 5. **AP_REQ**:向应用服务器提交$服务票据$ 6. **AP_REP**:可选$双向验证$ ## 三、核心差异对比 | 维度 | NTLM | Kerberos | |--------------|-------------------------------|------------------------------| | 协议基础 | 挑战-响应机制 | 票据授权机制 | | 加密方式 | 仅客户端加密 | 全程对称加密(AES/DES) | | 认证方向 | 单向认证 | 支持双向认证 | | 时间敏感 | 不依赖时间同步 | 要求5分钟内时间同步 | | 跨域能力 | 需建立域信任 | 通过跨域TGT实现 | | 效率 | 每次访问都认证 | 票据8小时有效 | ## 四、思维导图设计建议 ``` 认证协议 ├─ NTLM │ ├─ 三阶段流程 │ ├─ 哈希传递风险 │ └─ 适用场景:旧系统/SMB协议 └─ Kerberos ├─ 六阶段流程 ├─ 黄金票据/白银票据攻防 └─ 适用场景:AD域/云环境 ``` ## 五、安全建议 1. Kerberos需部署$KDC冗余集群$保障可用性 2. NTLM应启用$NTLMv2并禁用LM响应$[^1] 3. 定期轮换$KRBTGT账户密码$(影响Kerberos票据有效性)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值