Kerberos安全体系简介

最新推荐文章于 2024-04-19 13:47:22 发布
最新推荐文章于 2024-04-19 13:47:22 发布
阅读量249 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/heima201907/article/details/103677692
Kerberos是一种安全认证协议,通过tickets实现身份验证,避免密码本地存储和网络传输。它包括可信任的第三方——KDC,使用对称加密确保通信安全。协议涉及三次通信过程,确保客户端和服务器之间的安全交互,防止应答攻击并进行权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

1.1. 功能

  • 一个安全认证协议
  • 用tickets验证
  • 避免本地保存密码和在互联网上传输密码
  • 包含一个可信任的第三方
  • 使用对称加密
  • 客户端与服务器(非KDC)之间能够相互验证
Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。

1.2. 概念

首次请求,三次通信方
  • the Authentication Server
  • the Ticket Granting Server
  • the Service or host machine that you’re wanting access to.
图 1‑1 角色
其他知识点
  • 每次通信,消息包含两部分,一部分可解码,一部分不可解码
  • 服务端不会直接有KDC通信
  • KDC保存所有机器的账户名和密码
  • KDC本身具有一个密码

2.  3次通信

  我们这里已获取服务器中的一张表(数据)的服务以为,为一个http服务。

2.1. 你和验证服务

  如果想要获取http服务,你首先要向KDC表名你自己的身份。这个过程可以在你的程序启动时进行。Kerberos可以通过kinit获取。介绍自己通过未加密的信息发送至KDC获取Ticket Granting Ticket (TGT)。
(1)信息包含
  • 你的用户名/ID
  • 你的IP地址
  • TGT的有效时间
  Authentication Server收到你的请求后,会去数据库中验证,你是否存在。注意,仅仅是验证是否存在,不会验证对错。
  如果存在,Authentication Server会产生一个随机的Session key(可以是一个64位的字符串)。这个key用于你和Ticket Granting Server (TGS)之间通信。
(2)回送信息
  Authentication Server同样会发送两部分信息给你,一部分信息为TGT,通过KDC自己的密码进行加密,包含:
  • 你的name/ID
  • TGS的name/ID
  • 时间戳
  • 你的IP地址
  • TGT的生命周期
  • TGS session key
另外一部分通过你的密码进行加密,包含的信息有
  • TGS的name/ID
  • 时间戳
  • 生命周期
  • TGS session key
 
图 2‑1 第一次通信
  如果你的密码是正确的,你就能解密第二部分信息,获取到TGS session key。如果,密码不正确,无法解密,则认证失败。第一部分信息TGT,你是无法解密的,但需要展示缓存起来。

2.2. 你和TGS

如果第一部分你已经成功,你已经拥有无法解密的TGT和一个TGS Session Key。
(1)    请求信息
 a)  通过TGS Session Key加密的认证器部分:
  • 你的name/ID
  • 时间戳
b)       明文传输部分:
  • 请求的Http服务名(就是请求信息)
  • HTTP Service的Ticket生命周期
c)        TGT部分
  Ticket Granting Server收到信息后,首先检查数据库中是否包含有你请求的Http服务名。如果无,直接返回错误信息。
  如果存在,则通过KDC的密码解密TGT,这个时候。我们就能获取到TGS Session key。然后,通过TGS Session key去解密你传输的第一部分认证器,获取到你的用户名和时间戳。
TGS再进行验证:
  • 对比TGT中的用户名与认证器中的用户名
  • 比较时间戳(网上有说认证器中的时间错和TGT中的时间错,个人觉得应该是认证器中的时间戳和系统的时间戳),不能超过一定范围
  • 检查是否过期
  • 检查IP地址是否一致
  • 检查认证器是否已在TGS缓存中(避免应答攻击)
  • 可以在这部分添加权限认证服务
  TGS随机产生一个Http Service Session Key, 同时准备Http Service Ticket(ST)。
(2)    回答信息
  a)        通过Http服务的密码进行加密的信息(ST):
  • 你的name/ID
  • Http服务name/ID
  • 你的IP地址
  • 时间戳
  • ST的生命周期
  • Http Service Session Key
  b)       通过TGS Session Key加密的信息
  • Http服务name/ID
  • 时间戳
  • ST的生命周期
  • Http Service Session Key
  你收到信息后,通过TGS Session Key解密,获取到了Http Service Session Key,但是你无法解密ST。
 
图 2‑2 第二次通信

2.3. 你和Http服务

  在前面两步成功后,以后每次获取Http服务,在Ticket没有过期,或者无更新的情况下,都可直接进行这一步。省略前面两个步骤。
(1)    请求信息
  a)        通过Http Service Session Key,加密部分
  • 你的name/ID
  • 时间戳
  b)       ST
   Http服务端通过自己的密码解压ST(KDC是用Http服务的密码加密的),这样就能够获取到Http Service Session Key,解密第一部分。
服务端解密好ST后,进行检查
  • 对比ST中的用户名(KDC给的)与认证器中的用户名
  • 比较时间戳(网上有说认证器中的时间错和TGT中的时间错,个人觉得应该是认证器中的时间戳和系统的时间戳),不能超过一定范围
  • 检查是否过期
  • 检查IP地址是否一致
  • 检查认证器是否已在HTTP服务端的缓存中(避免应答攻击)
(2)    应答信息
a)        通过Http Service Session Key加密的信息
  • Http服务name/ID
  • 时间戳
 
图 2‑3 第三次通信
  你在通过缓存的Http Service Session Key解密这部分信息,然后验证是否是你想要的服务器发送给你的信息。完成你的服务器的验证。
至此,整个过程全部完成。

 

kerberos认证
weixin_42609714的博客
02-08 2490
Key Distribution Center(KDC):也就是密钥分发中心 参考:http://www.h3c.com/cn/d_201309/922101_30005_0.htm 1阶段 第一步客户端需要向KDC 申请的是一个短期的会话密钥A(短期密钥适合加密那些需要在网络上传输的数据),用于Client和Server之间的信息加密; 客户端发送包括自己的信息以及希望访问的Server的信息; 第二步,KDC接收到这个请求的时候,生成一个会话密钥A,为了保证这个密钥仅限于发送请求的Client和他希望
kerberos 认证方式-主机认证
技术博客
04-09 5093
kerberos 认证方式-主机认证 业务系统常有这样的需求,从a机器连b机器,即ssh的方式远程调用b机器上得脚本或者命令,每次都要输入用户名和密码,很麻烦 把密码写进脚本里,人员变动之后还要改密码,这个非常麻烦,为了解决这个问题,使用kerborse认证的方式能不能也实现类似ssh免密码登陆那样的功能呢! 下面就介绍一下怎么做,一共只有两步: 1、目标机器改k5logi
【清晰】Kerberos安全体系详解.pdf
07-20
kerberos认证的详解,详细描述了kdc中as与tgs的工作原理
kerberos安全机制原理
周源的专栏
09-21 717
推荐两篇文章: kerberos认证原理:http://blog.youkuaiyun.com/wulantian/article/details/42418231 从kinit到kerberos安全机制:http://www.jianshu.com/p/2039fe8c62a1
【转】谈谈基于Kerberos的Windows Network Authentication
cheran的专栏
12-13 1162
http://www.cnblogs.com/artech/archive/2007/07/07/809545.html Content: 基本原理 引入Key Distribution: KServer-Client从何而来 引入Authenticator : 为有效的证明自己提供证据 引入Ticket Granting  Service:如何获得Ticket Kerbe
kerberos java实现_Kerberos安全体系详解---Kerberos的简单实现
weixin_33960567的博客
02-16 2149
1. Kerberos简介1.1. 功能一个安全认证协议用tickets验证避免本地保存密码和在互联网上传输密码包含一个可信任的第三方使用对称加密客户端与服务器(非KDC)之间能够相互验证Kerberos只提供一种功能——在网络上安全的完成用户的身份验证。它并不提供授权功能或者审计功能。1.2. 概念首次请求,三次通信方the Authentication Serverthe Ticket Gr...
Kerberos安全体系详解:身份验证与TGT流程
Kerberos安全体系详解深入探讨了如何在一个网络环境中确保安全的身份验证,特别是通过Kerberos协议来实现。Kerberos是一种广泛使用的基于对称加密的网络安全协议,主要用于防止密码在网络传输中的泄露,并通过一个...
Kerberos安全体系:自动机和机器人请求信息轨迹规划详解
Kerberos体系中,三次握手的过程至关重要。初次请求时,涉及到三个角色:客户端(用户)、Authentication Server(认证服务器)和Ticket Granting Server(票证授予服务器)。当用户(例如,机器人或自动化设备)...
基于Intel SGX的Kerberos安全增强方案.pdf
09-09
《基于Intel SGX的Kerberos安全增强方案》是一篇探讨如何利用Intel Software Guard Extensions (SGX)技术提升Kerberos安全性的文章。Kerberos是一种广泛使用的网络身份验证协议,它通过加密技术确保用户和服务之间的...
Kerberos认证
mingyqf的博客
02-11 593
Kerberos认证# 在学习黄金白银票据前,首先先了解一下什么是Kerberos认证 .KDC(Key Distribution Center)密钥分发中心。 在KDC中又分为两个部分:Authentication Service(AS,身份验证服务)和Ticket Granting Service(TGS,票据授权服务) AD会维护一个Account Database(账户数据库). 它存储了域中所有用户的密码Hash和白名单。只有账户密码都在白名单中的Client才能申请到TGT。 Kerberos
NiFi相关:Kerberos认证下用户创建和授权相关
weixin_34232744的博客
05-15 873
2019独角兽企业重金招聘Python工程师标准>>> ...
大数据之Kerberos认证
m0_70949976的博客
05-15 5915
Kerberos 是一个网络身份验证协议,用于在计算机网络中进行身份验证和授权。它提供了一种安全的方式,允许用户在不安全的网络上进行身份验证,并获取访问网络资源的权限。
hadoop权限控制之kerberos
qq_37243563的博客
08-06 861
cdh版本的hadoop在对数据安全上的处理通常采用Kerberos+Sentry的结构。 kerberos主要负责平台用户的权限管理,sentry则负责数据的权限管理。 下面我们来依次了解一下: Kerberos包含一个中心节点和若干从节点,所有节点的Kerberos认证信息都要与中心节点的规则配置文件/etc/krb5.conf保持一致。安全认证均需通过中心节点,配置了安全认证的用户可以登录...
CDH 之 Kerberos 安全认证和 Sentry 权限控制管理(一)
dzqxwzoe的博客
01-31 1336
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。ApacheSentry是Cloudera公司发布的一个Hadoop开源组件,2016年3月成为Apache顶级项目。
Kerberos
weixin_33850015的博客
01-08 749
一、Kerberos Concept Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务,为通信双方提供双向身份认证。 Kerberos关键术语: KDC提供两大主要功能:认证服务器(Authentication Service,AS)和票据授权服务(Ticket Granting Service,TGS)。AS负责对用户和服务进行认证,T...
Keberos认证过程
banana1006034246的博客
04-04 1535
Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。适用于客户服务模式。解决”某某声称自己是某某“的认证问题。它的模块包括: AS(Authentication Server)= 认证服务器 KDC(Key Distribution Center)= 密钥分发中心(含所有信任客户端的密码) TGT(Ticket Gran...
kerberos简单认证操作
weixin_33768481的博客
04-27 1197
2019独角兽企业重金招聘Python工程师标准>>> ...
cdh集群元数据(mysql)kerberos账号及其权限分配查看方法
tianjun2012的专栏
09-24 710
cdh集群通过sentry来管理kerberos账户权限 SELECT sr.ROLE_NAME ,sdp.SERVER_NAME,sdp.DB_NAME ,sdp.TABLE_NAME,sdp.COLUMN_NAME,sdp.`ACTION` from sentry.SENTRY_DB_PRIVILEGE sdp inner join sentry.SENTRY_ROLE_DB_PRIVILEGE_MAP srdp on sdp.DB_PRIVILEGE_ID=srdp.DB_PRIVILEGE_I
kerberos:介绍
最新发布
玉汝于成
04-19 3540
Kerberos是一种计算机网络授权协议,主要用于在非安全网络环境中对个人通信进行安全的身份认证。这个协议由麻省理工学院(MIT)开发,作为Athena项目的一部分,首次发布于1988年。Kerberos协议目前已经从v1发展到v5,其中v5在1993年被确定为标准的Kerberos协议(RFC1510)。Kerberos协议设计思想的核心是引入一个可信任的第三方来实现客户端和服务端的认证。在Kerberos中,这个可信任的第三方被称为密钥分发中心(KDC)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值