概念:

Kerberos服务器:AS认证服务器,TGS服务授权服务器

Client 客户端,代表使用应用的用户

AppServer 服务端,应用提供各种服务的服务器

Client在Kerberos注册用户名c,密码Kc

AppServer在Kerberos注册用户名s,密码Ks

TGS在Kerberos注册用户名tgs,密码Ktgs

说明:

Kerberos为Client和AppServer提供可信任第三方认证服务。

Kerberos服务器将用户的用户名及密码存放在它的数据库中。

密码Kc只有Client和Kerberos才拥有,通过Client在Kerberos服务器注册保证密码一致。

同理密码Ks只有AppServer和Kerberos才拥有。

认证过程:

1.Client->AS

KRB_AS_REQ={c, tgs, TS1}

c表示Client客户标识,告诉AS请求的Client身份,便于AS到数据库中查询c的密钥

tgs是Client下一步要访问TGS服务器标识

TS1时间戳被AS用于验证Client时钟是否与AS时钟同步

2.AS->Client

KRB_AS_REP={K(c,tgs),TS2,lifetime,tgs_Tickets}Kc

K(c,tgs)是由AS随机产生的,用于Client与TGS共享的一个会话私钥

TS2是票据发放的时间戳,lifetime是票据有效期

tgs_Tickets是AS发给Client的用于访问TGS的票据授权票据

tgs_Tickets={K(c,tgs), c, c_mac, tgs, TS2, lifetime2}Ktgs

c_mac是Client的MAC地址

3.Client->TGS

KRB_TGS_REQ={s, tgs_Tickets, Authen_info}

s是Client期望访问的AppServer服务器

tgs_Tickets是Client上一步从AS获取的票据授权票据

Authen_info是Client发送的一条认证消息,用于确认发送票据tgs_Tickets的用户就是c

Authen_info={c, c_mac, TS3}K(c,tgs)

4.TGS->Client

KRB_TGS_REP={K(c,s), s, TS4, s_Tickets}K(c,tgs)

K(c,s)是TGS随机生成的密钥,为Client端和AppServer共享的会话密钥

s_Tickets={K(c,s), c, c_mac, s, TS4, lifetime}Ks

TGS用自己的密码Ktgs解密tgs_Tickets获得c,c_mac,K(c,tgs),TS2,lifetime

TGS首先根据时TS2,lifetime时间判断票据是否过期,未过期则继续,

TGS再用上面解密出来的会话私钥K(c,tgs)解密Authen_info,获得c,c_mac,

比较上面2次解密出来的c,c_mac是否一致,判断此次请求来自合法Client。

5.Client->AppServer

KRB_APPSERVER_REQ={s_Tickets,Authent_info},

Client使用K(c,tgs)从KRB_TGS_REP响应中获取K(c,s)

Client采用会话密钥K(c,s)加密Authent_info消息

Authen_info={c, c_mac, TS5}K(c,s)

6.AppServer->Client

AppServer用自己的密码Ks从S_Tickets解密获得K(c,s), c, c_mac, s, TS4, lifetime

(s标识确认Client需要访问该AppServer,AppServer可以通过能否在票中找到自已的名字s来判断解密是否正确)

AppServer然后用TS4时间戳和有效期lifetime来检查票是否有效,有效才进行下一步

AppServer再用从上面解密出来的K(c,s)从Authen_info解密获得c, c_mac

AppServer比较上面2次解密出来的c,c_mac是否一致,判断此次请求来自合法Client。

最后AppServer使用K(c,s)加密确认消息给Client端,告知对方它期待的服务器已收到它的服务请求。

7.Client

Client接收到AppServer的响应,并且使用K(c,s)解密成功即可。

此时Client与AppServer即实现了可信的双方认证。

其他:

2中因为Tickets_tgs已经采用TGS的私钥加密,故没有必要采用客户端的私钥再次加密,

所以AS向Client响应可以修改为:

KRB_AS_REP=tgs_Tickets,{K(c,tgs),TS2,lifetime}Kc

4中同样S_Tickets已经采用AppServer的私钥加密,也不需要使用K(c,tgs),可以修改为:

KRB_TGS_REP=s_Tickets,{K(c,s), s, TS4}K(c,tgs)

参考文档:

【hadoop大数据安全基础知识】Kerberos安全协议(原理)解析与编程实现
http://www.aboutyun.com/thread-11577-1-1.html

KerberosRequestResponseFlow.png
KerberosObjectsHoldSummary.png
KerberosRequestResponseHandel.png

Kerberos认证过程学习理解的更多相关文章

  1. [Kerberos] Kerberos 认证过程整理

    Kerberos是一种安全认证协议,意在提供 more secure authentication simplified management of password convenience of s ...

  2. 在kerberos认证过程中Active Directory的作用

    LDAP介绍 1),ladp(Lightweight Directory Access Protocol),轻量级目录访问协议,提供被称为目录服务的信息服务,特别是基于X.500(构成全球分布式的目录 ...

  3. 域渗透 | kerberos认证及过程中产生的攻击

    ​文章首发于公众号<Z2O安全攻防>​ 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看. https://mp.weixin.qq.com/s/WMGkQoMnQdyG8UmS ...

  4. Kerberos认证浅析

    1 引言 在希腊神话中Kerberos是守护地狱之门的一条凶猛的三头神犬,而我们在本文中所要介绍的Kerberos认证协议是由美国麻省理工学院(MIT)首先提出并实现的,是该校雅典娜计划的一部分.这个 ...

  5. Kerberos认证与攻击学习总结

    0.背景 聆听了n1nty大佬(90后黑客代表)的谆谆指导,学习了n1nty大佬的基本操作,决定总结一下,做一个简要的读书笔记,也把之前自己记录的关于Windows的安全的一些博客能够串联起来.所以首 ...

  6. Kerberos认证原理简介

    1.1 What is Kerberos 1.1.1 简单介绍 Kerberos是一个用于鉴定身份(authentication)的协议, 它采取对称密钥加密(symmetric-key crypto ...

  7. RHCE认证过程

    RHCE认证,即红帽认证工程师(Red Hat Certified Engineer)的简称,认证内容包括DNS.NFS.Samba.Sendmail.Postfix.Apache和关键安全功能的详细 ...

  8. ASP.NET Core Identity 实战(3)认证过程

    如果你没接触过旧版Asp.Net Mvc中的 Authorize 或者 Cookie登陆,那么你一定会疑惑 认证这个名词,这太正式了,这到底代表这什么? 获取资源之前得先过两道关卡Authentica ...

  9. 图解Kerberos认证工作原理

    本文是我在看了这篇英文说明之后的总结 https://technet.microsoft.com/zh-cn/library/cc961976.aspx 是总结,不是翻译,所以是我看后按自己的理解写的 ...

随机推荐

  1. leetcode,两个排序数组的中位数

    先上题目描述: 给定两个大小为 m 和 n 的有序数组 nums1 和 nums2 . 请找出这两个有序数组的中位数.要求算法的时间复杂度为 O(log (m+n)) . 你可以假设 nums1 和  ...

  2. Salesforce LWC学习(三十七) Promise解决progress-indicator的小问题

    本篇参考:https://developer.salesforce.com/docs/component-library/bundle/lightning-progress-indicator/exa ...

  3. 项目开发中,真的有必要定义VO,BO,PO,DO,DTO这些吗?

    存在即是合理的,业务复杂,人员协同性要求高的场景下,这些规范性的东西不按着来虽然不会出错,程序照样跑,但是遵守规范会让程序更具扩展性和可读性,都是前辈血淋淋的宝贵经验,为什么不用? 随着现在后端编程标 ...

  4. 人工水母搜索算法—matlab代码

    clc clear foj = @ Sphere; Lb = -100; % 搜索空间下界 Ub = 100; % 搜索空间上界 N_iter = 1000; % 最大迭代次数 n_pop = 50; ...

  5. [BUUCTF]PWN——picoctf_2018_rop chain

    picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.tx ...

  6. LuoguP7337 『MdOI R4』Fun 题解

    Content 有 \(n\) 个人去打比赛.给出第 \(i\) 个人的交通方式 \(t_i\) 和颓废值 \(q_i\)(均以 \(0/1\) 表示).如果 \(t_i=1,q_i=1\) 的人数 ...

  7. C# 使用Fluent API 创建自己的DSL

    DSL(Domain Specified Language)领域专用语言是描述特定领域问题的语言,听起来很唬人,其实不是什么高深的东西.看一下下面的代码: using FlunetApiDemo; v ...

  8. JAVA实现智能分词(通过文章标题生成tag标签)

    导入jar包 IKAnalyzer2012_u6.jar下载链接:https://pan.xunlew.com/s86789 maven <dependency> <groupId& ...

  9. win7(X64)+wdk7驱动环境搭建

    !!版权声明:本文为博主原创文章,版权归原文作者和博客园共有,谢绝任何形式的 转载!! 作者:mohist -----  蓝 屏 警 告 --- 加载驱动的操作请在虚拟机中完成, 可以有效避免物理机蓝 ...

  10. 【LeetCode】1005. Maximize Sum Of Array After K Negations 解题报告(Python)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 小根堆 日期 题目地址:https://leetco ...