Kerberos认证系统

文章目录

  • 前提知识
  • 原理
    • 第一次对话
    • 第二次对话
    • 第三次对话
  • 总结发现

前提知识

  • KDC:由AS、TGS,还有一个Kerberos Database组成。
    Kerberos Database用来存储用户的密码或者其他所有信息,请求的时候需要到数据库中查找。
    • AS为客户端提供TGT票据,同时进行信息验证。
      • TGT(Ticket Granting Tickets):一个信息票据,可以看做是一种入场票
    • TGS(Ticket Granting Server) : 一个服务器,验证 TGTAuthenticator(密码证明信息),为客户端提供 Service Tickets(票证服务)。
    • Kerberos Database:是一个数据库,当我们请求的时候会发送自己的用户ID/NAME,会来到数据库中查找是否存在…

Session表示会话,在kerberos中KDC会随机生成两种重要的会话钥匙:

  • TGS Session Key
  • 请求的服务 Server Session Key

原理

在这里插入图片描述

第一次对话


Client 发送信息包到AS中:(明文发送)

  • 自身的 ID/NAME(用户名)
  • 自身 IP地址
  • 当前时间戳
    上述信息发过去的时候全是明文,即我们发出去之前不进行信息加密

AS 收到后,首先去到数据库中查看是否有改用户名,存在才继续响应答复以下信息两种,在这个时候KDC随机生成了一个TGS Session Key一并发送过去

  • 第一份信息包(用客户端密钥加密发送)
    • 当前时间戳
    • 客户端即将访问的 TGS 服务器的 NAME
    • TGS 的有效时间(一般是八小时)
    • TGS Session Key

上述↑↑↑第一份信息包使用客户端对应的密钥进行加密然后传输
(非明文传输,同时KDC拥有密码表,使用密码表与客户端进行身份认证)

  • 第二份信息包(TGT票据):这一份就是 TGT(用TGS密钥加密发送)
    • 客户端 NAME
    • 客户端 IP
    • 当前时间戳
    • 客户端即将访问的 TGS 服务器的 NAME
    • TGT 的有效时间(一般是八小时)
    • TGS Session Key

上述↑↑↑第二份信息包使用TGS的个人密钥进行加密后传输
(这一份发过去后客户端无法解密,因为他不拥有TGS的密钥,所以这也说明了为什么后面客户端需要原封不断的将TGT发回来再次验证)

第二次对话

客户端收到了来自KDC发来的信息
首先客户端能够解密的信息包就只有第一份,因为是用客户端自己的密钥加密发过来的,所以解开后就能够获得里面的信息,其实主要是要获得TGS Session Key,客户端在第二次对话中需要通过该Key进行加密发送过去信息包


Client发送在本次发送的信息有三种

  • 第一份信息包(明文发送)
    • 发送客户端要访问的Service服务NAME/ID
  • 第二份信息包(用我们解出来拿到的TGS Session Key 密钥加密发送)
    • 客户端 NAME
    • 客户端 IP
    • 当前时间戳
  • 第三份信息包(TGT原本就加密了)
    • 原封不动的发送TGT票据回去

KDC收到信息包后首先使用自身密钥对TGT进行解密,他需要拿到里面的TGS Session Key,拿出来后将客户端的第二份信息包进行解密,拿到里面的客户端信息与当前收到的第一份信息包里面的客户端信息是否一致。
其中时间戳不是比较,而是通过客户端发送过来的时间,与我生成TGT时间相差是否超过可容忍的时间段,超过了就表示可能存在别修改的风险,就会考虑是否废弃掉本次对话以及废弃票据(有内鬼终止交易

只有当所有信息都没有问题的时候才进行回应下一步操作:
在这个时候KDC又随机生成了一个客户端请求的服务 Server Session Key

  • 第一份信息包(使用TGS Session Key密钥加密发送)
    • 当前时间戳
    • ticket ST票据的有效时间
    • 请求的服务 Server Session Key
  • 第二份信息包(ST票据)(使用请求的服务 Server自身的密钥加密发送)
    • 客户端 NAME
    • 客户端 IP
    • 服务器的IP地址(认证服务器)
    • ticket ST票据的有效时间
    • 请求的服务 Server Session Key
      (重点是这一份数据要发过去)

第三次对话

这时候客户端收到了TGS发来的最后一条数据,客户端使用之前缓存的TGS Session Key 对第一份信息包进行解密,最重要的是解密后拿到里面的请求的服务 Server Session Key密码,但是第二份信息包无法解密,是因为这是我们请求的Server的密钥加密的,我们无法得知。

这时候我们检查时间戳是否超时,无误就开始想最终Server发起最后的请求:

  • 第一份信息包(使用请求的服务 Server Session Key密钥加密发送)
    • 客户端 NAME
    • 客户端 IP
    • 当前时间戳
    • ticket ST票据有效时间
  • 第二份信息包(ST票据)
    • 原封不动的发送我们无法解密的ST票据信息包

Server 收到客户端发来的信息包后,首先只能解密的只有用自己Server密钥对第二份信息包进行解密,主要是为了拿出ST票据里面的请求的服务Server Session Key,核对时间戳没有超时后,取出这一份密钥就可以解密第一份信息包,取出里面的客户端信息,然后再与我们解出来的ST票据里面的信息与之比较是否一致

信息核对没问题后开始确定身份了,服务端发送确认通信消息

  • 第一份信息包(使用请求的服务 Server Session Key密钥加密发送)
    • 请求的服务 NAME/ID
    • 当前时间戳

客户端接收到信息包后,使用缓存下来的请求的服务 Server Session Key进行解密,解密出来必须要包含请求的服务 NAME/ID 和 时间戳,通过检查时间戳没有超市和正确的服务就表示认证成功了。然后再有效时间内都是使用Server Session Key进行双方的通讯。

总结发现

  • 首先在其中生成的Session都是作下一次通话是否正确为目的,也就是为了保证认证过程双方身份都是正确的
  • 除了客户端不知道KDC的密钥之外,我们在本地使用密钥加密发送过去KDC是知道如何解密的,利用这个特性,KDC就可以使用他自己内部的密钥进行信息加密作为票据,我们无法解密,但是我们发过去响应的时候总是带有时间戳或者客户端信息,我们票据中也带有这些信息,然而这些信息都是KDC才能解密, 所以票据就代表了对方发过来的信息是否有误,可以知道是否疑似超时被截获信息了。
  • 在客户端主要是通过自身密钥获取会话的Session密钥,通过Session密钥就可以解密信息包了解到是否在传输过程中信息包被修改,或者发过来的信息包根本就不是KDC发来的。即使我们没有发现,那么黑客也也不会解密到我们的Session对话,即使解密了我们的Session密钥,时间也会超时,我们客户端很容易察觉该信息包不安全了。
  • 由于所有的信息传输都没有在传输我们双方各自的密钥,所以黑客没有机会获取到我们的密钥,只要暴力破解,但是由于暴力破解需要时间,即使破解出来我们时间戳超时了也会将其丢弃信息包。
  • 每一次的对话都是为下一次对话做准备,比如第二次KDC使用客户端请求的服务的那一个服务器的密钥进行加密发过去给客户端即:ST票据,客户端是无法解密的,需要他自己封装一份信息包,然后把ST也一起发过去给最后的Server,Server端用自己的密钥解密第二份信息包,然后与第一份客户端自己封装加密的信息包信息进行对比,确认无误就认证成功。
  • 很容易发现这个过程中,每一次对话都会使用不同的密钥进行加密,并且产生会话密钥,同时含有时间戳,即使密钥被暴力破解了,也会超过对应的忍受时间,即会话时间结束额。kerberos认证系统总体还是很安全的,主要是要选择信任的KDC,如果我们的KDC被攻陷了,那就没办法了,裤衩都被骗走了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/179784.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

语音识别芯片在产品应用上的难点列举

语音识别技术,作为人工智能领域中的一颗璀璨明珠,已经广泛应用于用户交互、智能家居、语音助手等多个领域。它为我们的生活带来了诸多便利,使得我们可以更加高效地与电子设备进行互动。然而,语音识别技术的实现,依赖于…

电脑篇——将串口映射到远程电脑上

通过Windows自带的远程桌面连接功能,可以通过修改本地资源选项,将本机的串口/端口映射到远程电脑上。 即可将端口映射到远程电脑上。 (在远程的电脑的设备管理器中可能不会显示,但是用串口调试相关的工具,是可以找到相…

Linux 6.7 正式移除对英特尔 IA-64 架构安腾处理器的支持

导读随着 Linux 6.7 的到来,主流 Linux 内核将停止对 Intel Itanium(IA-64)处理器的支持。 实际上,Linux 近年来对于 Itanium 的支持一直在走下坡路,没有活跃用户,也没有活跃的主要贡献者来维护 Itanium 代…

数据库事务相关问题

1. 什么是数据库事务? 事务,由一个有限的数据库操作序列构成,这些操作要么全部执行,要么全部不执行,是一个不可分割的工作单位。 假如A转账给B 100 元,先从A的账户里扣除 100 元,再在 B 的账户上加上 100 …

Stable Diffusion WebUI使用AnimateDiff插件生成动画

AnimateDiff 可以针对各个模型生成的图片,一键生成对应的动图。 配置要求 GPU显存建议12G以上,在xformers或者sdp优化下显存要求至少6G以上。 要开启sdp优化,在启动参数加上--sdp-no-mem-attention 实际的显存使用量取决于图像大小&#…

麒麟KYLINOS中使用Ghost镜像文件还原系统

原文链接:麒麟KYLINOS中使用Ghost镜像文件还原系统 hello,大家好啊,今天给大家带来麒麟KYLINOS备份还原的第三篇文章,使用Ghost镜像文件还原系统,将之前做好的Ghost镜像文件拷贝到u盘里,然后在另一台终端上…

如何使用iPhone15在办公室观看家里电脑上的4k电影?

如何使用iPhone15在办公室观看家里电脑上的4k电影? 文章目录 如何使用iPhone15在办公室观看家里电脑上的4k电影?1.使用环境要求:2.下载群晖videostation:3.公网访问本地群晖videostation中的电影:4.公网条件下使用电脑…

智能导诊的开发技术有哪些?

智能导诊源码 智能导诊是医疗领域中一项重要的应用,它可以帮助医生和患者更快速、更准确地诊断疾病,提高医疗效率和精度。以下是智能导诊开发技术的几个方面: 1.数据收集整合 智能导诊系统需要收集大量的医疗数据,包括患者症状、病史、检查结…

栈:括号匹配问题!

目录 题目: 思路分析: 解题思路: 一、配对: 二、数量问题: 三、细节问题: 完整代码: 手撕栈: 题目: 给定一个只包括 (,),{,}&…

基于布谷鸟算法优化概率神经网络PNN的分类预测 - 附代码

基于布谷鸟算法优化概率神经网络PNN的分类预测 - 附代码 文章目录 基于布谷鸟算法优化概率神经网络PNN的分类预测 - 附代码1.PNN网络概述2.变压器故障诊街系统相关背景2.1 模型建立 3.基于布谷鸟优化的PNN网络5.测试结果6.参考文献7.Matlab代码 摘要:针对PNN神经网络…

CSS省略号n行公式

记得改图中的n,这是你需要的几行省略号!复制中间的5行就行了。 .text {overflow: hidden;text-overflow: ellipsis;display: -webkit-box;-webkit-line-clamp: n; //n为你想省略的行数,需要改-webkit-box-orient: vertical; } 这是…

跌破1940后金价直指1900 对黄金代理是好是坏?

受以鲍威尔为首的美联储官员近期讲话的影响,加上巴以冲突暂时出现降温,导致避险需求下降,在两大因素的影响之下,现货黄金行情在近期的大涨之后出现大跌。金价不光跌破1950关口,在跌穿1940后势头更是直指1900。金价在一…