网站页面打开速度,视频直播间,wordpress 访问页面,物流公司网站开发与淘宝对接 在淘宝卖家中心显示物流信息简介
Kerberos 是一种由 MIT#xff08;麻省理工大学#xff09;提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证#xff0c;用于验证用户或主机的标识。。 适用范围#xff1a;Windows Server 2022、Window…简介
Kerberos 是一种由 MIT麻省理工大学提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证用于验证用户或主机的标识。。 适用范围Windows Server 2022、Windows Server 2019、Windows Server 2016 在 Kerberos 协议中主要是有三个角色的存在
1、访问服务的 Client
2、提供服务的 Server
3、KDCKey Distribution Center密钥分发中心其中包含了The Authentication Server 和 The Ticket Granting Server
Key Distribution Center即 KDC, 是 Kerberos 的核心组件主要由三个部分组成 Kerberos Database: 包含了一个 Realm 中所有的 principal、密码与其他信息。默认Berkeley DBAuthentication Service(AS): 进行用户信息认证为客户端提供 Ticket Granting Tickets(TGT)。Ticket Granting Service(TGS): 验证 TGT 与 Authenticator为客户端提供 Service Tickets
Kerberos认证流程
简化版
客户端在访问每个想要访问的网络服务时他需要携带一个专门用于访问该服务并且能够证明自己身份的票据当服务端收到了该票据他才能认定客户端身份正确向客户端提供服务。所以整个认证流程可简化为两大步
客户端向KDC请求获取想要访问的目标服务的服务授予票据Ticket客户端拿着从KDC获取的服务授予票据Ticket访问相应的网络服务
详细版
上面说到了简化版的Kerberos认证流程大致的过程确实可以看作这两步但其中还存在一些问题
KDC怎么知道你客户端就是真正的客户端凭什么给你发放服务授予票据Ticket呢服务端怎么知道你带来的服务授予票据Ticket就是一张真正的票据呢
所以这就需要详细说一下Kerberos 详细认证流程了。所以整个Kerberos认证流程可以细化为三个阶段也可以理解为三次通信
Client 与 AS 的交互,Client 与 TGS 的交互,Client 与 Server 的交互。
第一次通信Client 与 AS 的交互 客户端用户向KDC以明文的方式发起请求。该次请求中携带了自己的用户名主机IP和当前时间戳 KDC当中的ASAuthentication Server接收请求AS是KDC中专门用来认证客户端身份的认证服务器后去kerberos认证数据库中根据用户名查找是否存在该用户此时只会查找是否有相同用户名的用户并不会判断身份的可靠性 如果没有该用户名认证失败服务结束如果存在该用户名则AS认证中心便认为用户存在此时便会返回响应给客户端其中包含两部分内容 第一部分内容称为TGT他叫做票据授予票据客户端需要使用TGT去KDC中的TGS票据授予中心获取访问网络服务所需的Ticket服务授予票据TGT中包含的内容有kerberos数据库中存在的该客户端的NameIP当前时间戳客户端 即将访问的TGS的NameTGT的有效时间以及一把用于客户端和TGS间进行通信的Session_key(CT_SK)。整个TGT使用TGS密钥加密客户端是解密不了的由于密钥从没有在网络中传输过所以也不存在密钥被劫持破解的情况。 第二部分内容是使用客户端密钥加密的一段内容其中包括用于客户端和TGS间通信的Session_key(CT_SK),客户端即将访问的TGS的Name以及TGT的有效时间和一个当前时间戳。该部分内容使用客户端密钥加密所以客户端在拿到该部分内容时可以通过自己的密钥解密。如果是一个假的客户端那么他是不会拥有真正客户端的密钥的因为该密钥也从没在网络中进行传输过。这也同时认证了客户端的身份如果是假客户端会由于解密失败从而终端认证流程。 至此第一次通信完成。 第二次通信Client 与 TGS 的交互
客户端行为
客户端使用CT_SK加密将自己的客户端信息发送给KDC其中包括客户端名IP时间戳客户端将自己想要访问的Server服务以明文的方式发送给KDC客户端将使用TGS密钥加密的TGT也原封不动的也携带给KDC
TGS行为 此时KDC中的TGS票据授予服务器收到了来自客户端的请求。他首先根据客户端明文传输过来的Server服务IP查看当前kerberos系统中是否存在可以被用户访问的该服务。如果不存在认证失败结束。如果存在继续接下来的认证。 TGS使用自己的密钥将TGT中的内容进行解密此时他看到了经过AS认证过后并记录的用户信息一把Session_KEY即CT_SK还有时间戳信息他会现根据时间戳判断此次通信是否真是可靠有无超出时延。 如果时延正常则TGS会使用CK_SK对客户端的第一部分内容进行解密使用CT_SK加密的客户端信息取出其中的用户信息和TGT中的用户信息进行比对如果全部相同则认为客户端身份正确方可继续进行下一步。 此时KDC将返回响应给客户端响应内容包括 第一部分用于客户端访问网络服务的使用Server密码加密的STServre Ticket其中包括客户端的NameIP需要访问的网络服务的地址Server IPST的有效时间时间戳以及用于客户端和服务端之间通信的CS_SKSession Key。 第二部分使用CT_SK加密的内容其中包括CS_SK和时间戳还有ST的有效时间。由于在第一次通信的过程中AS已将CT_SK通过客户端密码加密交给了客户端且客户端解密并缓存了CT_SK所以该部分内容在客户端接收到时是可以自己解密的。 至此第二次通信完成。 第三次通信 Client 与 Server 的交互
客户端
客户端使用CK_SK将自己的主机信息和时间戳进行加密作为交给服务端的第一部分内容然后将ST服务授予票据作为第二部分内容都发送给服务端。
服务端
服务器此时收到了来自客户端的请求他会使用自己的密钥即Server密钥将客户端第二部分内容进行解密核对时间戳之后将其中的CS_SK取出使用CS_SK将客户端发来的第一部分内容进行解密从而获得经过TGS认证过后的客户端信息此时他将这部分信息和客户端第二部分内容带来的自己的信息进行比对最终确认该客户端就是经过了KDC认证的具有真实身份的客户端是他可以提供服务的客户端。此时服务端返回一段使用CT_SK加密的表示接收请求的响应给客户端在客户端收到请求之后使用缓存在本地的CS_ST解密之后也确定了服务端的身份其实服务端在通信的过程中还会使用数字证书证明自己身份。
至此第三次通信完成。此时也代表着整个kerberos认证的完成通信的双方都确认了对方的身份此时便可以放心的进行整个网络通信了。 linkes:https://seevae.github.io/2020/09/12/%E8%AF%A6%E8%A7%A3kerberos%E8%AE%A4%E8%AF%81%E6%B5%81%E7%A8%8B/
