XZC.Log

隨筆-314 評論-209 文章-0 trackbacks-0

Kerberos簡介

1. Kerberos簡介

1.1. 功能

一個安全認證協(xié)議
用tickets驗證
避免本地保存密碼和在互聯(lián)網(wǎng)上傳輸密碼
包含一個可信任的第三方
使用對稱加密
客戶端與服務器（非KDC）之間能夠相互驗證

Kerberos只提供一種功能——在網(wǎng)絡上安全的完成用戶的身份驗證。它并不提供授權(quán)功能或者審計功能。

1.2. 概念

首次請求，三次通信方

the Authentication Server
the Ticket Granting Server
the Service or host machine that you’re wanting access to.

圖 1‑1 角色

其他知識點

每次通信，消息包含兩部分，一部分可解碼，一部分不可解碼
服務端不會直接有KDC通信
KDC保存所有機器的賬戶名和密碼
KDC本身具有一個密碼

2. 3次通信

　　我們這里已獲取服務器中的一張表（數(shù)據(jù)）的服務以為，為一個http服務。

2.1. 你和驗證服務

　　如果想要獲取http服務，你首先要向KDC表名你自己的身份。這個過程可以在你的程序啟動時進行。Kerberos可以通過kinit獲取。介紹自己通過未加密的信息發(fā)送至KDC獲取Ticket Granting Ticket (TGT)。

（1）信息包含

你的用戶名/ID
你的IP地址
TGT的有效時間

　　Authentication Server收到你的請求后，會去數(shù)據(jù)庫中驗證，你是否存在。注意，僅僅是驗證是否存在，不會驗證對錯。

　　如果存在，Authentication Server會產(chǎn)生一個隨機的Session key(可以是一個64位的字符串)。這個key用于你和Ticket Granting Server (TGS)之間通信。

（2）回送信息

　　Authentication Server同樣會發(fā)送兩部分信息給你，一部分信息為TGT，通過KDC自己的密碼進行加密，包含：

你的name/ID
TGS的name/ID
時間戳
你的IP地址
TGT的生命周期
TGS session key

另外一部分通過你的密碼進行加密，包含的信息有

TGS的name/ID
時間戳
生命周期
TGS session key

圖 2‑1 第一次通信

　　如果你的密碼是正確的，你就能解密第二部分信息，獲取到TGS session key。如果，密碼不正確，無法解密，則認證失敗。第一部分信息TGT，你是無法解密的，但需要展示緩存起來。

2.2. 你和TGS

如果第一部分你已經(jīng)成功，你已經(jīng)擁有無法解密的TGT和一個TGS Session Key。

（1）請求信息

　a) 通過TGS Session Key加密的認證器部分：

你的name/ID
時間戳

b) 明文傳輸部分：

請求的Http服務名（就是請求信息）
HTTP Service的Ticket生命周期

c) TGT部分

　　Ticket Granting Server收到信息后，首先檢查數(shù)據(jù)庫中是否包含有你請求的Http服務名。如果無，直接返回錯誤信息。

　　如果存在，則通過KDC的密碼解密TGT，這個時候。我們就能獲取到TGS Session key。然后，通過TGS Session key去解密你傳輸?shù)牡谝徊糠终J證器，獲取到你的用戶名和時間戳。

TGS再進行驗證：

對比TGT中的用戶名與認證器中的用戶名
比較時間戳（網(wǎng)上有說認證器中的時間錯和TGT中的時間錯，個人覺得應該是認證器中的時間戳和系統(tǒng)的時間戳），不能超過一定范圍
檢查是否過期
檢查IP地址是否一致
檢查認證器是否已在TGS緩存中（避免應答攻擊）
可以在這部分添加權(quán)限認證服務

　　TGS隨機產(chǎn)生一個Http Service Session Key, 同時準備Http Service Ticket(ST)。

（2）回答信息

　　a) 通過Http服務的密碼進行加密的信息（ST）：

你的name/ID
Http服務name/ID
你的IP地址
時間戳
ST的生命周期
Http Service Session Key

　　b) 通過TGS Session Key加密的信息

Http服務name/ID
時間戳
ST的生命周期
Http Service Session Key

　　你收到信息后，通過TGS Session Key解密，獲取到了Http Service Session Key，但是你無法解密ST。

圖 2‑2 第二次通信

2.3. 你和Http服務

　　在前面兩步成功后，以后每次獲取Http服務，在Ticket沒有過期，或者無更新的情況下，都可直接進行這一步。省略前面兩個步驟。

（1）請求信息

　　a) 通過Http Service Session Key，加密部分

你的name/ID
時間戳

　　b) ST

　　　Http服務端通過自己的密碼解壓ST（KDC是用Http服務的密碼加密的），這樣就能夠獲取到Http Service Session Key，解密第一部分。

服務端解密好ST后，進行檢查

對比ST中的用戶名（KDC給的）與認證器中的用戶名
比較時間戳（網(wǎng)上有說認證器中的時間錯和TGT中的時間錯，個人覺得應該是認證器中的時間戳和系統(tǒng)的時間戳），不能超過一定范圍
檢查是否過期
檢查IP地址是否一致
檢查認證器是否已在HTTP服務端的緩存中（避免應答攻擊）

（2）應答信息

a) 通過Http Service Session Key加密的信息

Http服務name/ID
時間戳

圖 2‑3 第三次通信

　　你在通過緩存的Http Service Session Key解密這部分信息，然后驗證是否是你想要的服務器發(fā)送給你的信息。完成你的服務器的驗證。

至此，整個過程全部完成。

posted on 2017-04-25 15:56 xzc 閱讀(259) 評論(2) 編輯收藏所屬分類: Java 、linux/unix 、hadoop

評論:

# re: Kerberos簡介 2017-04-25 15:57 | xzc

krb5kdc --認證
kadmin --管理賬戶回復更多評論

# re: Kerberos簡介 2017-04-25 17:44 | xzc

kerberos認證過程(3次通信)
1.次通信
[客戶端] -> [明文]用戶ID -> [KDC](Authentication Server) -> [KDC密碼]TGT(TGS會話密碼)+[客戶端密碼]用戶ID/TGS會話密碼 -> [客戶端]
2.次通信
[客戶端] -> [TGS會話密碼]用戶ID+[明文]HTTP服務名+TGT(TGS會話密碼) ->[KDC](Ticket Granting Server) -> [服務端密碼]ST(服務會話密碼)+[TGS會話密碼]HTTP服務名/服務會話密碼 -> [客戶端]
3.次通信
[客戶端] -> [服務會話密碼]用戶ID+[服務端密碼]ST(服務會話密碼) -> [服務端] -> [服務會話密碼]HTTP服務名 -> [客戶端]
注:客戶端:java代碼客戶端
KDC:kerberos認證服務器
服務端:HTTP服務器回復更多評論

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發(fā)表評論。




網(wǎng)站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: Kerberos簡介快使用阿里云的maven倉庫 JAVA對于數(shù)字證書的常用操作方法 DER 和 PEM 格式深入理解 Java中的流 (Stream) JAVA 命令參數(shù)詳解：-D 靜態(tài)html文件js讀取url參數(shù) Java Cookie 中文亂碼解決方法 web.xml中l(wèi)oad-on-startup的作用 java keytool 使用總結(jié)(轉(zhuǎn))

<

2017年4月

>

日

一

二

三

四

五

六

26

27

28

29

30

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

常用鏈接

留言簿(12)

隨筆分類

隨筆檔案

收藏夾

xzc(12)