kerberos的as tgs cs认证基本原理

KDC（kerberos Distribution Center）密钥分发中心，维护所有账户的名称和Master Key（key的hash code）。
提供：AS认证服务、TGS票据授予服务
Client 访问 Service需要Kerberos认证过程3个子协议：
1.AS Exchange
2.TGS Exchange
3.CS Exchange
认证过程如下图：

1.1Authentication Service Exchange
该服务通过KDC的AS服务对Client身份的确认，并颁发给该Client一个TGT服务授权票据。

Client向KDC AS发送KRB_AS_REQ请求，Client使用自己的Master Key对KRB_AS_REQ的主体部分进行加密（KDC可以通过AD获取该client的master key）KRB_AS_REQ的大体内容：
Pre-authentication data:包含用以证明自己身份的信息。（证明自己知道account的密码）一般是被client的master key加密的Timestamp
Client name&realm：就是Domin name\Client name

Server Name :KDC 的TGS 的server name
当使用Kerberos V5时，用户的密码永远不会通过网络发送，甚至不会以加密的形式发送，Kerberos V5管理期间除外。

AS通过接收KRB_AS_REQ是否是Client name&realm声称的account，AS只需要通过提取Client对应的master key 对Pre-authentication解密，如果是合法的Timestamp,则可以证明提供了正确的密码。
通过验证后AS将一份Authentication Service Response（KRB_AS_REP）发送给client，KRB_AS_REP主要包含两部分：本Client的Master key 加密的Session key（SKDC-Client：Logon Session Key），被自己（KDC服务krbtgt对应的key，只有KDC解密防止篡改）加密的TGT。TGT包含以下的内容：
Session Key：SKDC-Client：Logon Session Key
Client name&realm:Domin name/Client
End time:TGT到期时间
Client通过自己 的Master key对第一部分解密获取Session key（SKDC-Client：Logon Session Key）之后，携带TGT便可以进入下一步：TGS（Ticket granting Service）Exchange

1.2Ticket Granting Service Exchange
证明持有的TGT是AS颁发，并获取对应服务的票据

Client向KDC中的TGS发送KRB_TGS_REQ，请求包含：
TGT：client通过AS Exchange获取的TGT被KDC的Master key进行加密。
Authenticator：用来证明当初TGT的拥有者是否是自己，所以它必须以TGT的颁发方（KDC）和自己（client）的Session key（SKDC-Client：Logon Session Key）来进行加密。在Kerberos的Authenticator实际上就是关于Client的一些信息和当前时间的一个Timestamp。
Client name&realm:Domin name/client name
Server name &realm:Domin name/Server ,这次是Client试图访问的Server。

TGS收到KRB_TGS_REQ颁发Ticket之前会验证Client提供的TGT是否是AS颁发的。通过Authenticator来证明。但是Authenticator是用Logon Session Key（SKDC-Client）加密的，获取Logon Session Key TGS先用自己的Master key解密TGT，从而获取这个logon Session key解密Authenticator进行验证。通过验证向Client 发送KRB_TGS_REP有两部分组成：使用Logon Session key(SKDC-Client)加密用于Client和Server的Session Key（Sserver-Client）、使用Server的Master Key进行加密的Ticket。Ticket大体包含以下内容：
Session Key：Sserver-Client
Client name&realm:Domin name/Client
End time:Ticket的到期时间
Client收到KRB_GTS_REP使用Logon Session Key（SKDC-Client）解密第一部分获取Session key（SServer-Client）。有了Session Key和Ticket，Client 就可以和Server进行交互。

1.3Client/Server Exchange
证明自己就是Ticket的合法所有者

Client 通过TGS Exchange获取Client和Server的Session key，随后就是证明自己就是ticket的真正所有者的Authenticator，并使用Session key（SServer-Client）进行加密。最后将Authenticator和Ticket作为KRB_AP_REQ发送给server。

Server接受到KRB_AP_REQ之后，通过自己的master key解密Ticket 从而获取Session key。通过session key解密Authentictor，进行身份验证。验证成功让Client访问需要的资源，否则拒绝对方访问请求。

kerberos的as tgs cs认证基本原理相关推荐

信息系统建设和服务能力评估CS认证知识讲解
一.什么是CS认证? 2019年11月26日,中国电子信息行业联合会发布了"关于发布<信息系统建设和服务能力评估体系能力要求>团体标准及相关管理办法的公告",标志着信息 ...
CS认证是什么，CS认证流程
CS认证是什么,CS认证流程 CS资质全名叫"信息系统建设和服务能力评估体系" 所谓的CS认证,是指信息系统建设和服务能力评级.认证一共划分为五个等级,等级从低到高分别用CS1级( ...
什么是CS认证，其级别代表什么？
相信大家都有听说过CS认证,CS认证就是是指信息系统建设和服务能力评级认证,那CS认证的能力评价是什么呢,怎么划分的呢,对企业要求又有什么不同的限制呢?今天就带大家一同了解一下: 首先CS认证一共划分 ...
旧的系统集成资质和新的信息系统建设和服务能力评估CS认证证书区别
虽然旧的集成资质已经被取消,但是还是有很多伙伴不知道或者是不愿相信这个消息.所以今天武汉好地科技咨询老师还是要跟大家强调一下.旧的信息系统集成及服务资质已经被取消,现在大家可以用信息系统建设和服务能力 ...
信息系统建设和服务能力评估体系CS认证证书查询官网
信息系统建设和服务能力评估体系CS认证已经公示了900多家了,但是有很多伙伴还是不知道其到底是在哪里公示,甚至还不清楚这个体系到底有几级?谁来对企业进行评估?下面就让武汉好地科技小编来跟大家作以解答. ...
2022年新一批获得能力评估CS认证证书的企业名单
信息系统建设和服务能力评估体系CS1级(初始级).CS2级(基本级)获证企业,证书自颁发之日起有效期4年,自证书发放日起,在每年规定的期限内(以评估工作部发布通知时间为准)通过评估工作管理平台提交年度 ...
武汉能力评估CS认证申报需知
现代科技快速发展,云计算.大数据.物联网.移动互联网等新一代信息技术发展迅速,信息化服务模式正经历着重大的变化.而CS信息系统建设和服务能力评估是反映信息系统建设和服务提供者的能力水平的一个证书,现在 ...
汽车功能安全工程师必看！ISO 26262认证基本原理解析
来源:内容由半导体行业观察翻译自「Arteris」,谢谢. 汽车半导体设备和电子系统的开发人员要小心:可能有些供应商声称他们的产品符合ISO 26262安全标准要求,如果这些说法未能阐明用于制造汽车产 ...
CAS单点登入登出原理
CAS 集中式认证服务(Central Authentication Service,CAS),单点登录协议,允许一个用户访问多个应用程序,而只需要提供一次凭证. 具体实现框架有:OAuth2,Shi ...

kerberos的as tgs cs认证基本原理

kerberos的as tgs cs认证基本原理相关推荐

最新文章

热门文章