Kerberos：网络认证协议

域渗透基础之NTLM认证协议域渗透基础的两个认证协议ntlm和Kerberos协议是必须总结的~ 这篇简单总结下ntlm协议 晚上写下kerberos0x01 NTLM简介NTLM使⽤在Windows NT和Windows 2000 Server（or later）⼯作组环境中（Kerberos⽤在域模式下）。

在AD域环境中，如果需要认证Windows NT系统，也必须采⽤NTLM。

较之Kerberos，基于NTLM的认证过程要简单很多。

NTLM采⽤⼀种质询/应答（Challenge/Response）消息交换模式。

NTLM协议的认证， 包括 NTLMv1 和 NTLMv2 两个版本。

涉及到NTLM的认证全过程，以及NTLM 的 EPA（Extended Protection for Authentication）实现。

在本地登录Windows的情况下，操作系统会使⽤⽤户输⼊的密码作为凭证去与系统中的密码进⾏验证，操作系统中的密码存储在%SystemRoot%\system32\config\sam当我们登录系统的时候,系统会⾃动地读取SAM⽂件中的“密码”与我们输⼊的“密码”进⾏⽐对，如果相同，证明认证成功。

这个SAM⽂件中保留了计算机本地所有⽤户的凭证信息，可以理解为是⼀个数据库。

Windows本⾝不保存明⽂密码，只保留密码的Hash。

ntlm认证⼤致流程:winlogon.exe -> 接收⽤户输⼊ -> lsass.exe -> (认证)关于NTLM Hash与NTLM在Windows中，密码Hash⽬前称之为NTLM Hash，其中NTLM全称是：“NT LAN Manager”。

这个NTLM是⼀种⽹络认证协议，与NTLM Hash的关系就是：NTLM⽹络认证协议是以NTLM Hash作为根本凭证进⾏认证的协议。

在本地认证的过程中，其实就是将⽤户输⼊的密码转换为NTLM Hash与SAM中的NTLM Hash进⾏⽐较。

（0）名词解析1、Authentication：身份鉴别2、TGT：票据(ticket-granting ticket)3、SSO：Single Sign On 单点4、KDC：密钥分发中心5、PKI：Public Key Infrastructure 即"公钥基础设施"6、Kerberors: Network Authentication Protocol7、DES：数据加密标准8、TGS：门票分配服务器（1）Kerberors协议Kerberors协议：Kerberors协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。

由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。

条件先来看看Kerberors协议的前提条件：如下图所示，Client与KDC，KDC与Service在协议工作前已经有了各自的共享密钥，并且由于协议中的消息无法穿透防火墙，这些条件就限制了Kerberors协议往往用于一个组织的内部，使其应用场景不同于X.509 PKI。

过程Kerberors协议分为两个部分：1 . Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到TGT(ticket-granting ticket)，并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。

此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密，从而获得TGT。

（此过程避免了Client直接向KDC发送密码，以求通过验证的不安全方式）2. Client利用之前获得的TGT向KDC请求其他Service的Ticket，从而通过其他Service的身份鉴别。

kinit 用法-回复使用kinit命令进行身份验证是Kerberos网络认证系统中非常重要的一部分。

Kerberos是一种基于票据的认证协议，它允许用户在网络上进行安全身份验证，同时保护用户凭证不被泄露。

本文将一步一步介绍kinit的用法和功能。

1. 理解Kerberos认证系统在介绍kinit命令之前，先了解一下Kerberos认证系统的基本原理。

Kerberos由三个主要组件组成：认证服务器（AS），票据授权服务器（TGS）和服务器。

用户首先要向AS验证自己的身份以获取TGT（Ticket Granting Ticket）票据。

然后，用户使用TGT票据请求一次性票据（TGS票据），以便访问特定的服务器。

最后，用户使用TGS票据请求该服务器上的服务。

2. kinit命令的基本用法kinit是一个Kerberos工具，用于向AS验证用户身份并获取TGT票据。

其基本用法如下：shellkinit [options] [principal]- options：kinit支持多种选项，例如指定密码、票据有效时间、使用不安全的身份等。

- principal：要验证的用户身份。

3. 获取用户TGT票据要使用kinit命令获取TGT票据，只需按以下步骤操作：- 打开终端并输入kinit命令。

- 输入用户的密码以进行身份验证。

- 成功验证后，kinit将返回一个命令行提示符。

4. kinit常用选项kinit命令支持多种选项，用于自定义身份验证过程。

下面是一些常用选项的示例：- -l lifetime：指定TGT票据的有效时间。

- -r renew-life：指定TGT票据的续约时间。

- -c cachename：指定票据缓存的名称。

- -f：强制kinit认证，不使用缓存。

- -p password：使用指定的密码进行身份验证。

5. 使用klist命令查看票据缓存klist是另一个Kerberos工具，用于查看当前用户的票据缓存信息。

kerberos 二段式principal什么是Kerberos？Kerberos是一个计算机网络的安全认证协议。

它最初是由麻省理工学院（MIT）开发的，用于在开放网络环境中实现安全认证。

Kerberos协议的目标是为用户和服务提供身份验证和授权。

它基于密码学技术，使用密钥交换和票据传递进行认证。

在Kerberos中，主体（principal）是一个拥有唯一身份标识的实体，可以是一个用户、一个服务或者一个系统。

每个主体都有一个唯一的标识符，称为主体标识（principal identifier），通常表示为principalrealm的形式。

什么是二段式principal？在传统Kerberos协议中，主体标识由两部分组成：主体名（principal name）和领域（realm）。

主体名用于标识主体的名称，而领域表示主体所属的域或领域。

二段式principal是对传统主体标识的一个扩展。

它在主体标识中添加了另一个组件，用于进一步细分主体的身份或角色。

二段式principal的结构类似于电子邮件地址，由主体名、领域和可选的组件组成，使用“/”符号进行分隔。

例如，一个二段式principal的标识可以是user1/adminrealm，其中user1是主体名，admin是主体角色，realm是领域。

这种二段式principal 的结构允许更加灵活和细粒度的身份验证和授权。

为什么需要二段式principal？二段式principal的引入主要是为了解决一些特定场景下的需求。

传统的主体标识在表示主体身份和角色方面相对简单，难以满足某些复杂的访问控制需求。

通过二段式principal，可以更好地表示主体的身份和角色，实现更细粒度的访问控制。

例如，在一个系统中有多个管理员角色，可以使用不同的主体名和角色组件来区分它们，从而实现对各个管理员角色的精确授权。

二段式principal还可以支持多个不同领域之间的身份验证和授权。

军用密码协议引言军用密码协议是军队通信中保障信息安全的重要技术手段。

随着科技的不断发展，密码协议也在不断进化和完善，以应对日益复杂的网络威胁。

本文将介绍军用密码协议的定义、分类、特点以及一些常见的军用密码协议。

定义军用密码协议是指在军队通信中使用的一种特定的通信协议，用于保障军队通信中信息的保密性、完整性和可用性。

军用密码协议通过使用各种加密技术、认证技术和密钥管理技术，确保敌对势力无法获取军队通信中的敏感信息。

军用密码协议基于密码学原理，以确保通信的机密性和安全性。

分类军用密码协议可以根据其使用的加密算法和认证方案进行分类。

根据加密算法的不同，可以将军用密码协议分为对称加密协议和非对称加密协议。

对称加密协议对称加密协议使用相同的密钥进行加密和解密操作。

这种协议能够提供较高的加密速度和效率，适用于大量数据的加密。

然而，对称加密协议存在密钥分发的问题，需要确保密钥的安全性。

常见的对称加密算法包括DES（Data Encryption Standard）、3DES（Triple Data Encryption Algorithm）和AES（Advanced Encryption Standard）等。

这些算法在军用密码协议中被广泛使用，以保障通信的机密性。

非对称加密协议非对称加密协议使用公钥和私钥进行加密和解密操作。

公钥可以自由发布，而私钥则只有对应的所有者可以使用。

由于非对称加密协议具有较高的安全性，常被用于密钥分发和认证。

常见的非对称加密算法包括RSA（Rivest-Shamir-Adleman）、DSA（Digital Signature Algorithm）和ECC（Elliptic Curve Cryptography）等。

这些算法在军用密码协议中被广泛使用，以保证通信的安全性和验证通信的真实性。

特点军用密码协议具有以下特点：1.机密性：军用密码协议能够保障通信信息的机密性，确保消息只能被授权者解密和阅读。

kerberos机制工作原理1. 引言嘿，你有没有想过，当你登录各种网络服务的时候，你的账号信息是如何安全地在网络中传输的呢？要是这些信息被窃取了，那可就麻烦大了。

今天呀，咱们就来一起深入了解一下Kerberos机制，这个保障网络安全的神奇存在。

在这篇文章里，我们会从它的基本概念、工作过程，到实际应用、常见问题，全方位地搞清楚Kerberos机制的工作原理。

2. 核心原理2.1基本概念与理论背景Kerberos这个名字来源于希腊神话中的三头犬，它守卫着地狱的大门，就像Kerberos机制守护着网络安全一样。

Kerberos机制是一种网络认证协议，它起源于麻省理工学院（MIT）。

在网络发展的过程中，人们越来越需要一种安全可靠的方式来认证用户身份，于是Kerberos就应运而生了。

简单来说，Kerberos的核心概念就是通过一个可信赖的第三方来验证用户和服务的身份，这个第三方就是密钥分发中心（KDC）。

KDC就像是网络世界里的超级管理员，它知道每个用户和服务的秘密。

2.2运行机制与过程分析Kerberos的工作过程就像是一场精心编排的舞蹈。

首先，用户向KDC请求一个票据（Ticket），这就好比你去看电影，先得去售票窗口买票。

用户发送的请求里包含自己的身份信息，KDC收到请求后，会用用户的密钥（这个密钥是事先就和用户约定好的，只有用户和KDC知道）对一个包含用户身份信息和其他相关信息的票据进行加密，这个票据就是TicketGranting Ticket（TGT），可以把TGT想象成一张进入电影院的通票。

然后KDC把加密后的TGT发给用户。

接下来，用户想要访问某个服务（比如邮件服务）的时候，就会把TGT 和一个包含要访问服务名称的请求一起发给KDC。

KDC收到后，会验证TGT的有效性，如果有效，KDC就会给用户一个针对该服务的票据（Service Ticket），这个Service Ticket就像是专门用于看某一场电影的票。

Kerberos身份认证方案5.1 身份认证概述Kerberos是IETF发布的一种身份认证标准协议（目前最新版本为V5）。

它采用对称密钥方案，也可以说是后面出现的非对称密钥方案的基础。

Kerberos协议应用非常广泛，特别是在Windows系统中（包括在Windows系统的内部网络登录中，目前也主要采用的是Kerberos协议）。

所以总体来说，Kerberos认证协议主要是在系统层中得到广泛应用，不过像交换机、路由器这些设备目前也有较多应用。

但是目前的国内图书市场上还没有见到全面、系统地介绍这种得到广泛应用的身份认证协议工作原理，以及协议体系结构。

笔者在IETF和Microsoft英文官方网站上进行搜集和翻译，然后整理、扩展了该协议比较全面的第一手专业资料，非常感谢IETF和Microsoft公司为我们提供了如此全面、深入的第一手专业技术资料。

本章重点* Kerberos V5身份认证机制。

* Kerberos V5身份认证的优点与缺点。

* Kerberos SSP体系架构。

* Kerberos物理结构。

* Kerberos V5身份认证的3个子协议。

* AS、TGS、CS交换。

* Kerberos交换消息。

* Kerberos的本地登录、域用户的工作站登录、单域身份认证和用户到用户的身份认证原理。

* Kerberos V5身份认证的启用与策略配置。

5.1 身份认证概述在正式介绍Kerberos身份认证协议之前，先来了解一下什么是身份认证。

这个概念同样适用于本书后面介绍的其他身份认证技术。

身份认证是系统安全的一个基础方面，它用来确认尝试登录域或访问网络资源的任何用户的身份。

Windows服务器系统身份认证针对所有网络资源启用“单点登录”（Single Sign-on，SSO）。

采用单点登录后，用户可以使用一个密码或智能卡一次登录到域，然后向域中的任何计算机验证身份。

身份认证的重要功能就是它对单点登录的支持。