网络安全知识：什么是Kerberos？

这些预测以及许多其他预测都指向了严酷的现实，即网络犯罪将继续存在，而且问题只会变得更糟。因此，数字世界渴望找到并采用新的策略来加强网络安全。

今天，我们正在研究 Kerberos 身份验证协议。让我们拉开帷幕，熟悉一下这个有效的网络协议。

让我们从了解什么是 Kerberos 及其工作原理开始。

什么是 Kerberos及如何工作？

尽管 Kerberos 在数字世界中无处不在，但它在依赖可靠审计和身份验证功能的安全系统中大量使用。Kerberos 用于 Posix 身份验证、Active Directory、NFS 和 Samba。它也是 SSH、POP 和 SMTP 的替代身份验证系统。

Kerberos 身份验证协议有什么作用？

MIT 为一个名为 Athena 的项目开发了这个协议。它的名字来源于希腊神话中守护地狱的哈迪斯的三头犬。他们之所以选择这个名字，是因为 Kerberos 协议代表了以下三件事：

• 客户

• 网络资源（应用服务器）

• 密钥分发中心 (KDC)

通过这三个组件，Kerberos 可以在不受信任的网络上启用受信任的主机身份验证。Kerberos 确保只有授权用户才能访问网络资源。此外，它还提供 AAA 安全性：身份验证、授权和计费。  

MIT 开发人员开发了 Kerberos 来安全地向他们所需的系统验证他们自己。但是 Kerberos 也授权了用户。Kerberos 的发展发生在大多数系统传输未加密密码的时候。这意味着黑客可以获得未经授权的访问。因此，Kerberos 的开发是迫在眉睫的。 

它的设计师是 SP Miller、BC Neuman、JI Schiller 和 JH Saltzer。

在 Kerberos 中，KDC 授予票据。这些允许不同的主机证明他们的身份。此外，开发人员还打算进行支持授权的 Kerberos 身份验证。这意味着经过 Kerberos 身份验证的客户端也可以访问。 

Kerberos 身份验证的好处

Kerberos 为任何网络安全设置带来了许多优势。它的优点包括：

• 有效的访问控制：Kerberos 为用户提供了一个单一的点来跟踪登录和安全策略的实施。

• 密钥票证的有限生命周期：每个 Kerberos 票证都有一个时间戳、生命周期数据和由管理员控制的身份验证持续时间。

• 相互认证：业务系统和用户可以相互认证。

• 可重用身份验证：Kerberos 用户身份验证是可重用和持久的，要求每个用户仅通过系统验证一次。只要门票有效，用户就不必为了身份验证而不断输入个人信息。

• 强大而多样的安全措施：Kerberos 安全认证协议采用密码学、多重密钥和第三方授权，打造强大、安全的防御。密码不会通过网络发送，所有密钥都经过加密。

作为了解什么是 Kerberos 的学习流程的一部分，让我们检查一下 Kerberos 协议流程。

Kerberos 对象概念和术语

Kerberos 的大多数目标都与密码管理有关。它确保密码不会通过网络传输。它们不会在客户端系统上；系统会在使用后立即丢弃它们。存储时密码不应采用纯文本形式。并且每个会话只能使用一个密码。 

此外，所有身份验证信息都将位于中央服务器中。这意味着

• 管理员可以限制来自中央服务器的任何客户端的访问。 

• 一个用户密码可以访问所有服务。 

• 保护用户信息变得不那么复杂，因为您只需保护一台服务器。 

在 Kerberos 中，所有实体都必须根据提示相互验证。

以下实体使用 Kerberos 协议：

• Kerberos Principals：它们代表分配给票证的唯一 ID。它与大多数用户的用户 ID 相同。Kerberos 使用以下信息标识主体：

• 对于用户：是用户名；对于主机：主机这个词。对于服务，委托人是服务的名称。 

• 指定主机名的可选标识符

• Kerberos 服务器在其中运行的 Kerberos 领域的名称。

• Kerberos 应用程序服务器：它们提供对客户端所需资源的访问。 

• Kerberos KDC：该实体提供对资源的访问，例如终端仿真和远程计算。 

1. Kerberos 数据库：这个数据库有每个主体的记录。它是 Kerberos 的集中存储库，包含客户端及其访问权限的标识。 

2. Kerberos 身份验证服务：此服务为客户端授予票证授予票证 (TGT)。

3. Kerberos 票证授予服务：此服务根据 TGT 对客户端进行身份验证。

身份验证后，用户将获得身份验证票证。客户端可以使用认证票证获取访问应用服务的票证。 

什么是 Kerberos：协议流概述

下面更详细地介绍了 Kerberos 身份验证的全部内容。我们还将通过将其分解为核心组件来了解它的工作原理。

以下是典型 Kerberos 工作流程中涉及的主要实体：

• 客户端：客户端代表用户并为服务请求发起通信

• 服务器：服务器托管用户要访问的服务

• 身份验证服务器 (AS)：AS 执行所需的客户端身份验证。如果身份验证成功，AS 会向客户端颁发一张名为 TGT（Ticket Granting Ticket）的票证。此票证向其他服务器保证客户端已通过身份验证

• 密钥分发中心 (KDC)：在 Kerberos 环境中，身份验证服务器在逻辑上分为三个部分：数据库 (db)、身份验证服务器 (AS) 和票证授予服务器 (TGS)。这三个部分依次存在于称为密钥分发中心的单个服务器中

• Ticket Granting Server (TGS)：TGS是一个应用服务器，将服务票作为服务发行

  
  

现在让我们分解协议流程。

首先，Kerberos 流程涉及三个关键密钥。客户端/用户、TGS 和与 AS 共享的服务器都有唯一的密钥。

• 客户端/用户：从用户密码派生的哈希值

• TGS 密钥：用于确定 TGS 的密码哈希

• 服务器密钥：用于确定提供服务的服务器的密码哈希。

协议流程包括以下步骤：

第 1 步：初始客户端身份验证请求。用户向身份验证服务器 (AS) 请求票证授予票证 (TGT)。此请求包括客户端 ID。

第 2 步：KDC 验证客户端的凭据。AS 检查数据库中的客户端和 TGS 的可用性。如果 AS 找到这两个值，它会使用用户的密码哈希生成一个客户端/用户密钥。

然后 AS 计算 TGS 密钥并创建一个由客户端/用户密钥加密的会话密钥 (SK1)。然后 AS 生成包含客户端 ID、客户端网络地址、时间戳、生命周期和 SK1 的 TGT。然后 TGS 密钥加密票证。

第三步：客户端解密消息。客户端使用客户端/用户密钥解密消息并提取 SK1 和 TGT，生成验证客户端 TGS 的身份验证器。

第四步：客户端使用TGT请求访问。客户端通过将提取的 TGT 和创建的验证器发送到 TGS 来向提供服务的服务器请求票证。

第 5 步：KDC 为文件服务器创建一个票证。然后 TGS 使用 TGS 密钥解密从客户端收到的 TGT 并提取 SK1。TGS 解密身份验证器并检查它是否与客户端 ID 和客户端网络地址相匹配。TGS 还使用提取的时间戳来确保 TGT 没有过期。

如果该过程成功执行所有检查，则 KDC 会生成一个在客户端和目标服务器之间共享的服务会话密钥 (SK2)。

最后，KDC 创建一个包含客户端 ID、客户端网络地址、时间戳和 SK2 的服务票证。然后使用从数据库获得的服务器密钥对该票证进行加密。客户端收到包含服务票证和 SK2 的消息，所有消息均使用 SK1 加密。

第六步：客户端使用文件票据进行认证。客户端使用 SK1 解密消息并提取 SK2。此过程生成一个包含客户端网络地址、客户端 ID 和时间戳的新身份验证器，使用 SK2 加密，并将它和服务票证发送到目标服务器。

第七步：目标服务器接收解密和鉴权。目标服务器使用服务器的密钥解密服务票据并提取 SK2。服务器使用 SK2 解密身份验证器，执行检查以确保来自身份验证器的客户端 ID 和客户端网络地址与服务票证相匹配。服务器还检查服务票证是否过期。

一旦满足检查条件，目标服务器就会向客户端发送一条消息，验证客户端和服务器是否已相互验证。用户现在可以参与安全会话。

Kerberos 身份验证协议如何工作？