ASP.NET : Kerberos网络认证过程

今天抽时间初略学习了一下kerberos网络认证过程,作为笔记整理如下,希望与大家分享。

一、Kerberos初步定义:

Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”。Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

Kerberos 服务是单点登录系统,这意味着您对于每个会话只需向服务进行一次自我验证,即可自动保护该会话过程中所有后续事务的安全。服务对您进行验证后,即无需在每次使用基于 Kerberos 的命令(如ftprsh)或访问 NFS 文件系统上数据时都进行自我验证。因此,无需在每次使用这些服务时都在网络上发送口令(口令在网络上可能会被拦截)。

 

二、Kerberos认证工作过程:

主要分要两大步骤,见图进行说明:

步骤一:申请并获取TGT,具体步骤如下
1.Client向KDC发送自己的身份信息(Info C)
2. KDC收到Client的身份信息后,从Ticket Granting Service得到TGT(ticket-granting ticket)
3. KDC用协议开始前产生的Client与KDC之间的密钥(Key A)将TGT加密回复给Client。
4. Client使用Key A把加密后的TGT解密得到非加密的TGT。由于此密钥是Client与KDC之间的密钥,所以此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT。(此过程避免了Client直接向KDC发送密码,以求通过验证的不安全方式)

步骤二: Client利用之前获得的TGT向KDC请求其他Service的Ticket,从而通过其他Service的身份鉴别。具体步骤如下:
5. Client将之前获得TGT和要请求的服务信息(Info CS )发送给KDC
6. KDC中的Ticket Granting Service将为Client和Service之间生成一个Session Key用于Service对Client的身份鉴别。
7. KDC将这个Session Key和用户名,用户地址(IP),服务名,有效期, 时间戳一起包装成一个Ticket--(Service Tictket) (这些信息最终用于Service对Client的身份鉴别)发送给Service, 不过Kerberos协议并没有直接将Ticket发送给Service,而是通过Client转发给Service.所以有了第8-11步。

8. 此时KDC将刚才的Ticket转发给Client。由于这个Ticket是要给Service的,不能让Client看到,所以KDC用协议开始前KDC与Service之间的密钥(Key C)将Ticket加密后再发送给Client。同时为了让Client和Service之间共享那个秘密(KDC在第一步为它们创建的Session Key), KDC用Client与它之间的密钥将Session Key加密随加密的Ticket一起返回给Client。也即是说:Client与Service之间的Session Key(Key B)发出了两个副本,一个是发给Client的,一个是发给Service的,发给Client的可由Client解密取出使用,但发给Service的由于是由Key C加密,经由Client转发给Service,所以,Client不能取出,到了Service端后可由Service端取出。
9. 为了完成Ticket的传递,Client将刚才收到的Service Ticket转发到Service. 由于Client不知道KDC与Service之间的密钥,所以它无法算改Ticket中的信息,只能老老实实地完成转发任务。
10.Client将收到的Session Key解密出来(用Key A解密)
11.Client将自己的用户名,用户地址(IP)打包成Authenticator用前面得到的Session Key(Key B)加密后也发送给Service。
12.Service 收到Ticket后利用它与KDC之间的密钥(Key C)将Ticket中的信息解密出来,从而获得Session Key和用户名,用户地址(IP),服务名,有效期。然后再用Session Key(Key B)将Authenticator解密从而获得用户名,用户地址(IP)将其与之前Ticket中解密出来的用户名,用户地址(IP)做比较从而验证Client的身份。
13.  如果Service有返回结果,将其返回给Client。

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/303978.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MIPS投RISC-V是龙芯新征程的开始

MIPS投RISC-V是龙芯新征程的开始

日前,外媒报道MIPS Technologies宣布将放弃继续设计MIPS处理器,转向了RISC-V。在MIPS加盟RISC-V阵营后,有人鼓吹龙芯要完,但事实上,这完全是不了解龙芯具体情况的臆测。特别是在龙芯开发自主指令集LoongArch之后&#…
阅读更多...
近期GitHub上最热门的开源项目(附链接)

近期GitHub上最热门的开源项目(附链接)

2 月份 GitHub 上最热门的开源项目又出炉了,又有哪些新的项目挤进热门榜单了呢,一起来看看。1、nocodehttps://github.com/kelseyhightower/nocode Star 16256这是 2 月份新出炉的项目,可以说是 2018 年最火的佛系编程了,这个项目…
阅读更多...
fb静态区域_fb 静态数据

fb静态区域_fb 静态数据

在STAT中定义静态变量,并在INITIAL VALUE中设定初始值,静态变量的初始值会自动存如对应的背景数据块中回答者: 天晴09 - 初级工程师&nbsp&nbsp第9级2008-09-10 17:01:08你可以在fb中定义的时候直接输入初始值,也可以在ob…
阅读更多...
9年没涨价,上太空……这些树莓派的冷知识你知道多少?

9年没涨价,上太空……这些树莓派的冷知识你知道多少?

作为最成功的微型计算机,开源的树莓派(Raspberry Pi)在技术圈和学术界一直广受编程爱好者的好评,各路大神基于树莓派制作的新奇设备层出不穷,围绕这款微型计算机已经形成了一种独特的 DIY 文化,相关的开源软…
阅读更多...
汇编语言入门教程

汇编语言入门教程

学习编程其实就是学高级语言,即那些为人类设计的计算机语言。但是,计算机不理解高级语言,必须通过编译器转成二进制代码,才能运行。学会高级语言,并不等于理解计算机实际的运行步骤。计算机真正能够理解的是低级语言&a…
阅读更多...
轻量易用的微信Sdk发布——Magicodes.Wx.Sdk

轻量易用的微信Sdk发布——Magicodes.Wx.Sdk

概述最简洁最易于使用的微信Sdk,包括公众号Sdk、小程序Sdk、企业微信Sdk等,以及Abp VNext集成。名称NugetMagicodes.Wx.PublicAccount.SdkMagicodes.Wx.PublicAccount.Sdk.AspNetMagicodes.Wx.PublicAccount.Sdk.Abp如何贡献?如何快速封装一个…
阅读更多...
数学界的高冷之王,N次拒绝巨额奖金:我穷,但是我不缺钱。。。

数学界的高冷之王,N次拒绝巨额奖金:我穷,但是我不缺钱。。。

在现实生活中,你和谁在一起的确很重要,甚至能改变你的成长轨迹,决定你的人生成败。是否还记得,当你跟学霸做同学的时候,你总会莫名其妙跟他一起撸题目;当宿舍其他兄弟正在打游戏的时候,你也想着…
阅读更多...
php-7.1.0,PHP 7.4.0 Alpha 1 v7.4.0 官方最新版

php-7.1.0,PHP 7.4.0 Alpha 1 v7.4.0 官方最新版

PHP团队近期宣布推出PHP 7.4.0首个版本PHP 7.4.0 Alpha 1,且下一个Alpha 2版本也在计划推出,不过作为早期测试版本,建议不要在生产环境中使用,想体验PHP最新运行逻辑的可以下载体验PHP 7.4.0 Alpha 1源码。基本简介PHP原始为Perso…
阅读更多...
算法分析的正确姿势

算法分析的正确姿势

一、前言在进一步学习数据结构与算法前,我们应该先掌握算法分析的一般方法。算法分析主要包括对算法的时空复杂度进行分析,但有些时候我们更关心算法的实际运行性能如何,此外,算法可视化是一项帮助我们理解算法实际执行过程的实用…
阅读更多...
浏览器缓存机制的研究分享

浏览器缓存机制的研究分享

源宝导读:互联网Web应用大行其道的今天,浏览器已经成为Web应用运行的重要平台。而Web应用对浏览器缓存机制的高效利用,可以大幅提升应用性能和用户体验。本文将对浏览器缓存机制进行系统化的梳理,分享我们的经验。一、背景计算机读…
阅读更多...
Windows2008应用之配置客户端自动添加打印机

Windows2008应用之配置客户端自动添加打印机

打印机对我们每一个人来说都是习以为常的东西了,给你一条远程打印机共享路径,你只要轻轻的双击想安装的打印机图标,等上个三五秒打印机就安装好,这台打印机就任你摆布了。但相对我们IT人员来说,全面的自动化将是我们的…
阅读更多...
现代CSS进化史

现代CSS进化史

英文:Peter Jang 编译:缪斯segmentfault.com/a/1190000013191860CSS一直被web开发者认为是最简单也是最难的一门奇葩语言。它的入门确实非常简单——你只需为元素定义好样式属性和值,看起来似乎需要做的工作也就这样嘛!然而在一些…
阅读更多...
一日一技:Ocelot网关使用IdentityServer4认证

一日一技:Ocelot网关使用IdentityServer4认证

概述Ocelot是一个用.NET Core实现的开源API网关技术。IdentityServer4是一个基于OpenID Connect和OAuth2.0的针对ASP.NET Core的框架,以中间件的形式存在。OAuth是一种授权机制。系统产生一个短期的token,用来代替密码,供第三方应用使用。下面…
阅读更多...
php windows共享内存,关于php的共享内存的使用和研究之由起

php windows共享内存,关于php的共享内存的使用和研究之由起

最近遇到一个场景,服务寻址的时候,需要请求远程的服务,获取一批可用的ip和端口地址及其权重。根据权重和随机算法选择最合适的一个服务地址,进行请求。由于服务地址在短时间之内不会发生变化,因此为了避免无限制的进行…
阅读更多...
联想继续为其硬件产品完善Linux支持

联想继续为其硬件产品完善Linux支持

喜欢就关注我们吧!此前,联想曾宣布为其台式机/笔记本电脑预装 Fedora/Ubuntu 等 Linux 发行版。并通过与 RedHat 等达成合作,为 Linux 带来了更多的上游工作支持。时至今日,据 Phoronix 称,自联想开始提供 Linux 预装以…
阅读更多...
Excel有哪些需要熟练掌握而很多人不会的技能!

Excel有哪些需要熟练掌握而很多人不会的技能!

看完这篇Excel攻略,你会感觉这么多年的excel都白学了!来自知乎用户“未央之末”的分享。从今年年初的excel盲,到现在经常从大拿那偷师,也算是成长了不少,慢慢写下来算是对学习excel做个短期回顾——1排版篇给他人发送e…
阅读更多...
如何在 ASP.NET Core 中使用 LazyCache

如何在 ASP.NET Core 中使用 LazyCache

微软的 ASP.NET Core 已经是一个非常流行的用于构建 高性能, 模块化 并能运行在 Windows, Linux, MacOS 上的 WEB 框架,通常能够让程序保持高性能的一个有效途径就是通过缓存热链上的数据来应对高频的请求。LazyCache 是一款基于内存的易于使用和线程安全的缓存组件…
阅读更多...
2018全球大学AI排名发布,中国高校表现强势!

2018全球大学AI排名发布,中国高校表现强势!

[导读] 近日,麻省理工学院马萨诸塞校区计算机与信息科学学院教授 Emery Berger 发布一个全球院校计算机科学领域实力排名的开源项目 CSranking 更新了。目前,卡耐基梅隆大学(CMU)、麻省理工学院(MIT)与斯坦…
阅读更多...
在C#中使用 CancellationToken 处理异步任务

在C#中使用 CancellationToken 处理异步任务

在 .NET Core 中使用异步编程已经很普遍了, 你在项目中随处可见 async 和 await,它简化了异步操作,允许开发人员,使用同步的方式编写异步代码,你会发现在大部分的异步方法中,都提供了CancellationToken参数…
阅读更多...
通过Python实现马尔科夫链蒙特卡罗方法的入门级应用

通过Python实现马尔科夫链蒙特卡罗方法的入门级应用

通过把马尔科夫链蒙特卡罗(MCMC)应用于一个具体问题,本文介绍了 Python 中 MCMC 的入门级应用。GitHub 地址:https://github.com/WillKoehrsen/ai-projects/blob/master/bayesian/bayesian_inference.ipynb过去几月中,…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023