在網(wǎng)絡(luò)空間中，用戶(hù)進(jìn)行通信時(shí)，要將自己的信息轉(zhuǎn)換成數(shù)據(jù)，在網(wǎng)絡(luò)上傳輸給對(duì)方。最初是不加密直接傳輸?shù)?，但是?duì)話信息容易被他人查看，所以就出現(xiàn)了加密模式。這種方式，一定程度上保護(hù)了通信安全，但一些“聰明”的黑客，仍能通過(guò)第三方攻擊的手段偷換密碼，以達(dá)到竊取信息的目的。

在企業(yè)中，大多信息都能產(chǎn)生價(jià)值。黑客為了獲得利益，不惜耗費(fèi)巨大的精力研究密碼，竊取信息。企業(yè)急需一種能夠在更高程度上保護(hù)信息安全的通信方式。

Kerberos，作為一種網(wǎng)絡(luò)認(rèn)證協(xié)議，憑借其更高的便利性和安全性，成為了各大企業(yè)規(guī)范內(nèi)網(wǎng)通信的首選方案。

本篇文章，我們將為大家詳細(xì)介紹Kerberos協(xié)議的原理。

?

#Kerberos概述#

Kerberos作為第三方認(rèn)證機(jī)構(gòu)，在客戶(hù)端需要與服務(wù)端通信時(shí)，通過(guò)對(duì)通信雙方的認(rèn)證，來(lái)保證通信安全。

如果用“一手交錢(qián)一手交貨“來(lái)比喻通信過(guò)程。我們可以這樣理解：客戶(hù)端把自己的錢(qián)（我是誰(shuí)）交給另一方，另一方驗(yàn)證真假后，把貨物交給客戶(hù)端（返回?cái)?shù)據(jù)）。

但是在網(wǎng)絡(luò)世界中，交易雙方無(wú)法面對(duì)面交易，交易的“物品”也不是實(shí)物，如何確認(rèn)交易對(duì)象的身份，保證信息沒(méi)有被篡改，是件困難的事。

Kerberos要做的就是解決這個(gè)問(wèn)題：在發(fā)生交易前，確認(rèn)交易雙方可信，并且制定交易規(guī)則。

確認(rèn)身份過(guò)程，由交易雙方提供證件，即ID等信息，Kerberos根據(jù)數(shù)據(jù)庫(kù)記錄，檢查信息是否與記錄一致，以防止他人偽冒客戶(hù)端申請(qǐng)服務(wù)，或假冒服務(wù)端發(fā)送虛假信息。

交易規(guī)則主要包括交易期限、交易時(shí)間、交易密碼等，由Kerberos制定，并發(fā)送給通信雙方知曉。

其中，最重要的是交易密碼，也就是我們常說(shuō)的通信密鑰，用來(lái)加密通信雙方的數(shù)據(jù)，可以理解為貨物上的“鎖”。通信密鑰與私鑰不同，通信密鑰加密的信息可以由通信雙方查看，而私玥加密的信息只能由該密鑰擁有者查看。

保證通信密鑰能準(zhǔn)確無(wú)誤地分發(fā)給客戶(hù)端和服務(wù)端，并且不被其他人盜取，是Kerberos中至關(guān)重要的一步。

用戶(hù)在Kerberos環(huán)境下請(qǐng)求服務(wù)，共有三次通信，每次通信分別進(jìn)行“用戶(hù)身份驗(yàn)證“、“授權(quán)用戶(hù)訪問(wèn)服務(wù)“和“請(qǐng)求響應(yīng)服務(wù)”。

前兩次通信主要通過(guò)KDC（密鑰分發(fā)中心）來(lái)實(shí)現(xiàn)。KDC通常安裝在域控上，由AS和TGS兩部分組成。AS負(fù)責(zé)“用戶(hù)身份驗(yàn)證”，TGS負(fù)責(zé)“授權(quán)用戶(hù)訪問(wèn)服務(wù)”。

它們間的關(guān)系就像個(gè)連環(huán)扣，每一步都依賴(lài)于上一步的成功完成。第一步確定第二步的通信規(guī)則，第二步確定第三步的通信規(guī)則。接下來(lái)我們?cè)敿?xì)說(shuō)說(shuō)這個(gè)環(huán)環(huán)相扣的過(guò)程。

【驗(yàn)證用戶(hù)身份】

通信安全，首先要保證通信雙方都是可信的，所以進(jìn)行身份驗(yàn)證是必不可少的環(huán)節(jié)。

1. 交錢(qián)：客戶(hù)端將自己的身份信息裝進(jìn)Authenticator（用戶(hù)私鑰加密）發(fā)給AS，同時(shí)附上請(qǐng)求信息。

2. 交貨：AS生成TGS Session Key（客戶(hù)端私鑰加密），用于客戶(hù)端與TGS通信時(shí)加密數(shù)據(jù)。AS將第二階段的通信內(nèi)容裝進(jìn)TGT（TGS私鑰加密），將它和TGS Session Key（客戶(hù)端私鑰加密）一起返回給客戶(hù)端。

1. 交易規(guī)則：

AS接收到客戶(hù)端信息后，并不是立即接受交易，而是先在AD數(shù)據(jù)庫(kù)中查找是否有該用戶(hù)記錄。如果存在，則用該用戶(hù)的密碼HASH解密Authenticator，解密成功則允許交易。

也就是說(shuō)AS只接受特定用戶(hù)的交易，如果請(qǐng)求用戶(hù)不在它的信任名單內(nèi)，就會(huì)拒絕交易。這也是Kerberos維護(hù)域內(nèi)安全的一種方式。

客戶(hù)端收到“貨物“后，發(fā)現(xiàn)兩件貨物都被”上了鎖“，TGS Session Key上的”鎖“可以用客戶(hù)端的密鑰解開(kāi)。但是TGT上的鎖只能由TGS解開(kāi)，客戶(hù)端無(wú)法打開(kāi)也看不到里面的內(nèi)容，只能直接轉(zhuǎn)交給TGS。

?

【授權(quán)客戶(hù)端訪問(wèn)服務(wù)】

在拿到TGT后，客戶(hù)端就可以用它跟TGS做交易了。

1. 交錢(qián)：客戶(hù)端同樣將包含自身信息的Authenticator（TGS Session Key加密）發(fā)給TGS，同時(shí)附上TGT。

2. 交貨：TGS生成Service Session Key,用于客戶(hù)端與服務(wù)端通信時(shí)加密數(shù)據(jù)。再將第三階段的通信內(nèi)容封裝進(jìn)Ticket for Service（Service Secret Key加密），將它和Service Session Key（TGS Session Key加密）一起發(fā)送給客戶(hù)端。

1. 交易規(guī)則

TGS收到貨物后，發(fā)現(xiàn)這兩件貨物中，只有TGT上的鎖可以解開(kāi)。但是解開(kāi)后，在里面找到了一把鑰匙——TGS Session Key，這把鑰匙正好可以解開(kāi) Authenticator的鎖，于是它就得到了全部貨物中的信息。

進(jìn)行身份驗(yàn)證時(shí)，通過(guò)對(duì)比TGT和Authenticator中用戶(hù)信息就能判斷“發(fā)件人”是否可信。

TGS在對(duì)比完用戶(hù)信息后，還會(huì)檢查貨物中的其它信息來(lái)保證安全性，比如檢查時(shí)間戳判斷這批貨物是否過(guò)期，檢查T(mén)GS緩存查看是否客戶(hù)端已經(jīng)申請(qǐng)過(guò)該服務(wù)……

同樣，客戶(hù)端收到TGS發(fā)來(lái)的貨物后，能夠用TGS Session Key解開(kāi)Service Session Key，但無(wú)法打開(kāi)Ticket for Service上的鎖，于是把Ticket for Service轉(zhuǎn)發(fā)給服務(wù)端。

?

【請(qǐng)求響應(yīng)服務(wù)】

1. 交錢(qián)：客戶(hù)端將Authenticator（Service Session Key加密）發(fā)送給服務(wù)端，同時(shí)附上Ticket For Service。

2. 交貨：用Service Session Key加密數(shù)據(jù)，開(kāi)始通信。

同TGS一樣，服務(wù)端收到Authenticator和Ticket后，用私鑰解密Ticket，獲得TGS封裝給它的信息。再用其中的Service Session Key解密Authentictor，獲得客戶(hù)端封裝給它的信息。

通過(guò)對(duì)比客戶(hù)端信息判斷用戶(hù)身份是否可信，再檢查時(shí)間戳、生命周期等保證會(huì)話安全性。

之后，客戶(hù)端和服務(wù)端就能愉快地進(jìn)行通信啦！

由此可見(jiàn)，為了把通信密鑰安全地送到客戶(hù)端和服務(wù)端手里，Kerberos廢了多大的力，下面這張圖總結(jié)了kerberos協(xié)議在整個(gè)交易過(guò)程中所用到的密鑰。

#結(jié)語(yǔ)#

盡管Kerberos的認(rèn)證模式已經(jīng)能滿(mǎn)足大多數(shù)企業(yè)的安全需求了，但這樣就足夠了嗎？不是的，其中還存在很多威脅。AD域的攻擊行為，很多都與Kerberos相關(guān)，比如哈希傳遞、黃金票據(jù)、Kerberoast攻擊等。了解Kerberos協(xié)議的作用原理后，我們就可以針對(duì)各個(gè)階段特有的威脅采取針對(duì)性的防護(hù)措施，幫助我們選擇智能運(yùn)營(yíng)方案。

以上就是我們給大家介紹的Kerberos協(xié)議的全部?jī)?nèi)容，下一篇文章中，我們將繼續(xù)為大家介紹ntlm協(xié)議。