返回
Windows域认证简介.doc

Windows域认证简介.doc

ID:49533340

大小:234.50 KB

页数:6页

时间:2020-03-02

Windows域认证简介.doc_第1页
Windows域认证简介.doc_第2页
Windows域认证简介.doc_第3页
Windows域认证简介.doc_第4页
Windows域认证简介.doc_第5页
资源描述:

《Windows域认证简介.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Windows域认证简介1.Kerberos认证Windows认证协议有两种NTLM(NTLANManager)和Kerberos,前者主要应用于用于WindowsNT和Windows2000Server(orLater)工作组环境,而后者则主要应用于Windows2000Server(orLater)域(Domain)环境。Kerberos较之NTLM更高效、更安全,同时认证过程也相对复杂。Kerberos这个名字来源于希腊神话,是冥界守护神兽的名字。Kerberos是一个三头怪兽,之所以用它来命名一种完全认证协议,是因为整个认证过程涉及到三方:客户端、服务端

2、和KDC(KeyDistributionCenter)。在Windows域环境中,KDC的角色由DC(DomainController)来担当。Kerberos实际上是一种基于票据(Ticket)的认证方式。客户端要访问服务器的资源,需要首先购买服务端认可的票据。也就是说,客户端在访问服务器之前需要预先买好票,等待服务验票之后才能入场。在这之前,客户端需要先买票,但是这张票不能直接购买,需要一张认购权证。客户端在买票之前需要预先获得一张认购权证。这张认购权证和进入服务器的入场券均有KDC发售。l步骤一、二,如何获得“认购权证”首先,我们来看看客户端如何获得“认购

3、权证”。这里的认购权证有个专有的名称——TGT(TicketGrantingTicket),而TGT的是KDC一个重要的服务——认证服务(KAS:KerberosAuthenticationService)。当某个用户通过输入域帐号和密码试图登录某台主机的时候,本机的Kerberos服务会向KDC的认证服务发送一个认证请求。该请求主要包括两部分内容,明文形式的用户名和经过加密的用于证明访问者身份的Authenticator(Authenticator在这里可以理解为仅限于验证双方预先知晓的内容,相当于联络暗号)。当KDC接收到请求之后,通过AD获取该用户的信息。

4、通过获取的密码信息生成一个秘钥对Authenticator进行解密。如果解密后的内容和已知的内容一致,则证明请求着提供的密码正确,即确定了登录者的真实身份。KAS成功认证对方的身份之后,会先生成一个用于确保该用户和KDC之间通信安全的会话秘钥——LogonSessionKey,并采用该用户密码派生的秘钥进行加密。KAS接着为该用户创建“认购权证”——TGT。TGT主要包含两方面的内容:用户相关信息和LogonSessionKey,而整个TGT则通过KDC自己的密钥进行加密。最终,被不同密钥加密的LogonSessionKey和TGT返回给客户端。l步骤三、四,如

5、何通过“认购权证”购买“入场券”?经过上面的步骤,客户端获取了购买进入同域中其他主机入场券的“认购凭证”——TGT,以及LogonSessionKey,它会在本地缓存此TGT和LogonSessionKey。如果现在它需要访问某台服务器的资源,它就需要凭借这张TGT向KDC购买相应的入场券。这里的入场券也有一个专有的名称——服务票据(ST:ServiceTicket)。具体来说,ST是通过KDC的另一个服务TGS(TicketGrantingService)出售的。客户端先向TGS发送一个ST购买请求,该请求主要包含如下的内容:客户端用户名;通过LogonSes

6、sionKey加密的Authenticator;TGT和访问的服务器(其实是服务)名。TGS接收到请求之后,现通过自己的密钥解密TGT并获取LogonSessionKey,然后通过LogonSessionKey解密Authenticator,进而验证了对方的真实身份。TGS存在的一个根本的目有两点:其一是避免让用户的密码客户端和KDC之间频繁传输而被窃取。其二是因为密码属于LongTermKey(我们一般不会频繁的更新自己的密码),让它作为加密密钥的安全系数肯定小于一个频繁变换得密钥(ShortTermKey)。而这个ShortTermKey就是LogonSes

7、sionKey,它确保了客户端和KDC之间的通信安全。TGS完成对客户端的认证之后,会生成一个用于确保客户端-服务器之间通信安全的会话秘钥——ServiceSessionKey,该会话秘钥通过LogonSessionKey进行加密。然后出售给客户端需要的入场券——ST。ST主要包含两方面的内容:客户端用户信息和ServiceSessionKey,整个ST通过服务器密码派生的秘钥进行加密。最终两个被加密的ServiceSessionKey和ST回复给客户端。l步骤五、六,凭票入场客户端接收到TGS回复后,通过缓存的LogonSessionKey解密获取Servic

8、eSessionKey。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。