在網絡空間中，用戶進行通信時，要將自己的信息轉換成數據，在網絡上傳輸給對方。最初是不加密直接傳輸的，但是對話信息容易被他人查看，所以就出現了加密模式。這種方式，一定程度上保護了通信安全，但一些“聰明”的hei客，仍能通過第三方攻ji的手段偷換密碼，以達到竊取信息的目的。

在企業中，大多信息都能產生價值。hei客為了獲得利益，不惜耗費巨大的精力研究密碼，竊取信息。企業急需一種能夠在更高程度上保護信息安全的通信方式。

Kerberos，作為一種網絡認證協議，憑借其更高的便利性和安全性，成為了各大企業規范內網通信的首選方案。

本篇文章，我們將為大家詳細介紹Kerberos協議的原理。

#Kerberos概述#

Kerberos作為第三方認證機構，在客戶端需要與服務端通信時，通過對通信雙方的認證，來保證通信安全。

如果用“一手交錢一手交貨“來比喻通信過程。我們可以這樣理解：客戶端把自己的錢(我是誰)交給另一方，另一方驗證真假后，把貨物交給客戶端(返回數據)。

但是在網絡世界中，交易雙方無法面對面交易，交易的“物品”也不是實物，如何確認交易對象的身份，保證信息沒有被篡改，是件困難的事。

Kerberos要做的就是解決這個問題：在發生交易前，確認交易雙方可信，并且制定交易規則。

確認身份過程，由交易雙方提供證件，即ID等信息，Kerberos根據數據庫記錄，檢查信息是否與記錄一致，以防止他人偽冒客戶端申請服務，或假冒服務端發送虛假信息。

交易規則主要包括交易期限、交易時間、交易密碼等，由Kerberos制定，并發送給通信雙方知曉。

其中，最重要的是交易密碼，也就是我們常說的通信密鑰，用來加密通信雙方的數據，可以理解為貨物上的“鎖”。通信密鑰與私鑰不同，通信密鑰加密的信息可以由通信雙方查看，而私玥加密的信息只能由該密鑰擁有者查看。

保證通信密鑰能準確無誤地分發給客戶端和服務端，并且不被其他人盜取，是Kerberos中至關重要的一步。

用戶在Kerberos環境下請求服務，共有三次通信，每次通信分別進行“用戶身份驗證“、“授權用戶訪問服務“和“請求響應服務”。

前兩次通信主要通過KDC(密鑰分發中心)來實現。KDC通常安裝在域控上，由AS和TGS兩部分組成。AS負責“用戶身份驗證”，TGS負責“授權用戶訪問服務”。

它們間的關系就像個連環扣，每一步都依賴于上一步的成功完成。第一步確定第二步的通信規則，第二步確定第三步的通信規則。接下來我們詳細說說這個環環相扣的過程。

【驗證用戶身份】

通信安全，首先要保證通信雙方都是可信的，所以進行身份驗證是必不可少的環節。

交錢：客戶端將自己的身份信息裝進Authenticator(用戶私鑰加密)發給AS，同時附上請求信息。

交貨：AS生成TGS Session Key(客戶端私鑰加密)，用于客戶端與TGS通信時加密數據。AS將第二階段的通信內容裝進TGT(TGS私鑰加密)，將它和TGS Session Key(客戶端私鑰加密)一起返回給客戶端。

交易規則：

AS接收到客戶端信息后，并不是立即接受交易，而是先在AD數據庫中查找是否有該用戶記錄。如果存在，則用該用戶的密碼HASH解密Authenticator，解密成功則允許交易。

也就是說AS只接受特定用戶的交易，如果請求用戶不在它的信任名單內，就會拒絕交易。這也是Kerberos維護域內安全的一種方式。

客戶端收到“貨物“后，發現兩件貨物都被”上了鎖“，TGS Session Key上的”鎖“可以用客戶端的密鑰解開。但是TGT上的鎖只能由TGS解開，客戶端無法打開也看不到里面的內容，只能直接轉交給TGS。

?

【授權客戶端訪問服務】

在拿到TGT后，客戶端就可以用它跟TGS做交易了。

交錢：客戶端同樣將包含自身信息的Authenticator(TGS Session Key加密)發給TGS，同時附上TGT。

交貨：TGS生成Service Session Key,用于客戶端與服務端通信時加密數據。再將第三階段的通信內容封裝進Ticket for Service(Service Secret Key加密)，將它和Service Session Key(TGS Session Key加密)一起發送給客戶端。

交易規則

TGS收到貨物后，發現這兩件貨物中，只有TGT上的鎖可以解開。但是解開后，在里面找到了一把鑰匙——TGS Session Key，這把鑰匙正好可以解開 Authenticator的鎖，于是它就得到了全部貨物中的信息。

進行身份驗證時，通過對比TGT和Authenticator中用戶信息就能判斷“發件人”是否可信。

TGS在對比完用戶信息后，還會檢查貨物中的其它信息來保證安全性，比如檢查時間戳判斷這批貨物是否過期，檢查TGS緩存查看是否客戶端已經申請過該服務……

同樣，客戶端收到TGS發來的貨物后，能夠用TGS Session Key解開Service Session Key，但無法打開Ticket for Service上的鎖，于是把Ticket for Service轉發給服務端。

【請求響應服務】

交錢：客戶端將Authenticator(Service Session Key加密)發送給服務端，同時附上Ticket For Service。

交貨：用Service Session Key加密數據，開始通信。

同TGS一樣，服務端收到Authenticator和Ticket后，用私鑰解密Ticket，獲得TGS封裝給它的信息。再用其中的Service Session Key解密Authentictor，獲得客戶端封裝給它的信息。

通過對比客戶端信息判斷用戶身份是否可信，再檢查時間戳、生命周期等保證會話安全性。

之后，客戶端和服務端就能愉快地進行通信啦！

由此可見，為了把通信密鑰安全地送到客戶端和服務端手里，Kerberos廢了多大的力，下面這張圖總結了kerberos協議在整個交易過程中所用到的密鑰。

#結語#

盡管Kerberos的認證模式已經能滿足大多數企業的安全需求了，但這樣就足夠了嗎？不是的，其中還存在很多威脅。AD域的攻ji行為，很多都與Kerberos相關，比如哈希傳遞、黃金票據、Kerberoast攻ji等。了解Kerberos協議的作用原理后，我們就可以針對各個階段特有的威脅采取針對性的防護措施，幫助我們選擇智能運營方案。

以上就是我們給大家介紹的Kerberos協議的全部內容，下一篇文章中，我們將繼續為大家介紹ntlm協議。

總結

以上是生活随笔為你收集整理的【安全科普】AD域安全协议（一）kerberos的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。