当前位置:   article > 正文

windows身份认证机制(kerberos)_windows kerberos

windows kerberos

        Windows系统身份认证机制有三种类型:本地、网络和域内认证。

        (1)本地认证:用户在设备本地登录windows,通过NTLM协议(NT LAN Manager,一种问询/应答身份验证协议),系统将用户输入的口令计算成NTLM hash,然后与SAM(Security Account Management)数据库中该用户的口令Hash值比对进行身份认证。

        (2)网络认证:用户在工作组环境下远程登录windows,通过随机数挑战/应答认证机制实现Net-NTLM Hash身份认证(NTLM Hash + 随机数)。

        (3)域内认证:登录到域内windows,采用Kerberos协议,此时必须要有可信的第三方作为KDC(Key Distribution Center)密钥分发中心。

        例如,windows 2000完全系统集成Kerberos V5、公钥证书和NTLM。

        Kerberos 是一种由 MIT提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。这里简要介绍其原理。具体使用可参考Kerberos Authentication Overview | Microsoft Learn

        如上示意图中,声称者和验证者之间不共享密钥,但是都和第三方信任节点(Kerberos认证服务器)之间共享密钥。

        在第一次交换中,声称者通过共享密钥从认证服务器获取到验证者的许可证票据(Ticket),他们之间的通信即通过之间的共享密钥保护。

        在第二次交换中,声称者将Ticket发送给验证者,Ticket用认证服务器和验证者之间的共享密钥保护,验证者从而能够解密/验证。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/522056
推荐阅读
相关标签
  

闽ICP备14008679号