通俗易懂之

ntml简介NTLM（Windows NT LAN Manager）是微软开发的一种身份验证协议，用于在Windows操作系统的网络环境中进行身份验证和授权。它最初是为LAN（局域网）设计的，但在后来的Windows版本中也支持Internet和其他网络环境。

NTLM协议通常用于Windows系统中的单点登录（SSO）和网络访问控制，远程桌面管理，文件共享和打印服务。它涉及到客户端、服务器和域控制器之间的互相通信，并使用密码散列等技术来保护密码和其他敏感信息。

NTLM协议有三个版本：NTLMv1、NTLMv2和NTLMv2 with Session Security。NTLMv1是最早的版本，已经被认为是不安全的，因为它容易受到中间人攻击和密码哈希攻击。NTLMv2是NTLM的改进版本，它提供更强的安全性和更好的密码哈希算法，但仍存在一些安全漏洞。NTLMv2 with Session Security是最新的版本，它是在NTLMv2基础上增加了会话安全性的特性，提供了更高的安全性和保护。

虽然NTLM协议在Windows系统中被广泛使用，但由于安全性问题，它逐渐被Kerberos协议所取代，后者也是微软开发的一种身份验证协议，提供更高的安全性和更好的互操作性。

kerberos简介介绍：Kerberos是一种网络认证协议，旨在提供安全的身份验证和授权。它最初是由麻省理工学院开发的，现在被广泛应用于各种计算机系统和应用程序中。

Kerberos协议主要涉及三个实体：客户端、服务器和认证服务器（AS）或票据授权服务器（TGS）。

工作流程： 请求TGT -> 请求服务票据 -> 建立会话

1：认证阶段：

当客户端要求访问某个服务器时，它会向认证服务器(AS)发送一个请求，请求一个叫做票据授权票据（TGT）的凭证。TGT包含客户端的身份信息和会话密钥，它在加密的情况下发送到客户端。

2：授权阶段：

客户端使用TGT向票据授权服务器(TGS)发送一个请求，请求访问特定的服务器。票据授权服务器检查TGT，如果客户端有权访问该服务器，则它会生成一个叫做服务票据（Service Ticket）的凭证，其中包含有关客户端身份的信息，以及为访问该服务器所需的会话密钥。服务票据在加密的情况下发送到客户端。

3：会话阶段：

客户端向服务器发送服务票据。服务器检查该票据，并在成功验证后向客户端发送一个叫做服务票据回复（Service Ticket Response）的凭证，其中包含有关服务器身份的信息，以及客户端和服务器之间通信所需的会话密钥。

Kerberos协议提供了许多安全功能，包括以下几点：

1认证：Kerberos协议可确保客户端和服务器之间的身份验证，确保只有受信任的用户才能访问受保护的资源。

2机密性：Kerberos协议使用加密技术，可保护敏感信息，如密码、票据和会话密钥，免受窃听和篡改。

3完整性：Kerberos协议提供了完整性保护，确保通信内容没有被篡改或破坏。

黄金票据（TGT，Ticket Granting Ticket）是Kerberos协议中最重要的票据之一，用于身份验证和访问授权。在Kerberos协议的第一步认证阶段中，客户端向认证服务器请求一个黄金票据，用于后续的服务访问。黄金票据包含客户端的身份信息和会话密钥，是客户端与Kerberos服务器之间的双向认证凭据。

白银票据（Service Ticket）则是一种短期票据，它是由Kerberos服务器向客户端发放的，用于客户端与受保护的服务进行通信。在Kerberos协议的第二步授权阶段中，客户端使用黄金票据向票据授权服务器请求访问特定服务的授权。票据授权服务器使用客户端的黄金票据来生成一个白银票据，其中包含有关客户端身份的信息，以及为访问该服务器所需的会话密钥。客户端向目标服务器发送白银票据，目标服务器验证票据并为客户端提供所请求的服务。

ntml和kerberos对比NTLM（Windows NT LAN Manager）和Kerberos都是微软开发的一种身份验证协议，用于在Windows系统中进行身份验证和授权，但它们在设计、安全性和性能等方面有所不同。

以下是NTLM和Kerberos的对比：

1设计：NTLM是一种基于密码哈希的身份验证协议，而Kerberos则使用票据（ticket）和密钥来实现身份验证和授权。Kerberos是一种网络认证协议，旨在提供安全的单点登录（SSO）和保护网络中的通信安全。

2安全性：NTLM协议的早期版本存在一些安全漏洞，如容易受到中间人攻击和密码哈希攻击等。而Kerberos提供了更高的安全性，包括票据有效期、票据加密、服务器身份验证、防止重放攻击等。

3性能：NTLM协议通常比Kerberos协议更快，因为它使用较少的加密操作和通信轮次。

4互操作性：Kerberos是一种开放的身份验证协议，可在不同操作系统和应用程序之间进行交互，而NTLM协议通常只能在Windows系统中使用。Kerberos也是许多大型组织中的首选身份验证协议，因为它可以与多个域和操作系统集成。

总的来说，虽然NTLM协议在Windows系统中被广泛使用，但由于安全性问题和互操作性限制，它逐渐被Kerberos协议所取代，后者提供更高的安全性和更好的互操作性。