Windows系统身份认证机制有三种类型:本地、网络和域内认证。
(1)本地认证:用户在设备本地登录windows,通过NTLM协议(NT LAN Manager,一种问询/应答身份验证协议),系统将用户输入的口令计算成NTLM hash,然后与SAM(Security Account Management)数据库中该用户的口令Hash值比对进行身份认证。
(2)网络认证:用户在工作组环境下远程登录windows,通过随机数挑战/应答认证机制实现Net-NTLM Hash身份认证(NTLM Hash + 随机数)。
(3)域内认证:登录到域内windows,采用Kerberos协议,此时必须要有可信的第三方作为KDC(Key Distribution Center)密钥分发中心。
例如,windows 2000完全系统集成Kerberos V5、公钥证书和NTLM。
Kerberos 是一种由 MIT提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。这里简要介绍其原理。具体使用可参考Kerberos Authentication Overview | Microsoft Learn
如上示意图中,声称者和验证者之间不共享密钥,但是都和第三方信任节点(Kerberos认证服务器)之间共享密钥。
在第一次交换中,声称者通过共享密钥从认证服务器获取到验证者的许可证票据(Ticket),他们之间的通信即通过之间的共享密钥保护。
在第二次交换中,声称者将Ticket发送给验证者,Ticket用认证服务器和验证者之间的共享密钥保护,验证者从而能够解密/验证。