[发明专利]一种Kerberos认证中防止票据攻击的方法和系统

权利要求书

1.一种Kerberos认证中防止票据攻击的方法，其特征在于：

KDC下发票据时，记录申请票据的客户端特征和KDC下发的票据特征，其中，票据包括TGT和ST；

获取报文中的客户端特征和票据特征，查询客户端对应的票据特征是否与KDC下发票据特征的一致，根据查询结果判断攻击的类型，或进行相应转发。

2.根据权利要求1所述的Kerberos认证中防止票据攻击的方法，其特征在于，所述记录申请票据的客户端特征和KDC下发的票据特征，具体包括：

对于TGT，客户端特征包括Kerberos域和Kerberos Client标识，票据特征为KerberosClient从KDC获取到的TGT；

对于ST，客户端特征包括Kerberos域和Kerberos Client需要访问的ApplicationServer的标识，票据特征为Kerberos Client从KDC申请到的访问Application Server所需要的ST。

3.根据权利要求1所述的Kerberos认证中防止票据攻击的方法，其特征在于，所述记录申请票据的客户端特征和KDC下发的票据特征，还包括：

对于TGT，记录已使用KDC的主密钥进行加密的票据特征；

对于ST，记录已使用Application Server的主密钥进行加密的票据特征。

4.根据权利要求1所述的Kerberos认证中防止票据攻击的方法，其特征在于，所述记录申请标票据的客户端特征和KDC下发的票据特征，还包括：

当客户端第一次申请票据时，在记录中添加客户端特征和KDC下发的票据特征；

当客户端非第一次申请票据时，使用本次KDC下发的票据特征更新客户端特征对应的票据特征。

5.根据权利要求4所述的Kerberos认证中防止票据攻击的方法，其特征在于，还包括：

解析报文中的客户端特征，查询记录中是否包含对应的客户端特征，当记录中未包含报文中的客户端特征时，表明该客户端第一次申请票据。

6.根据权利要求1所述的Kerberos认证中防止票据攻击的方法，其特征在于，所述查询客户端对应的票据特征是否与KDC下发票据特征的一致，具体包括：

解析报文中的客户端特征和票据特征，查询记录中相同客户端特征所对应的票据特征，将报文中的票据特征与查询到的票据特征进行比较，判断是否一致。

7.根据权利要求1所述的Kerberos认证中防止票据攻击的方法，其特征在于，所述根据查询结果判断攻击的类型，具体包括：

当报文中的TGT和记录中的TGT不一致时，表明该报文存在黄金票据攻击嫌疑；

当报文中的ST和记录中的ST不一致时，表明该报文存在白银票据攻击嫌疑。

8.一种Kerberos认证中防止票据攻击的系统，其特征在于，包括客户端、第一检测设备、第二检测设备、KDC和应用服务器，具体的：

客户端通过第一检测设备与IP网络连接，应用服务器通过第二检测设备与IP网络连接，KDC与IP网络连接；

第一检测设备根据权利要求1-7中任一项提供的Kerberos认证中防止票据攻击的方法对客户端和IP网络之间交互的报文进行处理，防止由客户端发起的票据攻击；

第二检测设备接收根据权利要求1-7中任一项提供的Kerberos认证中防止票据攻击的方法对服务端和IP网络之间交互的报文进行处理，防止由服务端发起的票据攻击。