NTLM认证协议及SSPI的NTLM实现.docVIP

NTLM认证协议及SSPI的NTLM实现 没错，NTLM就是你听说过的那个NTLM。是微软应用最广泛的认证协议之一。 NTLM是NT LAN Manager的缩写，这也说明了协议的来源。NTLM 是 Windows NT 早期版本的标准安全协议。Windows 2000内置三种基本安全协议之一。 NTLM适用范围非常广，既可用于域内的认证服务， 也可用于没有AD的环境，让两台独立电脑相互认证。? 你可能每天都用到它而不自知，你也肯可能觉得你很熟悉它了，但是这里可能还有你所不知道的背后的秘密。? 比如，你可能知道NTLM可以认证用户身份，但是你可能不知道NTLM可以提供会话安全服务（NTLM Session security）。 作为一个开始，我们先来介绍几个基础概念， 概念清楚了，然后再看技术细节。? 1， 什么是认证。 认证就是承认和证明的意思。 就是你能证明你的身份。 比如你要访问一个受保护的资源，服务器需要认证你的身份。 你可以声称你是系统管理员， 但是怎么证明你就是管理员呢。 方法很多，这里有个简单直接的方法就是证明你知道管理员的密码。 ??? 认证的问题转化为： “怎么证明你知道你所声称的用户的密码？”这个问题了。? 一个简单暴力的证明方法是，让你直接提供密码给服务器，然后服务器去数据库里面比对，看你提供的密码对不对。如果对，认证通过。否则失败。 常见的所谓Windows Forms认证，或者叫做windows basic 认证就是这种方式。 简单直接。 但是密码需要在网络上传输，安全问题就不说了，你懂的。 ?怎样在不直接提供密码的情况下，间接证明你知道密码呢？? NTLM就是干这个的了。? 看起来很神奇，不是吗。? 比如对面有两个人互相说话（通信）， 说的都是明文，每一句你都能听懂。他们并没有说自己的密码就相互认证身份了，你听了半天，却不知道密码是什么。? 更神奇的是， 他们认证之后，再说的话你可能就听不懂了（NTLM Session security，会话安全）。 （如果他们协商会话安全之后，后续的通信都是安全加密的。）?? 2. 什么是NTLM 认证。 前面已经说过了， NTLM是一种在不直接提供密码的情况下，间接证明客户端知道用户密码的方法。? NTLM认证最常见的应用场景恐怕就是用在浏览器（http协议）上的认证了。 但是实际上，NTLM 只规定了认证的流程，和认证消息格式。 并不跟具体的协议相关。 所以跟http就更没有必然联系了。 浏览器只是在http协议头上携带了NTLM的消息而已，通过了认证。 我们知道http通常是明文的，所以如果直接传输密码非常不安全，NTLM就有效的防止了这个问题。??? 怎么理解这个问题呢，举个夸张点的例子，? 如果不嫌烦，客户端和服务端甚至可以通过传递小纸条的方式传递NTLM消息，来认证身份。 而纸条的内容是明文的， 中间传递者都可以随意查看，但是却无法知道密码，也无法伪造。? 现在可以开始技术细节了， 我们还是采取由大及小的方式。 先从整体介绍，再逐步深入。? 1. NTLM 的 认证消息，及认证流程。 前面说过了，NTLM消息并不和任何传输协议绑定， 它的认证消息理论上可以通过任何方式传递，所以我们的讨论都集中在协议本身，而不去关心下层的传输方式。 我们先看一个图： NTLM认证共需要三个消息完成： (1).? Type1 消息。 Negotiate 协商消息。 客户端在发起认证时，首先向服务器发送协商消息。 协商需要认证的主体，用户，机器以及需要使用的安全服务等等信息。 并通知服务器自己支持的协议内容，加密等级等等。? (2). Type2 消息。 Challenge 挑战消息。 服务器在收到客户端的协商消息之后， 会读取其中的内容，并从中选择出自己所能接受的服务内容，加密等级，安全服务等等。 并生成一个随机数challenge, 然后生成challenge消息返回给客户端。? (3). Type3 消息。 Authenticate认证消息。 客户端在收到服务端发回的Challenge消息之后， 读取熬服务端所支持的内容，和随机数challenge。? 决定服务端所支持的内容是否满足自己的要求。 如果满足，则使用自己的密码以及服务器的随机数challenge通过复杂的运算，期间可能需要自己生成一个客户端随机数client challenge也加入运算， 并最终生成一个认证消息。并发回给服务器。?? (4). 服务器在收到 Type3的消息之后， 回经过几乎同样的运算，并比较自己计算出的认证消息和服务端发回来的认证消息是否匹配。如果匹配，则证明客户端掌握了正确的密码，认证成功。 允许客户端使用后续服务。? 如果不匹配，则认证失败。? 2. NTLM 认证消息的结构.