Co je Kerberos?

Kerberos je ověřovací protokol počítačové sítě. Je navržen na MIT, aby umožnil síťovým prostředkům bezpečným způsobem. V tomto článku se podíváme na diskutovaný koncept Kerberos a jeho práci pomocí příkladu.

Jak Kerberos funguje?

Kerberos pracuje ve třech krocích. Nyní pojďme diskutovat o těchto třech krocích jeden po druhém.

Krok 1:

Přihlásit se

Klient zadá své jméno na libovolné pracovní stanici. Poté pracovní stanice odešle jméno na ověřovací server ve formátu prostého textu.
Jako odpověď provádí ověřovací server nějakou akci. Nejprve vytvoří balíček uživatelského jména, tj. Klienta a vygeneruje klíč relace. Šifruje tento balíček symetrickým klíčem, který ověřovací server sdílí se serverem Ticket Granting Server (TGS). Výstupem tohoto procesu je tzv. Ticket Granting Ticket (TGT). Poté autentizační server kombinuje klíč TGT a klíč relace a šifruje je společně pomocí symetrického klíče, který je odvozen od hesla klienta.

Poznámka: TGT lze otevřít pouze pomocí TGS a konečný výstup může otevřít pouze klient.

Po přijetí této zprávy požádá pracovní stanice uživatele o heslo. Když uživatel nebo klient zadá své heslo, pracovní stanice vygeneruje symetrický klíč odvozený od hesla ověřovacího serveru. Tento klíč se používá k extrahování klíče relace a TGT. Poté pracovní stanice zničí heslo klienta z jeho paměti, aby se zabránilo útoku.
Poznámka: Uživatelé nemohou otevřít lístek pro udělování vstupenek.

Krok 2:

Získání služby poskytující lístek.

Předpokládejme, že po úspěšném přihlášení chce uživatel komunikovat s ostatními uživateli prostřednictvím poštovního serveru. Pro tohoto klienta informuje jeho pracovní stanici, že chce kontaktovat jiného uživatele X. Takže klient potřebuje lístek, aby mohl komunikovat s X. V tomto okamžiku klientská pracovní stanice vytvoří zprávu určenou pro server udělující vstupenky, který obsahuje níže uvedené položky -
• Vstupenka na udělení vstupenky
• id X, o jehož služby se klienti zajímají.
• Aktuální časové razítko by mělo být šifrováno stejným klíčem relace.

Udělení vstupenek, lístek je šifrován pouze tajným klíčem serveru poskytujícího lístek, a proto může lístek udělující lístek otevřít pouze server udělující lístek. Z tohoto důvodu server udělující lístek věří, že zpráva pochází od skutečně klienta. Ticket udělující lístek a klíč relace byl šifrován serverem autentizace relace.

Autentizační server ho šifruje pomocí tajného klíče, který je odvozen od hesla klienta. Z tohoto důvodu může jediný klient otevřít balíček a získat lístek udělující lístek
Jakmile je server udělující lístek spokojen s údaji zadanými klientem, vytvoří lístek udělující lístek klíč relace KAB pro klienta, aby provedl zabezpečenou komunikaci s X. Server pro udělování vstupenek jej odesílá dvakrát klientovi - poprvé se odesílá, když se kombinuje s ID X a šifrovaným klíčem relace, podruhé odešle v kombinaci s ID klienta a šifrovaným tajným klíčem KB KB.

V takovém případě se útočník může pokusit získat první zprávu odeslanou klientem a může se pokusit o odpověď. To by však selhalo, protože klientská zpráva obsahuje šifrované časové razítko a útočník nemůže nahradit časové razítko, protože nemá klíč relace.

Krok 3:

Uživatelské kontakty X pro přístup na server.

Klient odešle KAB do X, aby vytvořil relaci s X. Pro bezpečnou komunikaci může klient předat KAB zašifrovaný tajným klíčem X do X. X má přístup ke KAB. Aby klient ochránil před útokem odpovědi, pošle X časové razítko, které je zašifrováno pomocí KAB.

X používá svůj tajný klíč k získání informací, z této informace používá KAB k dešifrování hodnoty razítka. Potom X přidá hodnotu 1 do hodnoty časové značky a zašifruje ji pomocí KAB a odešle ji klientovi. Klient pak otevře paket a ověří známku zvýšenou o X. Od tohoto procesu klient zajistí, že X přijme stejný KAB, který je odeslán klientem.

Nyní klient a X mohou spolu bezpečně komunikovat. Oba používají sdílený tajný klíč KAB, který šifruje data v době odeslání a dešifruje zprávu pomocí stejného klíče. Předpokládejme, že klient může chtít komunikovat s jiným serverem Y, v tomto případě klient pouze n3d, aby získal další tajný klíč ze serveru udělování vstupenek. Po získání tajného klíče může komunikovat s Y podobně, jak jsme diskutovali v případě X. Pokud klient může znovu komunikovat s X, může použít stejný předchozí klíč, není třeba pokaždé generovat lístek. Pouze poprvé potřebuje lístek získat.

Výhody a nevýhody Kerberos

Níže jsou uvedeny výhody a nevýhody:

Výhody Kerberosu

  1. V Kerberos jsou klienti a služby vzájemně autentizováni.
  2. Je podporován různými operačními systémy.
  3. Vstupenky v Kerberosu mají omezenou dobu. Také v případě odcizení vstupenky je obtížné znovu použít lístek kvůli silným potřebám ověření.
  4. Hesla se nikdy neposílají po síti nešifrovaná.
  5. V Kerberosu jsou sdíleny tajné klíče, které jsou efektivnější než sdílení veřejných klíčů.

Nevýhody Kerberosu

  1. Je citlivé na slabá nebo opakovaná hesla.
  2. Poskytuje autentizaci pouze pro služby a klienty.

Závěr

V tomto článku jsme viděli, co je Kerberos, jak to funguje spolu s jeho výhodami a nevýhodami. Doufám, že vám tento článek pomůže.

Doporučené články

Toto je průvodce Kerberosem. Zde diskutujeme o tom, co je Kerberos, jak Kerberos funguje a jaké jsou jeho výhody a nevýhody. Další informace naleznete také v dalších navrhovaných článcích -

  1. Druhy webhostingu
  2. Co je webová aplikace?
  3. Co je Star Schema?
  4. Pole v programování Java

Kategorie:

Vývoj softwaru