Čo je liek Kerberos?

Kerberos je protokol autentifikácie počítačovej siete. Je navrhnutý na MIT, aby umožnil sieťové zdroje bezpečným spôsobom. V tomto článku sa pozrieme na diskutovaný koncept Kerberos a jeho prácu pomocou príkladu.

Akým spôsobom liek Kerberos účinkuje?

Kerberos pracuje v troch krokoch. Teraz diskutujme o týchto troch krokoch jeden po druhom.

Krok 1:

Prihlásiť sa

Klient zadáva svoje meno na ľubovoľnej pracovnej stanici. Potom pracovná stanica pošle meno na autentifikačný server vo formáte obyčajného textu.
V odpovedi vykoná autentifikačný server nejakú akciu. Najskôr vytvorí balík užívateľského mena, tj klienta a vygeneruje kľúč relácie. Tento balík šifruje symetrickým kľúčom, ktorý autentifikačný server zdieľa so serverom Ticket Granting Server (TGS). Výstupom tohto procesu je tzv. Ticket Grant Ticket (TGT). Potom autentifikačný server kombinuje TGT a kľúč relácie a šifruje ich spolu pomocou symetrického kľúča, ktorý je odvodený z hesla klienta.

Poznámka: TGT je možné otvoriť iba pomocou TGS a konečný výstup môže otvoriť iba klient.

Po prijatí tejto správy požiada pracovná stanica používateľa o heslo. Keď užívateľ alebo klient zadá svoje heslo, pracovná stanica vygeneruje symetrický kľúč odvodený z hesla autentifikačného servera. Tento kľúč sa používa na extrahovanie kľúča relácie a TGT. Potom pracovná stanica zničí heslo klienta z jeho pamäte, aby sa zabránilo útoku.
Poznámka: Používatelia nemôžu otvoriť lístok na udeľovanie vstupeniek.

Krok 2:

Získanie služby poskytujúcej lístok.

Predpokladajme, že po úspešnom prihlásení chce užívateľ komunikovať s ostatnými používateľmi prostredníctvom poštového servera. Pre tohto klienta informuje jeho pracovnú stanicu, že chce kontaktovať iného používateľa X. Klient teda potrebuje lístok na komunikáciu so serverom X. V tomto okamihu klientska pracovná stanica vytvorí správu určenú pre server poskytujúci vstupenky, ktorý obsahuje nižšie uvedené položky. -
• Vstupenka na udeľovanie vstupeniek
• ID X, o služby ktorých majú klienti záujem.
• Aktuálna časová pečiatka by mala byť šifrovaná rovnakým kľúčom relácie.

Udeľovanie vstupeniek, vstupenka je šifrovaná iba tajným kľúčom servera poskytujúceho vstupenku, a preto iba vstupný server môže otvoriť vstupenku. Z tohto dôvodu server poskytujúci vstupenky verí, že správa pochádza od skutočne klienta. Server udeľujúci lístky a kľúč relácie bol šifrovaný serverom na overenie relácie.

Autentifikačný server ho šifruje pomocou tajného kľúča, ktorý je odvodený z hesla klienta. Preto jediný klient môže otvoriť balík a získať lístok Udelenie lístka
Keď je server poskytujúci vstupenky spokojný s údajmi zadanými klientom, lístok s poskytnutím lístka vytvorí kľúč relácie KAB pre klienta, aby zabezpečil bezpečnú komunikáciu so serverom X. Server na udeľovanie vstupeniek ho dvakrát pošle klientovi - prvýkrát sa odošle, keď sa skombinuje s identifikátorom X a šifrovaným pomocou kľúča relácie, druhýkrát sa odošle, keď sa skombinuje s identifikátormi klienta a zašifruje sa pomocou tajného kľúča KB.

V takom prípade sa útočník môže pokúsiť získať prvú správu odoslanú klientom a môže sa pokúsiť o odpoveďový útok. To by však zlyhalo, pretože klientska správa obsahuje šifrovanú časovú pečiatku a útočník nemôže nahradiť časovú pečiatku, pretože nemá kľúč relácie.

Krok 3:

Užívateľské kontakty X pre prístup na server.

Klient odošle KAB do X, aby vytvoril reláciu s X. Pre bezpečnú komunikáciu môže klient odovzdať KAB zašifrovaný pomocou tajného kľúča X do X. X má prístup k KAB. Aby sa chránil pred útokom odpovede, klient pošle časovú pečiatku X, ktorá je šifrovaná pomocou KAB.

X používa svoj tajný kľúč na získanie informácií, z týchto informácií použije KAB na dešifrovanie hodnoty pečiatky. Potom X pridá 1 do hodnoty časovej pečiatky a zašifruje ju pomocou KAB a pošle ju klientovi. Klient potom otvorí paket a overí pečiatku zvýšenú o X. Od tohto procesu klient zaistí, že X prijal rovnaký KAB, ktorý pošle klient.

Teraz môžu klient a X navzájom bezpečne komunikovať. Obaja používajú zdieľaný tajný kľúč KAB, ktorý zašifruje údaje v čase odoslania a dešifruje správu pomocou rovnakého kľúča. Predpokladajme, že klient môže chcieť komunikovať s iným serverom Y, v takom prípade klient iba n3d, aby získal ďalší tajný kľúč. zo servera Grant Ticket. Po získaní tajného kľúča môže komunikovať s Y podobne, ako sme diskutovali v prípade X. Ak klient môže znova komunikovať s X, môže použiť rovnaký predchádzajúci kľúč, nie je potrebné zakaždým generovať lístok. Len prvýkrát musí získať lístok.

Výhody a nevýhody Kerberos

Nižšie sú uvedené výhody a nevýhody:

Výhody Kerberos

  1. V Kerberos sú klienti a služby vzájomne autentifikovaní.
  2. Je podporovaný rôznymi operačnými systémami.
  3. Lístky v Kerberos majú obmedzené obdobie. Aj v prípade odcudzenia vstupenky je ťažké znovu použiť lístok kvôli silným potrebám overenia totožnosti.
  4. Heslá sa nikdy neposielajú v sieti nezašifrované.
  5. V systéme Kerberos sa zdieľajú tajné kľúče, ktoré sú efektívnejšie ako zdieľanie verejných kľúčov.

Nevýhody Kerberosu

  1. Je náchylný na slabé alebo opakované heslá.
  2. Poskytuje autentifikáciu iba pre služby a klientov.

záver

V tomto článku sme videli, čo je Kerberos, ako to funguje spolu s jeho výhodami a nevýhodami. Dúfam, že vám tento článok pomôže.

Odporúčané články

Toto je sprievodca Kerberosom. Tu diskutujeme o tom, čo je Kerberos, ako Kerberos funguje a aké sú jeho výhody a nevýhody. Viac informácií nájdete aj v ďalších navrhovaných článkoch -

  1. Druhy webhostingu
  2. Čo je to webová aplikácia?
  3. Čo je schéma Star?
  4. Polia v programovaní Java

Kategórie:

Vývoj softvéru