Mikä on Kerberos?

Kerberos on tietokoneverkon todennusprotokolla. Se on suunniteltu MIT: ssä sallimaan verkkoresurssit turvallisella tavalla. Tässä artikkelissa tarkastellaan Kerberos-konseptia ja sen työskentelyä esimerkin avulla.

Kuinka Kerberos vaikuttaa?

Kerberos toimii kolmessa vaiheessa. Keskustelemme nyt näistä kolmesta vaiheesta yksi kerrallaan.

Vaihe 1:

Kirjaudu sisään

Asiakas kirjoittaa nimensä mielivaltaisessa työasemassa. Sitten työasema lähettää nimen todennuspalvelimelle yksinkertaisessa tekstimuodossa.
Vastauksena todennuspalvelin suorittaa jonkin toimenpiteen. Ensinnäkin se luo käyttäjänimen eli Client-paketin ja luo istuntoavaimen. Se salaa tämän paketin symmetrisella avaimella, jonka todennuspalvelin jakaa Ticket Granting Serverin (TGS) kanssa. Tämän prosessin tulosta kutsutaan lippujen myöntäväksi lipuksi (TGT). Sitten autentikointipalvelin yhdistää sekä TGT: n että istuntoavaimen ja salaa ne yhdessä käyttämällä symmetristä avainta, joka johdetaan asiakkaan salasanasta.

Huomaa: TGT voi olla avoinna vain TGS: llä ja lopullinen lähtö voi olla avoin vain asiakas.

Kun tämä viesti on vastaanotettu, käyttäjän työasema kysyy salasanaa. Kun käyttäjä tai asiakas kirjoittaa salasanansa, työasema luo tunnistuspalvelimen salasanasta johdetun symmetrisen avaimen. Tätä näppäintä käytetään istuntoavaimen ja TGT: n purkamiseen. Tämän jälkeen työasema tuhoaa asiakkaan salasanan muistiin hyökkäyksen estämiseksi.
Huomaa: Käyttäjät eivät voi avata lippua myöntävää lippua.

Vaihe 2:

Lippua tarjoavan palvelun hankkiminen.

Oletetaan, että onnistuneen kirjautumisen jälkeen käyttäjä haluaa kommunikoida muiden käyttäjien kanssa postipalvelimen kautta. Kyseinen asiakas ilmoittaa työasemalle haluavansa ottaa yhteyttä toiseen käyttäjään X. Joten asiakas tarvitsee lipun kommunikoidakseen X: n kanssa. Asiakkaan työasema luo tässä vaiheessa lippujen myöntäjäpalvelimelle tarkoitetun viestin, joka sisältää alla mainitut kohteet -
• Lipun myöntämislippu
• sen X tunnus, jonka palveluista asiakkaat ovat kiinnostuneita.
• Nykyinen aikaleima tulisi salata samalla istunnon avaimella.

Lippujen myöntäminen, lippu on salattu vain lippujen myöntämispalvelimen salaisella avaimella, joten vain lipun myöntävä palvelin voi avata lipun myöntävän lipun. Tämän lipun myöntämisen vuoksi palvelin uskoo, että viesti tulee todella asiakkaalta. Lipun myöntävä lippu ja istunnon avain salattiin istunnon todennuspalvelimella.

Todennuspalvelin salaa sen salaisella avaimella, joka johdetaan asiakkaan salasanasta. Siksi ainoa asiakas voi avata paketin ja hakea lipun myöntävän lipun
Kun lippujen myöntävä palvelin on tyytyväinen asiakkaan antamiin tietoihin, lippujen myöntävä lippu luo istuntoavaimen KAB asiakkaalle turvallisen yhteydenpidon suorittamiseksi X: llä. Lippujen myöntävä palvelin lähettää sen kahdesti asiakkaalle - ensimmäisen kerran kun se yhdistetään X-tunnuksella ja salattu istuntoavaimella, se lähettää toisen kerran, kun se yhdistetään asiakkaan tunnuksiin ja salataan X: n salaisella avaimella KB.

Tässä tapauksessa hyökkääjä voi yrittää saada ensimmäisen asiakkaan lähettämän viestin ja yrittää vastaushyökkäyksen. Tämä epäonnistuu, koska asiakasviesti sisältää salatun aikaleiman eikä hyökkääjä voi korvata aikaleimaa, koska hänellä ei ole istuntoavainta.

Vaihe 3:

Käyttäjäyhteydet X palvelinta varten.

Asiakas lähettää KAB: lle X: lle istunnon luomisen X: llä. Turvallisen tiedonsiirron vuoksi asiakas välittää X: n salaisella avaimella salatun KAB: n X: lle. X voi käyttää KAB: ta. Suojautuakseen vastaushyökkäyksiltä asiakas lähettää aikaleiman X: lle, joka on salattu KAB: lla.

X käyttää salaa avaintaan tietojen hankkimiseen, näistä tiedoista hän käyttää KAB: n salauksen leima-arvon purkamiseen. Sitten X lisää 1 aikaleiman arvoon ja salaa sen KAB: n avulla ja lähettää sen asiakkaalle. Sitten asiakas avaa paketin ja tarkistaa leiman X-lisäyksellä. Tämän prosessin avulla asiakas varmistaa, että X vastaanotti saman KAB: n, jonka asiakas lähettää.

Nyt asiakas ja X voivat olla yhteydessä toisiinsa turvallisesti. Molemmat käyttävät jaettua salaista avainta KAB yo salaa tiedot lähettämisen yhteydessä ja salauksen purkavat viestin samalla avaimella.Oletetaan, että asiakas voi haluta kommunikoida toisen palvelimen Y kanssa, jolloin asiakas vain n3d hankkia toisen salaisen avaimen Ticket Granting -palvelimelta. Saatuaan salaisen avaimen, hän voi kommunikoida Y: n kanssa samalla tavalla kuin olemme keskustelleet X: n tapauksessa. Jos asiakas voi kommunikoida uudelleen X: n kanssa, hän voi käyttää samaa edellinen avainta, lippu ei ole tarpeen luoda joka kerta. Vain ensimmäistä kertaa hänen on hankittava lippu.

Kerberosin edut ja haitat

Seuraavassa on edut ja haitat:

Kerberosin edut

  1. Kerberosissa asiakkaat ja palvelut todennetaan vastavuoroisesti.
  2. Sitä tukevat useat käyttöjärjestelmät.
  3. Liput Kerberosissa ovat rajoitetun ajan. Myös jos lippu varastetaan, lippua on vaikea käyttää uudelleen vahvojen todennustarpeiden takia.
  4. Salasanoja ei koskaan lähetetä verkon välityksellä salaamatta.
  5. Kerberosissa jaetaan salaiset avaimet, jotka ovat tehokkaampia kuin julkisten avainten jakaminen.

Kerberosin haitat

  1. Se on herkkä heikoille tai toistuville salasanoille.
  2. Se tarjoaa todennuksen vain palveluille ja asiakkaille.

johtopäätös

Tässä artikkelissa olemme nähneet, mikä on Kerberos, miten se toimii sekä edut ja haitat. Toivottavasti löydät tästä artikkelista apua.

Suositellut artikkelit

Tämä on opas Kerberosiin. Tässä keskustellaan siitä, mikä on Kerberos, miten Kerberos toimii, sekä sen eduista ja haitoista. Voit myös käydä läpi muiden ehdotettujen artikkeleidemme saadaksesi lisätietoja -

  1. Tyypit Web-hosting
  2. Mikä on Web-sovellus?
  3. Mikä on Star Schema?
  4. Ryhmät Java-ohjelmoinnissa

Luokka:

Ohjelmistokehitys