Mis on Kerberos?

Kerberos on arvutivõrgu autentimisprotokoll. See on loodud MIT-is, et võimaldada võrguressursse turvalisel viisil. Selles artiklis käsitleme Kerberose kontseptsiooni ja selle toimimist näite abil.

Kuidas Kerberos toimib?

Kerberos töötab kolmes etapis. Nüüd arutame neid kolme sammu ükshaaval.

Samm 1:

Logi sisse

Klient sisestab oma nime suvalises tööjaamas. Seejärel saadab tööjaam nime autentimisserverisse lihttekstina.
Vastuseks teeb autentimisserver mõnda toimingut. Esiteks loob see kasutajanime ehk kliendi paketi ja genereerib seansi võtme. See krüpteerib selle paketi sümmeetrilise võtmega, mida autentimisserver jagab Ticket Granting Serveriga (TGS). Selle protsessi väljundit nimetatakse piletitoetuse andmiseks (TGT). Seejärel ühendab autentimisserver nii TGT kui ka seansivõtme ning krüpteerib need koos kliendi paroolist tuletatud sümmeetrilise võtmega.

Märkus. TGT saab avada ainult TGS-i kasutades ja lõpliku väljundi saab avada ainult klient.

Pärast selle teate saamist küsib kasutaja tööjaam parooli. Kui kasutaja või klient sisestab oma parooli, genereerib tööjaam autentimisserveri paroolist tuletatud sümmeetrilise võtme. Seda klahvi kasutatakse sessioonivõtme ja TGT eraldamiseks. Pärast seda hävitab töökoht rünnaku ärahoidmiseks kliendi parooli ja selle mälu.
Märkus. Kasutajad ei saa piletit andvat piletit avada.

2. samm:

Pileti andmise teenuse saamine.

Oletame, et pärast edukat sisselogimist soovib kasutaja suhelda e-posti serveri kaudu teiste kasutajatega. Kui klient teatab oma tööjaamale, et soovib võtta ühendust teise kasutajaga X. Klient vajab X-iga suhtlemiseks piletit. Sel hetkel loob kliendi tööjaam piletite väljastamise serverile mõeldud teate, mis sisaldab allpool nimetatud üksusi. -
• Pilet Pileti andmine
• X-i id, kelle teenustest kliendid huvitatud on.
• Praegune ajatempel tuleks krüpteerida sama sessioonivõtmega.

Pileti andmine krüpteeritakse pilet ainult piletite väljastamise serveri salajase võtmega, seega saab piletit väljastava piletit avada ainult piletimüügiserver. Selle piletite väljastamise tõttu usub server, et sõnum tuleb tegelikult kliendilt. Pileti andmise pilet ja seansi võti krüptiti seansi autentimise serveri poolt.

Autentimisserver krüpteerib selle kliendi paroolist tuletatud salajase võtme abil. Seega saab ainus klient paketi avada ja pileti hankimise pileti hankida
Kui pileti väljastanud server on kliendi sisestatud andmetega rahul, loob piletit väljastav pilet kliendi jaoks sessioonivõtme KAB turvalise ühenduse loomiseks X-iga. Pileti andmise server saadab selle kliendile kaks korda - esimest korda saadab see koos koos X-id ja krüpteeritud sessioonivõtmega, saadab see teist korda, kui see on ühendatud kliendi ID-ga ja krüpteeritud X-i salajase võtmega KB.

Sel juhul saab ründaja proovida hankida esimest kliendi saadetud sõnumit ja proovida vasturünnakut. See aga ebaõnnestub, kuna kliendisõnum sisaldab krüptitud ajatemplit ja ründaja ei saa ajatemplit asendada, kuna tal pole sessioonivõtit.

3. samm:

Kasutajakontaktid X serverile juurdepääsu saamiseks.

Klient saadab KAB-i X-i, et luua X-iga seanss. Turvalise suhtluse jaoks edastab klient X-i salajase võtmega krüptitud KAB-i X-i. X pääseb KAB-i juurde. Kaitsmiseks vasturünnaku eest saadab klient X-le ajatempel, mis on KAB-iga krüptitud.

X kasutab teabe saamiseks oma salajast võtit, selle teabe alusel kasutab KAB templi väärtuse dekrüpteerimiseks. Siis X lisab ajatempli väärtusesse 1 ja krüpteerib selle KAB-i abil ning saadab selle kliendile. Seejärel avab klient paketi ja kontrollib templit, mida suurendatakse X-ga. Selle protsessi käigus tagab klient, et X sai sama KAB-i, mille klient saadab.

Nüüd saavad klient ja X omavahel turvaliselt suhelda. Mõlemad kasutavad ühise salajase võtme abil KAB, krüpteerivad andmed sõnumi saatmise ajal ja dekrüpteerivad sõnumi sama võtme abil. Oletagem, et klient võib soovida suhelda mõne teise serveriga Y, sel juhul klient lihtsalt n3d teise salajase võtme hankimiseks. piletitoetuse serverist. Pärast salajase võtme hankimist saab ta Y-ga suhelda sarnaselt, nagu oleme arutanud X-i puhul. Kui klient võib X-iga uuesti suhelda, saab ta kasutada sama eelmist võtit, pole vaja piletit iga kord genereerida. Ainult esimest korda peab ta pileti hankima.

Kerberose eelised ja puudused

Allpool on toodud eelised ja puudused:

Kerberose eelised

  1. Kerberos on kliendid ja teenused vastastikku autenditud.
  2. Seda toetavad erinevad opsüsteemid.
  3. Kerberose piletitel on piiratud periood. Ka siis, kui pilet varastatakse, on tugevate autentimisvajaduste tõttu raske seda piletit uuesti kasutada.
  4. Paroole ei saadeta kunagi võrgu kaudu krüptimata.
  5. Kerberos jagatakse salajasi võtmeid, mis on tõhusamad kui avalike võtmete jagamine.

Kerberose puudused

  1. See on nõrkade või korduvate paroolide suhtes haavatav.
  2. See pakub autentimist ainult teenustele ja klientidele.

Järeldus

Selles artiklis nägime, mis on Kerberos, kuidas see koos eeliste ja puudustega töötab. Loodetavasti leiate sellest artiklist abi.

Soovitatavad artiklid

See on juhend Kerberosele. Siin räägime sellest, mis on Kerberos, kuidas Kerberos töötab ning selle eelistest ja puudustest. Lisateavet leiate ka meie muudest soovitatud artiklitest -

  1. Veebimajutuse tüübid
  2. Mis on veebirakendus?
  3. Mis on täheskeem?
  4. Massiivid Java programmeerimises

Kategooria: