Kaj je Kerberos?

Kerberos je protokol za preverjanje pristnosti računalniškega omrežja. Na MIT je zasnovan tako, da omogoča varne omrežne vire. V tem članku si bomo ogledali koncept Kerberos in njegovo delovanje s pomočjo primera.

Kako deluje Kerberos?

Kerberos deluje v treh korakih. Zdaj pa razpravljajmo o teh treh korakih drug za drugim.

Korak 1:

Vpiši se

Stranka vpiše svoje ime na poljubni delovni postaji. Nato delovna postaja pošlje ime strežniku za preverjanje pristnosti v navadni besedilni obliki.
V odgovor strežnik za preverjanje pristnosti izvede nekaj dejanj. Najprej ustvari paket uporabniškega imena, tj. Odjemalec in ustvari ključ seje. Ta paket šifrira s simetričnim ključem, ki ga strežnik za overjanje deli s strežnikom Ticket Granting Server (TGS). Rezultat tega postopka se imenuje vozovnica za izdajo vozovnic (TGT). Nato avtentikacijski strežnik združuje tako TGT kot ključ seje in jih skupaj šifrira s pomočjo simetričnega ključa, ki izhaja iz gesla odjemalca.

Opomba: TGT je mogoče odpreti samo z uporabo TGS, končni izhod pa lahko odpre le odjemalec.

Po prejemu tega sporočila uporabniška delovna postaja zahteva geslo. Ko uporabnik ali odjemalec vnese svoje geslo, delovna postaja ustvari simetrični ključ, ki izhaja iz gesla za overjanje. Ta tipka se uporablja za ekstrahiranje ključa seje in TGT. Po tem delovna postaja uniči geslo odjemalca v spominu, da prepreči napad.
Opomba: Uporabniki ne morejo odpreti vozovnice.

2. korak:

Pridobitev storitve za odobritev vozovnice.

Predpostavimo, da želi uporabnik po uspešni prijavi komunicirati z drugimi uporabniki prek poštnega strežnika. Ta stranka svojo delovno postajo obvesti, da želi vzpostaviti stik z drugim uporabnikom X. Torej stranka potrebuje vozovnico za komunikacijo z X. Na tej točki odjemalčeva delovna postaja ustvari sporočilo, namenjeno strežniku za izdajo vozovnic, ki vsebuje spodaj omenjene elemente -
• vozovnica za podelitev vozovnic
• ID X, katerega storitve zanimajo stranke.
• Trenutni časovni žig naj bo šifriran z istim ključem seje.

Podelitev vozovnic je vozovnica šifrirana samo s tajnim ključem strežnika za izdajo vozovnic, zato lahko le strežnik za izdajo vozovnic odpre vstopnico. Zaradi tega strežnik za izdajo vozovnic meni, da sporočilo prihaja od resnično stranke. Strežnik za preverjanje pristnosti seje šifriral vstopnico in ključ za sejo.

Strežnik za preverjanje pristnosti ga šifrira s skrivnim ključem, ki izhaja iz gesla odjemalca. Tako lahko edini odjemalec odpre paket in pridobi vozovnico Podelitev vozovnice
Ko je strežnik za izdajo vozovnic zadovoljen s podrobnostmi, ki jih je vnesel odjemalec, ustvari ključ za sejo KAB, da stranka izvede varno komunikacijo z X. Strežnik za izdajo vozovnic ga pošlje dvakrat stranki - prvič ga pošlje, ko ga združi z X-jevim ID-jem in šifrirano s ključem seje, drugič ga pošlje, če je združen s ID-jem stranke in šifriran s X-ovim skrivnim ključem KB

V tem primeru lahko napadalec poskusi pridobiti prvo sporočilo, ki ga je poslal stranka, in lahko poskusi odgovoriti z napadom. Vendar pa to ne bo uspelo, saj odjemalčevo sporočilo vsebuje šifrirano časovno žigo in napadalec ne more nadomestiti časovnega žiga, saj nima ključa seje.

3. korak:

Uporabniški stiki X za dostop do strežnika.

Odjemalec pošlje KAB v X, da ustvari sejo z X. Za varno komunikacijo lahko odjemalec KAB, šifriran s skrivnim ključem X, posreduje X. X lahko dostopa do KAB. Za zaščito pred napadom odgovora odjemalec pošlje časovni žig v X, ki je šifriran s KAB.

X uporablja svoj skrivni ključ za pridobivanje informacij, od teh informacij pa uporabi KAB za dešifriranje vrednosti žiga. Nato X doda vrednost 1 v vrednost časovne žige in ga šifrira s pomočjo KAB in ga pošlje odjemalcu. Odjemalec nato odpre paket in preveri žig, ki ga je povečal X. V tem postopku odjemalec zagotovi, da je X prejel isti KAB, ki ga pošlje odjemalec.

Zdaj lahko odjemalec in X varno komunicirata drug z drugim. Oba uporabljata skupni skrivni ključ KAB, medtem ko podatke pošiljate v času pošiljanja in dešifrirate sporočilo z istim ključem.predpostavimo, da bo odjemalec morda želel komunicirati z drugim strežnikom Y, v tem primeru pa bo odjemalec le n3d dobil še en skrivni ključ s strežnika za dodeljevanje vstopnic. Potem ko lahko pridobi tajni ključ, lahko z Y komunicira podobno kot smo razpravljali v primeru X. Če lahko stranka ponovno komunicira z X, lahko uporabi isti prejšnji ključ, vsakič ni treba generirati vozovnice. Šele prvič mora pridobiti vozovnico.

Prednosti in slabosti Kerberosa

Spodaj so prednosti in slabosti:

Prednosti Kerberosa

  1. V Kerberosu so stranke in storitve medsebojno overjene.
  2. Podpirajo ga različni operacijski sistemi.
  3. Vstopnice v Kerberosu imajo omejeno obdobje. Tudi če vozovnico ukradejo, jo je zaradi močnih potreb po preverjanju pristnosti težko ponovno uporabiti.
  4. Gesla se nikoli ne pošiljajo prek omrežja nekodirano.
  5. V Kerberosu se delijo tajni ključi, ki so učinkovitejši od skupne rabe javnih ključev.

Slabosti Kerberosa

  1. Ranljiv je za šibka ali ponavljajoča se gesla.
  2. Omogoča samo preverjanje pristnosti za storitve in stranke.

Zaključek

V tem članku smo videli, kaj je Kerberos, kako deluje skupaj s svojimi prednostmi in slabostmi. Upam, da vam bo ta članek v pomoč.

Priporočeni članki

To je vodnik po Kerberosu. Tukaj razpravljamo, kaj je Kerberos, kako deluje Kerberos in njegove prednosti in slabosti. Obiščite lahko tudi druge naše predlagane članke, če želite izvedeti več -

  1. Vrste spletnega gostovanja
  2. Kaj je spletna aplikacija?
  3. Kaj je shema zvezd?
  4. Nizi v programiranju Java

Kategorija:

Razvoj programske opreme