Hva er Kerberos?

Kerberos er en autentiseringsprotokoll for datanettverk. Den er designet på MIT for å tillate nettverksressurser på en sikker måte. I denne artikkelen skal vi se om Kerberos-konseptet og dets arbeid ved hjelp av et eksempel.

Hvordan fungerer Kerberos?

Kerberos jobber i tre trinn. La oss nå diskutere de tre trinnene en etter en.

Trinn 1:

Logg Inn

Klienten oppgir navnet sitt på en vilkårlig arbeidsstasjon. Deretter sender arbeidsstasjonen navnet til autentiseringsserveren i klartekstformat.
Som svar utfører autentiseringsserveren noen handlinger. Først oppretter den pakken med brukernavn, dvs. klient, og genererer sesjonsnøkkelen. Den krypterer denne pakken med en symmetrisk nøkkel som autentiseringsserveren deler med Ticket Granting Server (TGS). Resultatet av denne prosessen kalles TGT (Ticket Granting Ticket). Deretter kombinerer autentiseringsserveren både TGT og sesjonsnøkkel og krypterer dem sammen ved å bruke den symmetriske nøkkelen som er avledet fra passordet til klienten.

Merk: TGT kan kun være åpent ved å bruke TGS, og den endelige utdata kan bare være åpen av klienten.

Etter at denne meldingen er mottatt, ber brukerens arbeidsstasjon om passordet. Når en bruker eller klient oppgir passordet sitt, genererer arbeidsstasjonen den symmetriske nøkkelen som stammer fra passordet til en autentiseringsserver. Denne nøkkelen brukes til å trekke ut sesjonstasten og TGT. Etter det ødelegger arbeidsstasjonen passordet til klienten for sitt minne for å forhindre angrepet.
Merk: Brukere kan ikke åpne Ticket Granting Ticket.

Steg 2:

Innhenting av billett for å gi en tjeneste

La oss anta at brukeren, etter vellykket innlogging, ønsker å kommunisere med andre brukere via postserveren. For den klienten informerer arbeidsstasjonen sin om at han ønsker å kontakte en annen bruker X. Så klienten trenger en billett for å kommunisere med X. På dette tidspunktet oppretter klientens arbeidsstasjon en melding beregnet på en billettgiver-server, som inneholder nedenfor nevnte elementer -
• Billettbevilgningsbillett
• ID-en til X-en hvis tjenester klienter er interessert i.
• Gjeldende tidsstempel skal krypteres med samme øktenøkkel.

Billettgjennomføring, billetten er kryptert bare med den hemmelige nøkkelen til den billettgivende serveren, og dermed er det bare den billettgivende serveren som kan åpne en billettgivende billett. På grunn av denne billettgivende serveren mener serveren at meldingen kommer fra klienten. Billettgjennende billett og sesjonsnøkkel ble kryptert av øktautentiseringsserveren.

En autentiseringsserver krypterer den ved å bruke den hemmelige nøkkelen som er avledet fra passordet til klienten. Derfor kan den eneste klienten åpne pakken og hente billetten Granting Ticket
Når den billettgivende serveren er fornøyd med detaljene som er lagt inn av klienten, oppretter billettgivende billett en sesjonsnøkkel KAB for klienten til å utføre den sikre kommunikasjonen med X. Ticket Granting Server sender den to ganger til klienten - første gang den sender når den er kombinert med X-ID og kryptert med øktnøkkel, andre gang den sender når den er kombinert med klient-ID og kryptert med Xs hemmelige nøkkel KB.

I dette tilfellet kan angriperen prøve å få tak i den første meldingen som er sendt av klienten, og kan prøve et svarangrep. Dette vil imidlertid mislykkes, da klientmeldingen inneholder en kryptert tidsstempel og angriperen ikke kan erstatte tidsstemplet, ettersom han ikke har sesjonsnøkkelen.

Trinn 3:

Brukerkontakter X for tilgang til serveren.

En klient sender KAB til X for å lage en økt med X. For sikker kommunikasjon kan klienten videre KAB kryptert med Xs hemmelige nøkkel til X. X får tilgang til KAB. For å beskytte mot et svarangrep sender klienten en tidsstempel til X som er kryptert med KAB.

X bruker sin hemmelige nøkkel for å få tak i informasjonen. Fra denne informasjonen bruker han KAB for å dekryptere stempelverdien. Deretter legger X til 1 i tidsstempelverdien og krypterer den ved hjelp av KAB og sender den til klienten. Klienten åpner deretter pakken og verifiserer stempelet inkrementert av X. Fra denne prosessen sørger klienten for at X mottok den samme KAB som blir sendt av klienten.

Nå kan klient og X kommunisere med hverandre sikkert. Begge bruker delt hemmelig nøkkel KAB yo krypterer dataene på tidspunktet for sending og dekrypterer meldingen ved å bruke den samme nøkkelen. Antar at klienten kanskje vil kommunisere med en annen server Y, i så fall klienten bare n3d for å skaffe en annen hemmelig nøkkel fra Ticket Granting-server. Etter å ha fått den hemmelige nøkkelen, kan han kommunisere med Y på samme måte som vi har diskutert i tilfellet X. Hvis klienten kan kommunisere igjen med X, kan han bruke den samme forrige nøkkelen, det er ikke nødvendig å generere en billett hver gang. Bare for første gang trenger han å skaffe billetten.

Fordeler og ulemper ved Kerberos

Nedenfor er fordeler og ulemper:

Fordeler med Kerberos

  1. I Kerberos er klienter og tjenester gjensidig autentisert.
  2. Det støttes av forskjellige operativsystemer.
  3. Billetter i Kerberos har en begrenset periode. Også hvis billetten blir stjålet, er det vanskelig å gjenbruke billetten på grunn av sterke autentiseringsbehov.
  4. Passord sendes aldri ukryptert over nettverket.
  5. I Kerberos deles hemmelige nøkler som er mer effektive enn å dele offentlige nøkler.

Ulemper ved Kerberos

  1. Det er sårbart for svake eller gjentatte passord.
  2. Det gir kun godkjenning for tjenester og klienter.

Konklusjon

I denne artikkelen har vi sett Hva er Kerberos, hvordan fungerer det sammen med fordeler og ulemper. Jeg håper du vil finne denne artikkelen nyttig.

Anbefalte artikler

Dette er en guide til Kerberos. Her diskuterer vi Hva er Kerberos, Hvordan fungerer Kerberos og fordelene og ulempene. Du kan også gå gjennom de andre foreslåtte artiklene våre for å lære mer–

  1. Typer webhotell
  2. Hva er webapplikasjon?
  3. Hva er Star Schema?
  4. Arrays i Java-programmering

Kategori:

Programvare utvikling