Kerberos - Hvordan fungerer Kerberos? - Fordele og ulemper

Indholdsfortegnelse:

Anonim

Hvad er Kerberos?

Kerberos er en computernetværksgodkendelsesprotokol. Det er designet på MIT for at tillade netværksressourcer på en sikker måde. I denne artikel vil vi se diskuterede Kerberos-konceptet og dets arbejde ved hjælp af et eksempel.

Hvordan fungerer Kerberos?

Kerberos fungerer i tre trin. Lad os nu diskutere disse tre trin én efter én.

Trin 1:

Log på

Klienten indtaster sit navn på en vilkårlig arbejdsstation. Derefter sender arbejdsstationen navnet til godkendelsesserveren i almindelig tekstformat.
Som svar udfører autentificeringsserveren nogle handlinger. Først opretter den pakken med brugernavn, dvs. klient, og genererer sessionnøglen. Den krypterer denne pakke med en symmetrisk nøgle, som godkendelsesserveren deler med Ticket Granting Server (TGS). Outputet fra denne proces kaldes en Ticket Granting Ticket (TGT). Derefter kombinerer godkendelsesserveren både TGT og sessionstast og krypterer dem sammen ved hjælp af den symmetriske nøgle, der er afledt af klientens adgangskode.

Bemærk: TGT kan kun være åben ved hjælp af TGS, og den endelige output kan kun være åben af ​​klienten.

Når denne meddelelse er modtaget, beder brugerens arbejdsstation om adgangskoden. Når en bruger eller klient indtaster sin adgangskode, genererer arbejdsstationen den symmetriske nøgle, der stammer fra adgangskoden på en godkendelsesserver. Denne nøgle bruges til at udpakke sessionstasten og TGT. Derefter ødelægger arbejdsstationen adgangskoden til klienten for dens hukommelse for at forhindre angrebet.
Bemærk: Brugere kan ikke åbne Ticket Granting Ticket.

Trin 2:

At få en billet, der yder service.

Lad os antage, at brugeren efter det vellykkede login ønsker at kommunikere med andre brugere via mailserveren. For denne klient informerer sin arbejdsstation om, at han ønsker at kontakte en anden bruger X. Så klienten har brug for en billet for at kommunikere med X. På dette tidspunkt opretter klientarbejdsstationen en meddelelse beregnet til en billetudstedende server, der indeholder nedenstående poster -
• Billet tildeling af billet
• id'et for det X, hvis tjenester klienter er interesseret i.
• Den aktuelle tidsstempel skal krypteres med den samme sessionstast.

Billetildeling, billetten er kun krypteret med den hemmelige nøgle til den billetudstedende server, hvorfor kun den billetudstedende server kan åbne en billetudstedende billet. På grund af denne billetudstedende server mener serveren, at beskeden kommer fra klienten. Billetildeling af billet og sessionnøgle blev krypteret af sessiongodkendelsesserveren.

En autentificeringsserver krypterer den ved hjælp af den hemmelige nøgle, der er afledt af klientens adgangskode. Derfor kan den eneste klient åbne pakken og hente billetten Granting Ticket
Når billetudstedelsesserveren er tilfreds med de detaljer, der er indtastet af klienten, opretter billetudstedende billet en sessionnøgle KAB for klienten til at udføre den sikre kommunikation med X. Ticket Granting Server sender den to gange til klienten - første gang den sender når den kombineres med X's id og krypteret med sessionnøgle, anden gang det sender, når det kombineres med klient-id'er og krypteret med X's hemmelige nøgle KB.

I dette tilfælde kan angriberen forsøge at få den første meddelelse sendt af klienten og kan forsøge et svarangreb. Dette vil dog mislykkes, da klientmeddelelsen indeholder en krypteret tidsstempel, og angriberen ikke kan erstatte tidsstemplet, da han ikke har sessionstasten.

Trin 3:

Brugerkontakter X for adgang til serveren.

En klient sender KAB til X for at oprette en session med X. For sikker kommunikation kan klienten videresende KAB krypteret med X's hemmelige nøgle til X. X får adgang til KAB. For at beskytte mod et svarangreb sender klienten en tidsstempel til X, der er krypteret med KAB.

X bruger sin hemmelige nøgle til at få oplysningerne. Fra disse oplysninger bruger han KAB til at dekryptere stempelværdien. Derefter tilføjer X 1 til tidsstempelværdien og krypterer den ved hjælp af KAB og sender den til klienten. Klienten åbner derefter pakken og verificerer det stempel, der er tilføjet af X. Fra denne proces sikrer klienten, at X'en har modtaget den samme KAB, som sendes af klienten.

Nu kan klient og X kommunikere med hinanden sikkert. Begge bruger delt hemmelig nøgle KAB yo krypterer dataene på tidspunktet for afsendelse og dekrypterer meddelelsen ved hjælp af den samme nøgle. Antager, at klienten måske ønsker at kommunikere med en anden server Y, i så fald klienten bare n3d for at få en anden hemmelig nøgle fra Ticket Granting-server. Efter at have fået den hemmelige nøgle, kan han kommunikere med Y på samme måde, som vi har diskuteret i tilfælde af X. Hvis klienten muligvis kommunikerer igen med X, kan han bruge den samme forrige nøgle, der er ikke behov for at generere en billet hver gang. Først for første gang har han brug for at få billetten.

Fordele og ulemper ved Kerberos

Nedenfor er fordele og ulemper:

Fordele ved Kerberos

  1. I Kerberos godkendes klienter og tjenester gensidigt.
  2. Det understøttes af forskellige operativsystemer.
  3. Billetter i Kerberos har en begrænset periode. Hvis billetten bliver stjålet, er det svært at genbruge billetten på grund af stærke godkendelsesbehov.
  4. Adgangskoder sendes aldrig over netværket ukrypteret.
  5. I Kerberos deles hemmelige nøgler, som er mere effektive end at dele offentlige nøgler.

Ulemper ved Kerberos

  1. Det er sårbart over for svage eller gentagne adgangskoder.
  2. Det giver kun godkendelse til tjenester og klienter.

Konklusion

I denne artikel har vi set Hvad er Kerberos, hvordan fungerer det sammen med dets fordele og ulemper. Jeg håber, at du finder denne artikel nyttig.

Anbefalede artikler

Dette er en guide til Kerberos. Her diskuterer vi Hvad er Kerberos, hvordan fungerer Kerberos og dets fordele og ulemper. Du kan også gennemgå vores andre foreslåede artikler for at lære mere–

  1. Typer af webhosting
  2. Hvad er webapplikation?
  3. Hvad er stjerneskema?
  4. Arrays i Java-programmering