1. Μυστικός έλεγχος ταυτότητας κλειδιού:
* Συμμετρική κρυπτογράφηση: Ο Kerberos εξαρτάται σε μεγάλο βαθμό από τη συμμετρική κρυπτογράφηση, που σημαίνει ότι τόσο ο πελάτης όσο και ο διακομιστής μοιράζονται ένα μυστικό κλειδί. Αυτό το κλειδί είναι * ποτέ * που μεταδίδεται στο σαφές. Όλη η επικοινωνία είναι κρυπτογραφημένη χρησιμοποιώντας αυτό το κοινό κλειδί. Αυτό εξασφαλίζει την εμπιστευτικότητα και την ακεραιότητα.
* εισιτήριο εισιτηρίων (TGT): Ο πυρήνας του Kerberos είναι το TGT. Όταν ένας πελάτης αρχικά επικυρώνεται στο KDC, αποδεικνύει την ταυτότητά του (συνήθως χρησιμοποιώντας έναν κωδικό πρόσβασης). Στη συνέχεια, το KDC δημιουργεί ένα κλειδί περιόδου σύνδεσης (ένα μοναδικό, προσωρινό κλειδί) και κρυπτογραφεί αυτό το κλειδί χρησιμοποιώντας το μακροπρόθεσμο μυστικό κλειδί του πελάτη (που προέρχεται από τον κωδικό πρόσβασης). Αυτό το κρυπτογραφημένο κλειδί συνεδρίας, μαζί με άλλες πληροφορίες, συσκευάζεται στο TGT. Βασικά, * μόνο ο πελάτης μπορεί να αποκρυπτογραφήσει το TGT * επειδή μόνο κατέχει το αντίστοιχο μακροπρόθεσμο μυστικό κλειδί.
* κλειδιά περιόδου σύνδεσης: Το TGT χρησιμοποιείται για την απόκτηση κλειδιά περιόδου σύνδεσης για μεμονωμένες υπηρεσίες. Ο πελάτης παρουσιάζει το TGT στην υπηρεσία χορήγησης εισιτηρίων (TGS), μέρος του KDC, για να πάρει ένα εισιτήριο υπηρεσίας *. Αυτό το εισιτήριο περιέχει ένα κλειδί περιόδου σύνδεσης που μοιράζεται μεταξύ του πελάτη και της συγκεκριμένης υπηρεσίας που θέλει να έχει πρόσβαση. Και πάλι, αυτό το κλειδί συνεδρίας είναι κρυπτογραφημένο, αυτή τη φορά χρησιμοποιώντας ένα κλειδί που προέρχεται από το TGT.
* Αμοιβαία έλεγχος ταυτότητας: Η διαδικασία συνήθως περιλαμβάνει αμοιβαίο έλεγχο ταυτότητας. Ο πελάτης αποδεικνύει την ταυτότητά του στο KDC και το KDC αποδεικνύει την ταυτότητά του στον πελάτη, κρυπτογραφώντας το TGT με το μακροπρόθεσμο μυστικό κλειδί του πελάτη. Ομοίως, όταν ο πελάτης ζητά ένα εισιτήριο υπηρεσίας, το TGS αποδεικνύει την ταυτότητά του με κρυπτογράφηση του εισιτηρίου υπηρεσίας χρησιμοποιώντας το κλειδί περιόδου σύνδεσης από το TGT. Τέλος, η υπηρεσία αποδεικνύει την ταυτότητά της στον πελάτη με κρυπτογράφηση ενός μηνύματος χρησιμοποιώντας το πλήκτρο περιόδου σύνδεσης από το εισιτήριο υπηρεσίας.
2. Ασφαλής διανομή:
* Κρυπτογραφημένες επικοινωνίες: Όλη η επικοινωνία μεταξύ του πελάτη, του KDC και της υπηρεσίας είναι κρυπτογραφημένη. Τα εισιτήρια TGT και Service είναι κρυπτογραφημένα, αποτρέποντας την παραβίαση και την παραβίαση. Ο κωδικός πρόσβασης του πελάτη δεν μεταδίδεται ποτέ μέσω του δικτύου. Μόνο ο κρυπτογραφικός του κατακερματισμός είναι.
* Εμπιστευμένος τρίτος: Το KDC ενεργεί ως αξιόπιστος τρίτος. Είναι υπεύθυνη για την ασφαλή αποθήκευση και διαχείριση των μακροπρόθεσμων μυστικών κλειδιά πελατών και υπηρεσιών. Αυτή η κεντρική αρχή απλοποιεί τη διαχείριση βασικών σε σύγκριση με ένα κατανεμημένο σύστημα όπου κάθε πελάτης και διακομιστής θα πρέπει να διαχειρίζεται τα κλειδιά για τον άλλον.
* συγχρονισμός χρόνου: Ο Kerberos βασίζεται σε συγχρονισμένα ρολόγια για να αποτρέψει τις επιθέσεις επανάληψης (όπου ένας εισβολέας επαναλαμβάνει ένα προηγούμενο εισιτήριο). Τα εισιτήρια έχουν περιορισμένη διάρκεια ζωής (περιόδους εγκυρότητας), επιβάλλοντας τον έλεγχο ταυτότητας ευαίσθητου στο χρόνο.
Συνοπτικά, ο Kerberos εξασφαλίζει έλεγχο ταυτότητας και βασική διανομή από:
* Χρήση συμμετρικής κρυπτογράφησης για την προστασία όλων των επικοινωνιών.
* Χρησιμοποιώντας έναν αξιόπιστο τρίτο μέρος (KDC) για τη διαχείριση των κλειδιών.
* Χρήση εισιτηρίων περιορισμένου χρόνου για να μετριάσετε τις επιθέσεις επανάληψης.
* Εφαρμογή αμοιβαίου ελέγχου ταυτότητας για να επιβεβαιώσετε τις ταυτότητες και στα δύο άκρα.
Αυτός ο συνδυασμός τεχνικών διασφαλίζει ότι μόνο οι εξουσιοδοτημένοι πελάτες μπορούν να έχουν πρόσβαση σε συγκεκριμένες υπηρεσίες και ότι η επικοινωνία μεταξύ τους παραμένει εμπιστευτική και αποδυναμική.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα