2022 年 7 月 28 日

Kerberos 解释

分享0
分享0
分享0
分享0
分享0
分享0

如今,网络犯罪是一个不幸的事实。 没有公司或组织是安全的,无论谈论私人还是整个企业。 除非我们可以将我们的协议与有效的网络解决方案一起使用,否则问题不会在这些天得到改善。

专家预测,到 25 年底,网络犯罪将给世界造成 2025 万亿美元的损失; 奇怪,不是吗?

福布斯的另一项预测称,移动设备的持续使用正在增加网络犯罪的发生率,而且无法阻止。 因此,数字世界正在登录以寻找加强网络安全的新策略。 这些预测太多了,你还没有准备好去听,甚至还没有准备好在你的脑海中处理。

今天,我们正在寻找一种 Kerberos 身份验证网络协议。 让我们拉开窗帘就知道了 什么是 Kerberos?

什么是 Kerberos? 

互联网是一个不安全的地方。 一些系统部署防火墙以防止对计算机的未经授权的访问。 但是防火墙假设坏人在外面,这是一个问题。 大多数恶意尝试都是从内部完成的。

使用强加密技术,Kerberos 是一种协议,用于在不受信任的网络上对受信任主机之间的网络服务请求进行身份验证。 它使用安全密钥加密技术和受信任的第三方来建立客户端-服务器应用程序并验证用户的身份。

Kerberos 是一种基于票证机制的身份验证协议,其中客户端向身份验证服务器 (AS) 验证自己并接收票证(在与密钥分发中心的通信之间涉及的各种步骤),它可以与使用相同的所有节点重用KDC。 因此,在内部网络中,您可以通过向 AS 验证自己的身份,然后重用票证来访问其他节点来访问节点。

Kerberos 协议主要用在哪里? 

Kerberos 主要用于需要可靠审计和身份验证功能的安全系统。 它用于 Posix 身份验证,这是 ssh、POP 和 SMTP 的替代身份验证系统,用于 Active Directory、NFS、Samba 和许多其他类似项目。 它可以经常用作任何理解 POSIX 身份验证的系统,这是相当多的。

最初的 OpenAuth 项目使用了类似的系统,从客户的角度来看,令牌取代了票证概念。 至少了解一些其他实现,这些实现使用 Kerberos 样式的身份验证和审计来实现云系统中的 Web 服务通信层。

这是一个很棒的系统,虽然因为 POSIX,你会发现授权有点苛刻,但像大多数事情一样,你可以“自己动手”,应用程序的其余部分将按照你想要的方式进行. 它还有助于定期进行授权,而身份验证仅在以前的票证过期或连接丢失或终止后发生在新连接上。

Kerberos 身份验证有什么好处? 

Kerberos 为任何网络安全设置带来了大量优势。 主要好处是:

  • 有效的访问控制:Kerberos 为用户提供一个点来跟踪证券和登录策略的执行。
  • 关键票证的安全生命周期访问:每个 Kerberos 票证都有一个由管理员控制的票证时间戳、生命周期数据和身份验证时间线。
  • 点对点认证:部分业务系统和用户可以通过相互认证的方式相互认证和使用。
  • 可重用身份验证:使用 Kerberos 身份验证的任何人都可以重用并且是持久的,要求每个用户只通过系统验证一次。 只要票证是可用的,用户就不必保留他们的详细信息以进行身份​​验证。
  • 可靠多样的安全措施:Kerberos 具有安全认证保护,采用密码学、多个密钥和第三方授权,创建可靠和安全的防御。 关于 Kerberos 的一件事是密码不会通过网络发送,而私钥是加密的。

什么是 Kerberos 协议流概述? 

这是 Kerberos 身份验证的更详细版本。 此外,通过将其分解为不同的步骤及其核心组件来了解它的工作原理。

以下是全神贯注于 Kerberos 协议流的主要实体。

  • 客户:客户端以用户体验的名义行动,充当服务请求的通信。
  • 服务器:服务器托管想要访问它的用户。
  • 认证服务器 (AS):AS 执行所需的客户端身份验证。 如果身份验证成功启动,客户端会收到一个名为 TGT(ticket-granting ticket)的票证,基本上是确认其他客户的服务器已通过身份验证。
  • 密钥分发中心 (KDC):在 Kerberos 环境中,身份验证在逻辑上分为三个不同的部分
  • 数据库 
  • 认证服务器 (AS)
  • 票证授予票证 (TGT)

这三个部分在称为密钥分发中心 (KDC) 的单个服务器中运行、运行和存在。

协议流程包括以下步骤: 

第四步:最初,客户端身份验证请求通过。 用户向身份验证服务器 (AS) 请求 TGT,其中包括用于证明的客户端 ID。

第四步: KDC 使用客户端的凭据验证上述过程。 AS 检查数据以确保客户端的安全性并找到这两个值; 它发出一个秘密的客户端密钥,使用严厉的密码。

第四步: 客户端传递消息。 客户端或用户使用密钥解密消息并生成验证客户端票证的身份验证的 SK1 和 TGT。

第四步:客户端使用票证访问生成的请求。 客户端通过向 TGS 发送密钥和创建身份验证来要求提供服务的服务器提供票证。

第四步: KDC 为文件服务器生成一个票据。 然后 TGT 使用 TGS 密钥描述从用户接收到的 TGT 以提取 SK1。 TGS 检查数据是否与客户 ID 和地址匹配。

最后,KDC 创建一个包含客户端 ID、地址、时间戳和 SK2 的服务票证。

第四步:客户端使用文件服务器票证对 Sk1 和 Sk2 进行身份验证。

第四步:目标服务器然后接收解密和认证。 目标人使用服务器的密钥解密发出的票并提取 SK2。

一旦满足检查,目标服务器就会发送客户端消息,以相互验证客户端和 AS。 用户现在已准备好参与安全会话。

结语 

在本文的最后,我们希望您对 Kerberos 有一个描述性的概述。 有关 Kerberos 的更多信息,Simplilearn 提供 Simplilearn 在线学习 适用于所有愿意学习 Kerberos 的有志者。

应用, 业务, 网络安全, 研发支持, 工程, 安保防护, 科学技术

作者图片

关于作者 

彼得·哈奇

{“电子邮件”:“电子邮件地址无效”,“ URL”:“网站地址无效”,“必填”:“必填字段缺失”}