如今,網絡犯罪是一個不幸的事實。 無論談論私人或整個企業,沒有公司或組織是安全的。 除非我們可以將我們的協議與有效的網絡解決方案一起使用,否則問題不會得到改善。
專家預測,到 25 年底,網絡犯罪將給世界造成 2025 萬億美元的損失; 奇怪,不是嗎?
福布斯的另一項預測稱,移動設備的持續使用正在增加網絡犯罪的發生率,而且無法阻止。 因此,數字世界正在登錄以尋找加強網絡安全的新策略。 這些預測太多了,你還沒有準備好去聽,甚至還沒有準備好在你的腦海中處理。
今天,我們正在尋找一種 Kerberos 身份驗證網絡協議。 讓我們拉開窗簾就知道了 什麼是 Kerberos?
什麼是 Kerberos?
互聯網是一個不安全的地方。 一些系統部署防火牆以防止對計算機的未經授權的訪問。 但是防火牆假設壞人在外面,這是一個問題。 大多數惡意嘗試都是從內部完成的。
使用強加密技術,Kerberos 是一種協議,用於在不受信任的網絡上對受信任主機之間的網絡服務請求進行身份驗證。 它使用安全密鑰加密技術和受信任的第三方來建立客戶端-服務器應用程序並驗證用戶的身份。
Kerberos 是一種基於票證機制的身份驗證協議,其中客戶端向身份驗證服務器 (AS) 驗證自己並接收票證(在與密鑰分發中心的通信之間涉及的各種步驟),它可以與使用相同的所有節點重用KDC。 因此,在內部網絡中,您可以通過向 AS 驗證自己的身份,然後重用票證來訪問其他節點來訪問節點。
Kerberos 協議主要用在哪裡?
Kerberos 主要用於需要可靠審計和身份驗證功能的安全系統。 它用於 Posix 身份驗證,這是 ssh、POP 和 SMTP 的替代身份驗證系統,用於 Active Directory、NFS、Samba 和許多其他類似項目。 它可以經常用作任何理解 POSIX 身份驗證的系統,這是相當多的。
最初的 OpenAuth 項目使用了類似的系統,從客戶的角度來看,令牌取代了票證概念。 至少了解一些其他實現,這些實現使用 Kerberos 樣式的身份驗證和審計來實現雲系統中的 Web 服務通信層。
這是一個很棒的系統,儘管由於 POSIX,您將能夠找到有點苛刻的授權,但是像大多數事情一樣,您可以“自己動手”,並且應用程序的其餘部分將按照您想要的方式進行. 它還有助於定期進行授權,而身份驗證僅在以前的票證過期或連接丟失或終止後發生在新連接上。
Kerberos 身份驗證有什麼好處?
Kerberos 為任何網絡安全設置帶來了大量優勢。 主要好處是:
- 有效的訪問控制:Kerberos 為用戶提供一個點來跟踪證券和登錄策略的執行。
- 關鍵票證的安全生命週期訪問:每個 Kerberos 票證都有一個由管理員控制的票證時間戳、生命週期數據和身份驗證時間線。
- 點對點認證:部分業務系統和用戶可以通過相互認證的方式相互認證和使用。
- 可重用身份驗證:使用 Kerberos 身份驗證的任何人都可以重用並且是持久的,要求每個用戶只通過系統驗證一次。 只要票證是可用的,用戶就不必保留他們的詳細信息以進行身份驗證。
- 可靠多樣的安全措施:Kerberos 具有安全認證保護,採用密碼學、多個密鑰和第三方授權,創建可靠和安全的防禦。 關於 Kerberos 的一件事是密碼不會通過網絡發送,而私鑰是加密的。
什麼是 Kerberos 協議流概述?
這是 Kerberos 身份驗證的更詳細版本。 此外,通過將其分解為不同的步驟及其核心組件來了解它的工作原理。
以下是全神貫注於 Kerberos 協議流的主要實體。
- 客戶端:客戶端以用戶體驗的名義行動,充當服務請求的通信。
- 伺服器:服務器託管想要訪問它的用戶。
- 認證服務器 (AS):AS 執行所需的客戶端身份驗證。 如果身份驗證成功啟動,客戶端會收到一個名為 TGT(ticket-granting ticket)的票證,基本上是確認其他客戶的服務器已通過身份驗證。
- 密鑰分發中心 (KDC):在 Kerberos 環境中,身份驗證在邏輯上分為三個不同的部分
- 數據庫
- 認證服務器 (AS)
- 票證授予票證 (TGT)
這三個部分在稱為密鑰分發中心 (KDC) 的單個服務器中運行、運行和存在。
協議流程包括以下步驟:
步驟 1:最初,客戶端身份驗證請求通過。 用戶向身份驗證服務器 (AS) 請求 TGT,其中包括用於證明的客戶端 ID。
步驟 2: KDC 使用客戶端的憑據驗證上述過程。 AS 檢查數據以確保客戶端的安全性並找到這兩個值; 它發出一個秘密的客戶端密鑰,使用嚴厲的密碼。
步驟 3: 客戶端傳遞消息。 客戶端或用戶使用密鑰解密消息並生成驗證客戶端票證的身份驗證的 SK1 和 TGT。
步驟 4:客戶端使用票證訪問生成的請求。 客戶端通過向 TGS 發送密鑰和創建身份驗證來要求提供服務的服務器提供票證。
步驟 5: KDC 為文件服務器生成一個票據。 然後 TGT 使用 TGS 密鑰描述從用戶接收到的 TGT 以提取 SK1。 TGS 檢查數據是否與客戶 ID 和地址匹配。
最後,KDC 創建一個包含客戶端 ID、地址、時間戳和 SK2 的服務票證。
步驟 6:客戶端使用文件服務器票證對 Sk1 和 Sk2 進行身份驗證。
步驟 7:目標服務器然後接收解密和認證。 目標人使用服務器的密鑰解密發出的票並提取 SK2。
一旦滿足檢查,目標服務器就會發送客戶端消息,以相互驗證客戶端和 AS。 用戶現在已準備好參與安全會話。
結語
在本文的最後,我們希望您對 Kerberos 有一個描述性的概述。 有關 Kerberos 的更多信息,Simplilearn 提供 Simplilearn 在線學習 適用於所有願意學習 Kerberos 的有志者。
