Kerberos là một giao thức xác thực mạng được thiết kế để hỗ trợ xác thực mạnh mẽ cho các ứng dụng máy khách / máy chủ sử dụng mật mã khóa bí mật. Kerberos cung cấp mức độ bảo mật lớn nhất cho tài nguyên mạng.
Kerberos được MIT sản xuất như một giải pháp cho các vấn đề an ninh mạng này. Giao thức Kerberos sử dụng mật mã mạnh mẽ để người dùng có thể chứng minh danh tính của mình với máy chủ (và ngược lại) qua kết nối mạng không an toàn. Sau khi máy khách và máy chủ đã sử dụng Kerberos để xác định danh tính của họ, họ cũng có thể mã hóa tất cả thông tin liên lạc của mình để cung cấp quyền riêng tư và tính toàn vẹn của dữ liệu khi họ tiến hành công việc kinh doanh của mình.
Kerberos có thể truy cập công khai từ MIT, theo ủy quyền bản quyền rất giống những thứ được sử dụng cho khung điều hành BSD và Hệ thống cửa sổ X. MIT hỗ trợ Kerberos ở dạng nguồn để bất kỳ ai cần sử dụng nó đều có thể xem qua mã cho chính họ và tự cung cấp rằng mã đáng tin cậy. Hơn nữa, đối với những người thích dựa trên một sản phẩm được hỗ trợ chuyên nghiệp, Kerberos có sẵn như một sản phẩm từ một số nhà cung cấp.
Kerberos áp dụng kiến trúc máy khách / máy chủ và hỗ trợ xác thực người dùng đến máy chủ thay vì xác thực máy chủ lưu trữ. Trong mô hình này, bảo mật và xác thực sẽ phụ thuộc vào công nghệ khóa bí mật mà mỗi máy chủ lưu trữ trên mạng có khóa bí mật riêng.
Máy chủ Kerberos / KDC có hai chức năng chính bao gồm Máy chủ xác thực (AS) và Máy chủ cấp vé (TGS). Các bước để tạo một phiên được xác thực giữa ứng dụng khách và máy chủ ứng dụng là -
-
Phần mềm máy khách Kerberos tạo kết nối với chức năng AS của máy chủ Kerberos. AS đầu tiên xác thực rằng khách hàng là người mà nó muốn trở thành. AS hỗ trợ khách hàng bằng một khóa bí mật cho phiên đăng nhập này (khóa phiên TGS) và aTicket-level Ticket (TGT), cung cấp cho khách hàng quyền nói chuyện với TGS. lặp đi lặp lại một cách hệ thống.
-
Máy khách giao tiếp với TGS để có được khóa của Máy chủ ứng dụng để nó (máy khách) có thể tạo kết nối với dịch vụ mà nó muốn. Khách hàng cung cấp TGS sớm nhất bằng khóa phiên TGS và TGT. TGS xác nhận bằng Khóa ứng dụng (ASK) và dạng mã hóa của khóa bí mật của Máy chủ ứng dụng. Khóa thissecret không bao giờ được truyền trên mạng dưới nhiều hình thức.
-
Máy khách đã tự xác thực và có thể xác định danh tính của nó cho Máy chủ ứng dụng bằng cách cung cấp vé Kerberos, khóa phiên ứng dụng và khóa bí mật Máy chủ ứng dụng được mã hóa. Máy chủ ứng dụng phản hồi với cùng một dữ liệu được mã hóa để tự xác thực với máy khách. Sau đó, khách hàng có thể bắt nguồn các yêu cầu dịch vụ dự định như Telnet, FTP, HTTP hoặc sessionestablishment giao dịch thương mại điện tử.