Kerberos
Керберос е удостоверяващ източника протокол използващ синхронизращ такт. Широко се използва от системите за удостоверяване на източник на данни.
Използва симетрични ключове и изисква трета удостоверяваща страна. Разширения на Керберос използват и публични ключове през определени фази от удостоврението. Подслушваща трета страна може да компрементира връзката: изпрашайки отново прихванат временен ключ, може да се разбере и окончателния ключ.
Използват се два абстрактни модула: Удостоверяващ сървър (Authentication server - AS) и Гарантиращ билетен сървър (Ticket-granting server - TGS). Удостоверяващия сървър знае всички ключове и отговаря при въвеждане на парола с билет за достъп, съдържащ ключа на удостоверявания. Билета за достъп се изполва допълнително с нов сесийен ключ за достъп до билетния сървър. Подобно протича и удостоверяването за други подобни услуги на билетния център.
Разни [редактиране]
- Керберос е подобрен Нийдхам-Шрьодер удостоверяващ протокол.
История и разработване
MIT Разработен в МИТ,Kerberos е създаден да защитава мрежовите ресурси предоставени от Project Athena. Протоколът и кръстен на името на митичното създание Kerberos (or Cerberus) гръцката митология което е било триглаво чудовище пазещо вратите към хадес.
Steve Miller и Clifford Neuman, са основните дизайнери на версия 4 на Kerberos,публикувана в края на 80-те.
Версия 5, е създадена от John Kohl и Clifford Neuman, през 1993.
Властите в САЩ класифицират Kerberos като технология с възможна военна употреба и ограничават експорта й поради използването на DES алгоритъмът за криптиране( 56-битов ключ).
Windows 2000 и лседващите версии използват Kerberos като метод за удостоверяване по подразбиране.
Теория
Kerberos използва като своя основа symmetric Needham-Schroeder protocol. It makes use of a trusted third party, termed a key distribution center (KDC), който се състои от две теоритично независими роли: Удостоверителн Сървър Authentication Server (AS) и Билето предоставящ сървър -Ticket Granting Server (TGS).
The KDC подържа база данни от тайни ключове; всеки елемент от мрежата, без значение клиент или сървър, споделя таен ключ известен само на елемента и на KDC. Притежаването на този ключ служи за доказване на идентичността на елемнта. For communication purposes the KDC generates a session key which communicating parties use to encrypt their transmissions.
Сигурността на протокола се основава на краткосрочни удостоверители на автентичност, наречени Kerberos билети. Описание
Недостатъци и ограничения Единична точка та провал: изисква непрекъснат достъп до централен сървър. Когато централният сървър Kerberos неработи, никой неможе да използва системата. Този проблем може да бъде решен, чрез използването на множество сървъри Kerberos и ризирвиране на механизмите за удостоверяване. Протоколът Kerberos има строги изсквания за време, което значи, че часовниците на участващите хостове трябва да са синхронизирани. Билетите са активни през определен период от време и ако часовниците не са синхронизирани с часовника на сървъра Kerberos, удостоверяването ще се провали.Стандартната конфигурация изисква показанията на часовниците да се отклоняват с не повече от 5 минути.
External links [редактиране]
- How Kerberos Authentication Works
- Kerberos page at MIT
- Kerberos Working Group at IETF
- Kerberos Consortium at MIT
- White Papers at MIT
- Vendor Documentation and Specifications at MIT
- Kerberos How-to
- Kerberos implementation
- The Kerberos FAQ (last modified 8/18/2000)
- Shishi, a free Kerberos implementation for the GNU system
- Designing an Authentication System: A Dialogue in Four Scenes. Humorous play concerning how the design of Kerberos evolved.
