Kerberos

от Уикипедия, свободната енциклопедия
Направо към: навигация, търсене

Керберос е удостоверяващ източника протокол използващ синхронизращ такт. Широко се използва от системите за удостоверяване на източник на данни.

Използва симетрични ключове и изисква трета удостоверяваща страна. Разширения на Керберос използват и публични ключове през определени фази от удостоврението. Подслушваща трета страна може да компрементира връзката: изпрашайки отново прихванат временен ключ, може да се разбере и окончателния ключ.

Използват се два абстрактни модула: Удостоверяващ сървър (Authentication server - AS) и Гарантиращ билетен сървър (Ticket-granting server - TGS). Удостоверяващия сървър знае всички ключове и отговаря при въвеждане на парола с билет за достъп, съдържащ ключа на удостоверявания. Билета за достъп се изполва допълнително с нов сесийен ключ за достъп до билетния сървър. Подобно протича и удостоверяването за други подобни услуги на билетния център.

Разни[редактиране | edit source]

  • Керберос е подобрен Нийдхам-Шрьодер удостоверяващ протокол.

История и разработване

MIT Разработен в МИТ,Kerberos е създаден да защитава мрежовите ресурси предоставени от Project Athena. Протоколът и кръстен на името на митичното създание Kerberos (or Cerberus) гръцката митология което е било триглаво чудовище пазещо вратите към хадес.

Steve Miller и Clifford Neuman, са основните дизайнери на версия 4 на Kerberos,публикувана в края на 80-те.

Версия 5, е създадена от John Kohl и Clifford Neuman, през 1993.

Властите в САЩ класифицират Kerberos като технология с възможна военна употреба и ограничават експорта й поради използването на DES алгоритъмът за криптиране( 56-битов ключ).

Windows 2000 и лседващите версии използват Kerberos като метод за удостоверяване по подразбиране.

Теория

Kerberos използва за основа симетричен Needham-Schroeder протокол. Той използва услугите на доверена трета страна, наречена Център за дистрибуция на ключове или на английски - key distribution center (KDC), който предоставя две теоритично независими услуги: Удостоверителн Сървър Authentication Server (AS) и Билето предоставящ сървър -Ticket Granting Server (TGS).

KDC подържа база данни от тайни ключове; всеки елемент от мрежата, без значение клиент или сървър, споделя таен ключ известен само на него и на KDC. Притежаването на този ключ служи за доказване на идентичността на елемнта. За целта на комуникацията, KDC генерира сесиен ключ, който се използва от комуникиращите страни за защита на техните трансмисии.

Сигурността на протокола се основава на краткосрочни удостоверители на автентичност, наречени Kerberos билети. Описание


Недостатъци и ограничения Единична точка та провал: изисква непрекъснат достъп до централен сървър. Когато централният сървър Kerberos неработи, никой неможе да използва системата. Този проблем може да бъде решен, чрез използването на множество сървъри Kerberos и ризирвиране на механизмите за удостоверяване. Протоколът Kerberos има строги изсквания за време, което значи, че часовниците на участващите хостове трябва да са синхронизирани. Билетите са активни през определен период от време и ако часовниците не са синхронизирани с часовника на сървъра Kerberos, удостоверяването ще се провали.Стандартната конфигурация изисква показанията на часовниците да се отклоняват с не повече от 5 минути.

External links[редактиране | edit source]

Шаблон:External links