Trinn i Kerberos Encyption

Trinn i Kerberos Encyption


Kerberos er en autentiseringsprotokoll tjeneste som brukes til å beskytte nettverksressurser mot uautorisert tilgang på Microsoft klient / server-baserte nettverk, for eksempel de som bruker Microsoft Windows 2003 server. Kerberos beskytter ressurser som filer og databaser som er lagret på nettverkstjenere ved å sikre at bare kunder som har logget seg på nettverket kan få tilgang til disse tjenestene. Kerberos gir ressurstilgang kun til kunder med kontoer som er oppført i et nettverk bruker og datamaskin konto database, som Active Directory, som brukes av Windows 2003 server.

Forespørsel om en Ticket Gran Ticket

En klient datamaskin på et nettverk, for eksempel en stasjonær datamaskin som kjører Windows XP eller Windows 7, kan ha behov for å få tilgang til en ressurs, for eksempel en fil som er lagret på en nettverks datalagring server. Klienten sender en digital forespørsel til serveren som godkjente den på nettverket under pålogging. Forespørselen spør godkjenningsserveren for å sjekke kundens legitimasjon i Active Directory og skape en sertifikatene klienten trenger for å presentere for å be om tilgang til nettverksressurser. Active Directory-serveren oppretter en kryptert digitalt sertifikat, som inneholder en sesjonsnøkkel (SK), og en Ticket Gran Ticket (TGT), som den sender tilbake til klientmaskinen.

Billett Tildeling Server

Klienten dekrypterer sesjonsnøkkel andt skaper en digital autentifikatoren å sende til en billett Tildeling Server. Den autentifikatoren inneholder klient navn, og dens IP (Internet Protocol) adresse, pluss en tidsangivelse. Billetten Tildeling Server er en nettverksserver hosting Kerberos sikkerhetstjeneste. På en Windows-basert klient / server-nettverk, er dette vanligvis serveren som er vert for Active Directory-autentisering service.

Klienten sender autentifikatoren det har skapt, sammen med TGT det mottatt fra Active Directory-server, til Ticket Tildeling Server. Billetten Tildeling Server bruker autentifikatoren og TGT å opprette en ny SK. Det skaper også et digitalt sertifikat kjent som en Target Server Ticket, som inneholder legitimasjon som kunden trenger for å få tilgang til filen er lagret på måltjeneren. Den nye Target Server Billett inneholder klient navn og IP-adresse og et mål Server Ticket utløpstiden, pluss målet serverens sikkerhetsnøkkel og navnet på målserveren. Den nye SK og Target Server Ticket krypteres og sendes tilbake til klienten.

Target Server Authentication

Klienten sender den nye SK og Target Server Ticket til serveren som er vert for filen som kunden ønsker å få tilgang. Målet serveren godtar forespørselen fordi forespørselen inneholder målet serverens sikkerhetsnøkkel. Målet serveren dekrypterer Target Server Ticket og sjekker SK klientgodkjenning informasjon, klienten IP-adresse og tidsangivelse. Fordi de fleste nettverkstilgangsforespørsler krever toveis kommunikasjon mellom klient og server-hosting ressurser, benytter målet serveren SK til å generere en melding, inkludert tidsangivelsen, øke med én, og bruker SK krypteringsnøkkel til å kryptere denne meldingen, som den sender tilbake til klienten for å bevise at det er serveren som klienten ønsker å kommunisere med.

ressurstilgang

Målet serveren er nå tilfreds med at klient-server har rett til å opprette en kommunikasjonsøkt, og kunden er tilfreds med at målet serveren er riktig server, som målet serveren gjenkjenner kryptert digital sikkerhetsnøkkelen at klienten presentert. Klient og server både dele SK å etablere en kommunikasjonsøkt.

Dette betyr ikke at kunden har tilgang til filen er lagret på måltjeneren. Kerberos gir sikker kommunikasjon bare mellom datamaskiner. Filer er beskyttet av sine egne individuelle ressurstilgangstillatelser.