📜  什么是 Kerberos 身份验证?

📅  最后修改于: 2022-05-13 01:56:17.533000             🧑  作者: Mango

什么是 Kerberos 身份验证?

身份验证是向其他人证明自己的身份的过程。作为人,我们通过多种方式相互验证,例如我们在见面时识别每张不同的面孔,我们识别手机上的每一种不同的声音。身份验证协议将在小工具中的 2 个通信方运行其他协议之前运行。身份验证协议首先建立了双方对彼此的快感的识别;最好在身份验证后将事件归结为手头的工作。它是安全网络环境的基本组成部分。

Kerberos 是一种在 MIT 演化而来的网络身份验证协议,它使用一种称为对称密钥加密的加密技术和一个密钥分发中心。尽管 Kerberos 在数字世界中无处不在,但它基于可靠的测试和验证特性被广泛用于安全系统。 Kerberos 用于 Posix 身份验证以及 Active Directory、NFS 和 Samba。它是 SSH、POP 和 SMTP 的另一种身份验证系统。

Kerberos 协议流:

这适用于基于客户端-服务器的模型。 Kerberos 利用对称密钥加密和密钥分发中心 (KDC) 来验证和验证消费者身份。加密和解密使用的对称密钥相同。 KDC 是所有密钥的数据库。一个 KDC 需要 3 个方面:

  • 将消费者与服务服务器 (SS) 连接起来的票据授予服务器 (TGS)。
  • 存储所有测试用户的密码和标识的 Kerberos 数据库。
  • 扮演初步认证的认证服务器(AS)。

假设我们有一个用户(客户端)并且我们有一个服务器(我们需要其网络服务)。用户必须是授权用户。

  • 用户向 KDC 发送消息,请求密钥,以便用户证明其真实性并访问网络的服务。
  • 现在 KDC 中的 AS(身份验证服务器)会将票证发回给用户。票证将采用加密形式。
  • 用户将解密消息并获得哈希码。
  • 哈希码再次发送回 AS。现在 AS 将检查真实性。
  • 如果用户被授权,则 AS 向 Ticket Granting Server 提供服务票证(Secret Key)。
  • TGS 将其提供给用户。
  • 使用此票证,客户端与服务器进行通信。

Kerberos 协议流

Kerberos 是否可靠?

没有 100% 无法访问的保护级别,而 Kerberos 是。长期以来,黑客多年来一直有机会找到绕过您的方法,通常是通过制作假票、反复尝试猜测密码(蛮力/证明输入)以及使用恶意计算机程序来减少加密。除此之外,Keberos 仍然是当今可用的最佳安全访问协议。该协议足够灵活,可以使用非常强大的加密算法来帮助对抗新的威胁,并且当用户制定选择正确密码的策略时,你应该表现自己!

Kerberos 的优点:

  • 访问控制: Kerberos 身份验证协议允许强大的访问控制。用户可以利用单点跟踪所有登录并执行保护策略。
  • 相互验证: Kerberos 验证允许运营商结构和客户相互验证。在该过程的所有步骤中,用户和服务器将了解他们可能与之交互的对方是真实的。
  • 有限票证生命周期: Kerberos 中的每张票证都有时间戳和终身数据,身份验证周期由管理员管理。
  • 可重用身份验证: Kerberos 身份验证是持久且可重用的。每个用户将通过系统进行一次有效的测试。
  • 安全性:多个密钥、第三方授权和加密使 Kerberos 成为一种安全的验证协议。密码不通过网络发送,密钥被加密,使得攻击者很难冒充用户或服务。
  • 性能:关于性能,Kerberos 会在验证后跟踪客户信息。这意味着它可以比 NTLM 做得更好,尤其是在大型农场上。此外,Kerberos 可以将客户端信息从端到端 Web 服务器传输到其他后台服务器,例如 SQL Server。