Passi in Kerberos Encyption

February 15

Passi in Kerberos Encyption


Kerberos è un servizio di protocollo di autenticazione che viene utilizzato per proteggere le risorse di rete da accessi non autorizzati su Microsoft client / reti basate su server, come ad esempio quelli che utilizzano Microsoft Windows 2003 Server. Kerberos protegge le risorse come i file e database memorizzati sui server di rete, assicurando che solo i client che hanno eseguito con successo alla rete possono accedere a questi servizi. Kerberos consente l'accesso alle risorse solo ai clienti con account elencati in un database utente di rete e account computer, come Active Directory, utilizzati da Windows 2003 Server.

Richiesta di concessione ticket Ticket

Un computer client su una rete, come ad esempio un computer desktop che esegue Windows XP o Windows 7, potrebbe essere necessario accedere a una risorsa, ad esempio un file, memorizzato su un server di archiviazione di dati di rete. Il client invia una richiesta digitale al server che ha autenticato sulla rete durante l'accesso. La richiesta chiede al server di autenticazione per verificare le credenziali del client in Active Directory e creare un certificati il ​​cliente avrà bisogno di presentare per richiedere l'accesso alle risorse di rete. Il server Active Directory crea un certificato digitale crittografato, contenente una chiave di sessione (SK), e un ticket di concessione ticket (TGT), che invia al computer client.

Ticket Granting Server

Il client decifra la chiave di sessione andt crea un autenticatore digitale da inviare a un server ticket Concessione. L'autenticatore contiene il nome del cliente e l'indirizzo del suo protocollo Internet (IP), più una marca temporale. Il server Ticket concessione è un server di rete che ospita il servizio di sicurezza Kerberos. In una rete client / server basato su Windows, questo è solitamente il server che ospita il servizio di autenticazione di Active Directory.

Il client invia l'autenticatore che ha creato, insieme con il TGT ha ricevuto dal server Active Directory, al server Ticket concessione. Il server biglietteria concessione utilizza l'autenticatore e il TGT per creare un nuovo SK. Inoltre, crea un certificato digitale conosciuto come un server ticket di destinazione, contenente le credenziali che il cliente avrà bisogno di accedere al file memorizzato sul server di destinazione. Il nuovo server di destinazione ticket contiene il nome del cliente e l'indirizzo IP e un tempo di scadenza Target Server biglietteria, più chiave di protezione del server di destinazione e il nome del server di destinazione. La nuova SK e il server di destinazione biglietteria sono criptati e inviati al client.

L'autenticazione del server di destinazione

Il client invia il nuovo SK e il server di destinazione Ticket al server che ospita il file che il cliente desidera accedere. Il server di destinazione accetta la richiesta perché la richiesta contiene la chiave di protezione del server di destinazione. Il server di destinazione decifra il server di biglietteria di destinazione e controlla le informazioni di autenticazione del client SK, l'indirizzo IP del client e il timestamp. Poiché le richieste di accesso più di rete richiedono una comunicazione bidirezionale tra il client e il server che ospita le risorse, il server di destinazione utilizza l'SK per generare un messaggio, compreso il tempo di timbro, incrementato di uno, e usa la chiave di crittografia del SK per crittografare questo messaggio, che invia al client per dimostrare che è il server che il cliente vuole comunicare.

L'accesso alle risorse

Il server di destinazione è ormai accertato che il client server ha il diritto di stabilire una sessione di comunicazione, e il cliente è soddisfatto che il server di destinazione è il server corretto, in quanto il server di destinazione riconosciuto la chiave crittografata sicurezza digitale che il cliente ha presentato. Client e server sia condividono la SK per stabilire una sessione di comunicazione.

Questo non significa che il cliente può accedere al file memorizzato sul server di destinazione. Kerberos permette la comunicazione sicura solo tra i computer. I file sono protetti dalle proprie autorizzazioni di accesso delle risorse individuali.