logo search
Материалы для PDF / Информационная безопасность

Сервер аутентификации Kerberos

Kerberos — это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.

Kerberos предназначен для решения следующей задачи. Имеется откры­тая (незащищенная) сеть, в узлах которой сосредоточены субъекты — пользо­ватели, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом. Чтобы субъект С мог доказать свою под­линность субъекту S (без этого S не станет обслуживать С), он должен не толь­ко назвать себя, но и продемонстрировать знание секретного ключа (рис 9.1).

Рис. 9.1. Схема формирования доступа

С и s — сведения (например, имя), соответственно, о клиенте и сервере. dl и d2 — дополнительная (по отношению к билету) информа­ция. Tc.s — билет для клиента С на обслуживание у сервера S. Кс и Ks — секретные ключи клиента и сервера. {info}K — информация info, зашиф­рованная ключом К

Приведенная схема — крайне упрощенная версия реальной процеду­ры проверки подлинности. Более подробное рассмотрение системы Kerberos можно найти, например, в статье В. Галатенко «Сервер аутенти­фикации Kerberos» (Jet Info, 1996, 12-13). Нам же важно отметить, что Kerberos не только устойчив к сетевым угрозам, но и поддерживает кон­цепцию единого входа в сеть.