Kerberos เป็นโปรโตคอลการตรวจสอบเครือข่ายที่ออกแบบมาเพื่อรองรับการตรวจสอบสิทธิ์ที่มีประสิทธิภาพสำหรับแอปพลิเคชันไคลเอนต์/เซิร์ฟเวอร์โดยใช้การเข้ารหัสลับคีย์ Kerberos มอบความปลอดภัยระดับสูงสุดให้กับทรัพยากรเครือข่าย
Kerberos ผลิตโดย MIT เพื่อแก้ปัญหาด้านความปลอดภัยเครือข่ายเหล่านี้ โปรโตคอล Kerberos ใช้การเข้ารหัสที่มีประสิทธิภาพ เพื่อให้ผู้ใช้สามารถพิสูจน์ตัวตนกับเซิร์ฟเวอร์ (และในทางกลับกัน) ผ่านการเชื่อมต่อเครือข่ายที่ไม่ปลอดภัย หลังจากที่ลูกค้าและเซิร์ฟเวอร์ใช้ Kerberos เพื่อระบุตัวตนแล้ว พวกเขายังสามารถเข้ารหัสการสื่อสารทั้งหมดเพื่อให้ความเป็นส่วนตัวและความสมบูรณ์ของข้อมูลในขณะทำธุรกิจ
Kerberos สามารถเข้าถึงได้อย่างเปิดเผยจาก MIT ภายใต้การอนุญาตด้านลิขสิทธิ์เหมือนกับที่ใช้สำหรับกรอบการทำงาน BSD และระบบ X Window MIT รองรับ Kerberos ในรูปแบบซอร์สเพื่อให้ทุกคนที่ต้องการใช้สามารถดูโค้ดได้ด้วยตนเองและระบุว่าโค้ดมีความน่าเชื่อถือ นอกจากนี้ สำหรับผู้ที่ต้องการใช้ผลิตภัณฑ์ที่ได้รับการสนับสนุนอย่างมืออาชีพ Kerberos มีให้บริการเป็นผลิตภัณฑ์จากผู้ขายหลายราย
Kerberos ใช้สถาปัตยกรรมไคลเอนต์/เซิร์ฟเวอร์ และรองรับการพิสูจน์ตัวตนแบบผู้ใช้กับเซิร์ฟเวอร์แทนการพิสูจน์ตัวตนแบบโฮสต์ต่อโฮสต์ ในรูปแบบนี้ การรักษาความปลอดภัยและการตรวจสอบสิทธิ์จะขึ้นอยู่กับเทคโนโลยีรหัสลับซึ่งแต่ละโฮสต์บนเครือข่ายมีรหัสลับของตัวเอง
Kerberos Server/KDC มีสองหน้าที่หลัก ได้แก่ Authentication Server (AS) และ Ticket-Granting Server (TGS) ขั้นตอนในการสร้างเซสชันที่รับรองความถูกต้องระหว่างไคลเอนต์แอปพลิเคชันและแอปพลิเคชันเซิร์ฟเวอร์คือ -
-
ซอฟต์แวร์ไคลเอ็นต์ Kerberos สร้างการเชื่อมต่อกับฟังก์ชัน AS ของเซิร์ฟเวอร์ Kerberos AS จะตรวจสอบความถูกต้องก่อนว่าลูกค้าเป็นใคร AS สนับสนุนลูกค้าด้วยรหัสลับสำหรับเซสชันการเข้าสู่ระบบนี้ (รหัสเซสชัน TGS) และตั๋วให้สิทธิ์ (TGT) ซึ่งให้สิทธิ์ลูกค้าในการพูดคุยกับ TGS ตั๋วมีอายุ จำกัด เพื่อให้กระบวนการตรวจสอบสิทธิ์เป็น ซ้ำๆ อย่างเป็นระบบ
-
ลูกค้าสื่อสารกับ TGS เพื่อรับรหัสของเซิร์ฟเวอร์แอปพลิเคชัน เพื่อให้ (ไคลเอนต์) สามารถสร้างการเชื่อมต่อกับบริการที่ต้องการได้ ลูกค้าจัดหา TGS ด้วยรหัสเซสชัน TGS และ TGT TGS รับทราบด้วย ApplicationSession Key (ASK) และรูปแบบที่เข้ารหัสของรหัสลับของ Application Server รหัสลับนี้จะไม่ถูกส่งบนเครือข่ายในรูปแบบต่างๆ
-
ไคลเอ็นต์ได้ตรวจสอบสิทธิ์ตัวเองแล้วและสามารถระบุตัวตนของตนกับ ApplicationServer ได้โดยการจัดหาตั๋ว Kerberos คีย์เซสชันของแอปพลิเคชัน และคีย์ลับของเซิร์ฟเวอร์ที่เข้ารหัสไว้ เซิร์ฟเวอร์แอปพลิเคชันตอบสนองด้วยข้อมูลที่เข้ารหัสเดียวกันเพื่อพิสูจน์ตัวตนกับไคลเอนต์ จากนั้นลูกค้าสามารถเริ่มต้นคำขอบริการที่ต้องการ เช่น Telnet, FTP, HTTP หรือการสร้างเซสชันธุรกรรมอีคอมเมิร์ซ