Kerberos là một thủ tục nâng cao độ an tòan khi xác thực trong môi trường mạng phân tán. Kerberos dựa trên kỹ thuật mật mã đối xứng (DES).
Có thể tóm lược thủ tục xác thực của Kerberos version 4 như sau: 1- Máy con yêu cầu AS cung cấp thẻ xác nhận người dùng:
C AS: IDc + IDtgs + TS1
2- AS cung cấp thẻ xác nhận người dùng cho máy con:
AS C: E([Kc,tgs + IDtgs + TS2 + Lifetime2 + Tickettgs], Kc)
Tickettgs = E([Kc,tgs + IDc + ADc + IDtgs + TS2 + Lifetime2],
Ktgs)
3- Máy con yêu cầu TS cung cấp thẻ truy xuất dịch vụ:
C TGS: IDv + Tickettgs + Authenticatorc
4- TGS cung cấp thẻ truy xuất dịch vụ cho máy con:
TGS C: E([Kc,v + IDv + TS4 + Ticketv], Kc,tgs)
Tickettgs = E([Kc,tgs + IDC +ADC + IDtgs + TS2 + Lifetime2],
Ktgs)
Ticketv = E([Kc,v + IDC + ADC + IDv + TS4 + Lifetime4], Kv)
Authenticatorc = E([IDC + ADC + TS3], Kc,tgs)
5- Máy con yêu cầu dịch vụ:
C V: Ticketv + Authenticatorc
Authenticatorc = E([IDc + ADC + TS5], Kc,v)
6- Server xác thực với máy con (không bắt buộc):
V C: E([TS5 + 1], Kc,v)
Hình 2.10. Thủ tục xác thực Kerberos 4
Các thành phần trong các bản tin của Kerberos:
Bản tin (1): Máy con yêu cầu cấp thẻ xác nhận người dùng (Ticket Granting
Ticket):
- IDC: Nhận diện của người dùng (do máy con gởi đến cho AS, dựa trên
thông tin đăng nhập củangười dùng).
- IDtgs: Nhận diện của TGS, mục đích cho AS biết rằng máy con đang muốn truy xuất đến TGS.
- TS1: Nhãn thời gian, đồng bộ thời gian giữa AS và máy con.
- Bản tin (2): AS cung cấp thẻ xác nhận người dùng cho máy con:
- Kc: Dùng chính mật khẩu của người dùng làm khoá mật mã, vừa có mục
đích bảo vệ thông tin vừa cho phép AS xác thực mật khẩu của người dùng. Nếu máy con không có mật khẩu đúng thì sẽ không giải mã được bản tin này.
- Kc, tgs: khoá bí mật được dùng giữa máy con và TGS do AS tạo ra. Khóa này chỉ có tác dụng trong một phiên làm việc (session key).
- IDtgs: Nhận diện của TGS, dùng để xác nhận rằng thẻ này có tác dụng cho phép máy con truy xuất đến TGS.
- TS2: Nhãn thời gian, cho biết thời điểm thẻ được tạo ra. - Lifetime2: Cho máy con biết thời gian tồn tại của thẻ. - Tickettgs: Máy con dùng thẻ này để truy xuất TGS.
- Bản tin (3): Máy con yêu cầumáy chủ TGS cấp thẻ truy xuất dịch vụ
(Service Granting Ticket):
- IDV: Nhận dạng của máy chủ V, dùng để thông báo cho TGS là máy con
muốn truy xuất đến dịch vụ của máy chủ V.
- Tickettgs: Thẻ được cấp cho máy con bởi AS
- Authenticatorc: một giá trị được tạo ra bởi máy con để xác minh thẻ. - Bản in (4): TGS cung cấp thẻ truy xuất dịch vụ cho máy con::
- Kc, tgs: Khoá bí mật dùng chung giữa máy con và TGS
- Kc, v: Khoá bí mật giữa máy con và máy chủ V do TGS tạo ra. Khoá này
chỉ có giá trị trong từng phiên làm việc (session key).
- IDv: Nhận diện của máy chủ V, xác nhận thẻ của máy chủ V
- TS4: nhãn thời gian cho biết thời điểm thẻ được tạo ra.
- Ticketv: Thẻ được máy con dùng để truy xuất máy chủ V.
- Tickettgs: Thẻ này được dùng lại để người dùng không phải nhập lại mật
khẩu khi muốn truy xuất dịch vụ khác.
- Ktgs: Khóa bí mật dùng chung giữa AS và TGS.
- Kc, tgs: Session key được TGS dùng để giải mã authenticator. Khoá này được dùng chung giữa máy con và TGS.
- IDC: Nhận diện máy con, cho biết đây là chủ sở hữu của thẻ.
- ADC: Địa chỉ mạng của máy con, dùng để ngăn chặn trường hợp một máy khác lấy cắp thẻđể yêu cầu dịch vụ.
- IDtgs: Nhận diện TGS, để xác nhận thẻ đã được giải mã thành công.
- TS2: Nhãn thời gian cho biết thời điểm tạo ra thẻ.
- Lifetime2: Thời gian tồn tại thẻ, ngăn chặn sử dụng lại thẻ (Replay). - Authenticatorc: Thông tin xác thực của máy con.
- Kc, tgs: Khoá bí mật dùng chung giữa máy con và TGS, dùng để mã hoá thông tin xác thực của máy con.
- IDc: Nhận dạng máy con, phải trùng với ID trong thẻ.
- ADc: Địa chỉ mạng của máy con, phải trùng với địa chỉ trong thẻ. - TS3: Nhãn thời gian, cho biết thời điểm Authenticator được tạo ra. - Bản tin (5): Máy con yêu cầu truy xuất dịch vụ:
- Authenticatorc: Thông tin xác thực thẻ của máy con. - Bản tin (6): Máy chủ V xác thực với máy con:
- Kc, v: Khoá bí mật dùng chung giữa máy con và máy chủ V.
- TS5 + 1: Nhãn thời gian, không dùng thông tin xác thực cũ
- Ticketv: Thẻ truy xuất máy chủ V, có thể dùng lại khi máy con truy xuất
dịch vụ đến chính máy chủ V không cần yêu cầu cấp thẻ mới.
- Kv: Khoá bí mật dùng chung giữa TGS và máy chủ V.
- Kc, v: Khoá bí mật dùng chung giữa máy con và máy chủ V, dùng để giải
mã thông tin xác thực.
- IDc: Nhận dạng của máy con.
- ADc: Địa chỉ mạng của máy con.
- IDv: Nhận dạng của máy chủ V.
- TS4: Nhãn thời gian cho biết thời điểm thẻ được tạo.
- Lifetime4: Thời gian tồn tại của thẻ.
- Authenticatorc: Thông tin xác thực của máy con.
- Kc, v: Khoá bí mật, dùng chung giữa máy con và máy chủ V để mã hoá thông tin xác thực.
- IDc: Nhận diện máy con, phải giống với IDc trong thẻ
- ADc: Địa chỉ mạng của máy con, phải giống với địa chỉ trong thẻ.
- TS5: Thời điểm thông tin xác thực được tạo ra.
Kết hợp giữa nhiều hệ thống Kerberos:
Một môi trường sử dụng hệ thống xác thực Kerberos đầy đủ bao gồm máy chủ Kerberos (Kerberos server), các máy chủ dịch vụ (application server) và các máy con sử dụng dịch vụ (client), trong đó:
Máy chủ Kerberos phải có danh sách tất cả các tên đăng nhập và mật khẩu đã được mã hóa của các người dùng này. Tất cả các máy con đều phải đăng ký với máy chủ Kerberos.
Máy chủ Kerberos sử dụng một khóa bí mật chung với các máy chủ còn
lại. Tất cả các máy chủ đều phải đăng ký với máy chủ Kerberos. Một môi trường thỏa mãn các điều kiện như vậy được gọi là một Domain Như vậy, các máy chủ và máy con thuộc các đơn vị quản lý khác nhau sẽ thuộc về các lãnh địa Kerberos khác nhau. Giao thức xác thực Kerberos cũng bao
gồm các thủ tục cho phép kết hợp các lãnh địa Kerberos lại để cung cấp dịch vụ một cách đồng nhất.
Trình tự của thủ tục kết hợp lãnh địa Kerberos được tóm tắt như sau: (1)C AS: IDc + IDtgs + TS1
(2) AS C: E([Kc,tgs + IDtgs + TS2 + Lifetime2 + Tickettgs], Kc) (3) C TGS: IDtgsrem + Tickettgs + Authenticatorc
(4) TGS C: E([Kc,tgsrem + IDtgsrem + TS4 + Tickettgsrem], Kc,tgs) (5) C TGSrem: IDvrem + Tickettgsrem + Authenticatorc
(6) TGSrem C: E([Kc,vrem + IDvrem + TS6 + Ticketvrem], Kc,tgsrem) (7) C Vrem: Ticketvrem + Authenticatorc