情報セキュリティにおけるKerberosとは何ですか？

Kerberosは、秘密鍵暗号化を使用したクライアント/サーバーアプリケーションの強力な認証をサポートするように設計されたネットワーク認証プロトコルです。 Kerberosは、ネットワークリソースに最高レベルのセキュリティを提供します。

Kerberosは、これらのネットワークセキュリティ問題の解決策としてMITによって作成されました。 Kerberosプロトコルは強力な暗号化を使用しているため、ユーザーは安全でないネットワーク接続を介してサーバーに対してそのIDを証明できます（その逆も可能です）。クライアントとサーバーがKerberosを使用してIDを判別した後、すべての通信を暗号化して、ビジネスを進める際のプライバシーとデータの整合性を提供することもできます。

Kerberosは、BSDオペレーティングフレームワークおよびX Window Systemで使用されているものとまったく同じ著作権許可の下で、MITからオープンにアクセスできます。 MITはソース形式でKerberosをサポートしているため、Kerberosを使用する必要がある人は誰でも自分でコードを表示し、コードが信頼できるものであることを確認できます。さらに、専門的にサポートされている製品をベースにすることを好む人のために、Kerberosはいくつかの複数のベンダーからの製品として利用可能です。

Kerberosはクライアント/サーバーアーキテクチャを適用し、ホスト間認証ではなくユーザー間認証をサポートします。このモデルでは、セキュリティと認証は、ネットワーク上の各ホストが独自の秘密鍵を持っている秘密鍵技術に依存します。

Kerberosサーバー/KDCには、認証サーバー（AS）とチケット許可サーバー（TGS）を含む2つの主要な機能があります。アプリケーションクライアントとアプリケーションサーバーの間に認証されたセッションを作成する手順は次のとおりです-

• Kerberosクライアントソフトウェアは、KerberosサーバーのASfunctionとの接続を作成します。 ASは最初に、クライアントが本来あるべき人物であることを認証します。 ASは、このログインセッションの秘密鍵（TGSセッションキー）と、TGSとの通信をクライアントに許可するチケット許可チケット（TGT）でクライアントをサポートします。チケットの有効期間は限られているため、認証プロセスは次のようになります。体系的に繰り返されます。

• クライアントはTGSと通信して、アプリケーションサーバーのキーを取得し、クライアント（クライアント）が必要なサービスへの接続を作成できるようにします。クライアントはTGSにTGSセッションキーとTGTを提供します。 TGSは、ApplicationSession Key（ASK）と暗号化された形式のアプリケーションサーバーの秘密鍵で確認応答します。この秘密鍵がネットワーク上で複数の形式で送信されることはありません。

• クライアントは自身を認証し、Kerberosチケット、アプリケーションセッションキー、および暗号化されたアプリケーションサーバーシークレットキーを提供することにより、ApplicationServerに対するIDを判別できます。アプリケーションサーバーは、同じ暗号化されたデータで応答して、クライアントに対して自身を認証します。次に、クライアントは、Telnet、FTP、HTTP、eコマーストランザクションセッションの確立など、目的のサービス要求を発信できます。