Kerberos е мрежов протокол за удостоверяване, който използва криптирани билети за предаване на информация през несигурни мрежи. Kerberos удостоверяването представя няколко предимства пред другите мрежови методи за удостоверяване, така че възлите, комуникиращи помежду си, да могат да се доверят, че информацията, която получават, е автентична и надеждна и че бъдещите сесии ще имат същата автентичност.
Взаимно удостоверяване
Когато два възела - като клиент и сървър или сървър и сървър - започнат комуникация, те предават криптирани билети през доверена система на трета страна, наречена Център за разпространение на ключове. KDC предава таен билет с ключ за дешифриране и на двата възела. След това възлите предават криптирани времеви печати един на друг и използват ключа, за да ги дешифрират. Ако го направят успешно, те удостоверяват своите колеги и могат да си имат доверие, докато сесията остане отворена.
Пароли
Когато сървър се опитва да удостовери клиентски компютър, използвайки протокола Kerberos, клиентът не трябва да изпраща парола - благодарение на взаимното удостоверяване, клиентът и сървърът имат необходимата информация, необходима за дешифриране на билетите. Това означава, че всички подслушващи пакети, които подслушват комуникацията, няма да имат достъп до клиентски или сървърни пароли, да не говорим за друга информация, предадена по време на сесията.
Интегрирани сесии
Когато клиентският възел е удостоверен в мрежа, поддържана от Kerberos, той получава клиентски билет с печат за изтичане Докато билетът не е изтекъл, клиентът може да го използва за достъп до всяка друга мрежова услуга, която поддържа удостоверяване Kerberos, без да се налага да се удостоверява отново. Ако сесията на клиента в мрежата е все още активна, но билетът изтича, клиентът може да поиска нов билет.
Възобновяеми сесии
След като клиентът и сървърът се удостоверят един за друг, те никога повече не трябва да го правят. Като част от взаимното удостоверяване, клиентът получава идентификационни данни от сървъра. Когато клиентът инициира бъдеща сесия, той изпраща своите идентификационни данни на сървъра, който ги разпознава и незабавно удостоверява клиента. Това елиминира необходимостта от KDC, така че двата възела могат да установят сигурна връзка дори по-бързо, отколкото през първата си сесия.
