Το Kerberos είναι ένα πρωτόκολλο ελέγχου ταυτότητας δικτύου που χρησιμοποιεί κρυπτογραφημένα εισιτήρια για τη μετάδοση πληροφοριών μέσω μη ασφαλών δικτύων. Ο έλεγχος ταυτότητας Kerberos παρουσιάζει αρκετά πλεονεκτήματα έναντι άλλων μεθόδων ελέγχου ταυτότητας δικτύου, έτσι ώστε οι κόμβοι που επικοινωνούν μεταξύ τους να μπορούν να εμπιστεύονται ότι οι πληροφορίες που λαμβάνουν είναι αυθεντικές και αξιόπιστες και ότι οι μελλοντικές συνεδρίες θα έχουν την ίδια αυθεντικότητα.
Αμοιβαίος έλεγχος ταυτότητας
Όταν δύο κόμβοι - όπως πελάτης και διακομιστής ή διακομιστής και διακομιστής - αρχίζουν επικοινωνίες, μεταβιβάζουν κρυπτογραφημένα εισιτήρια μέσω ενός αξιόπιστου συστήματος τρίτων μερών που ονομάζεται Κέντρο διανομής κλειδιών. Το KDC περνά ένα μυστικό εισιτήριο με ένα κλειδί αποκρυπτογράφησης και στους δύο κόμβους. Στη συνέχεια, οι κόμβοι περνούν κρυπτογραφημένες χρονικές σφραγίδες μεταξύ τους και χρησιμοποιούν το κλειδί για την αποκρυπτογράφηση τους. Εάν το κάνουν με επιτυχία, ελέγχουν την ταυτότητά τους και μπορούν να εμπιστευτούν ο ένας τον άλλον για όσο διάστημα η συνεδρία παραμένει ανοιχτή.
Κωδικοί πρόσβασης
Όταν ένας διακομιστής προσπαθεί να πραγματοποιήσει έλεγχο ταυτότητας ενός υπολογιστή-πελάτη χρησιμοποιώντας το πρωτόκολλο Kerberos, ο πελάτης δεν χρειάζεται να στείλει έναν κωδικό πρόσβασης - χάρη στον αμοιβαίο έλεγχο ταυτότητας, τόσο ο πελάτης όσο και ο διακομιστής έχουν τις απαραίτητες πληροφορίες που απαιτούνται για την αποκρυπτογράφηση των εισιτηρίων. Αυτό σημαίνει ότι κάθε sniffers πακέτων που παρακολουθεί την επικοινωνία δεν θα έχει πρόσβαση σε κωδικούς πρόσβασης πελάτη ή διακομιστή, πόσο μάλλον άλλες πληροφορίες που έχουν περάσει κατά τη διάρκεια της συνεδρίας.
Ολοκληρωμένες συνεδρίες
Όταν ένας κόμβος πελάτη πιστοποιείται σε ένα δίκτυο που υποστηρίζεται από Kerberos, λαμβάνει ένα εισιτήριο πελάτη με σφραγίδα χρόνου λήξης. Εφόσον το εισιτήριο δεν έχει λήξει, ο πελάτης μπορεί να το χρησιμοποιήσει για πρόσβαση σε οποιαδήποτε άλλη υπηρεσία δικτύου που υποστηρίζει τον έλεγχο ταυτότητας Kerberos χωρίς να χρειάζεται να επαναπροσδιορίσει τον εαυτό του. Εάν η περίοδος λειτουργίας του πελάτη στο δίκτυο εξακολουθεί να είναι ενεργή, αλλά το εισιτήριο λήγει, ο πελάτης μπορεί να ζητήσει νέο εισιτήριο.
Ανανεώσιμες συνεδρίες
Μόλις ένας πελάτης και ένας διακομιστής έχουν πιστοποιηθεί μεταξύ τους, δεν χρειάζεται να το κάνουν ξανά. Ως μέρος του αμοιβαίου ελέγχου ταυτότητας, ο πελάτης λαμβάνει διαπιστευτήρια από το διακομιστή. Όταν ο πελάτης ξεκινά μια μελλοντική περίοδο λειτουργίας, στέλνει τα διαπιστευτήριά του στον διακομιστή, ο οποίος τους αναγνωρίζει και επικυρώνει αμέσως τον πελάτη. Αυτό εξαλείφει την ανάγκη για KDC, έτσι οι δύο κόμβοι μπορούν να δημιουργήσουν μια ασφαλή σύνδεση ακόμη πιο γρήγορα από ό, τι στην πρώτη συνεδρία τους.