Kerberos身份认证系统是基于可信赖的第三方的认证系统,一直在Unix系统中广泛采用,Microsoft公司在推出的Windows 2000中也实现了这一认证系统,并作为它的默认认证系统。Kerberos用对称密钥体制加密信息。它的基本思想是可正确解密信息的用户即为合法用户。
基于Kerberos身份认证系统包括如下内容。
(1)客户机:被认证方装有Kerberos客户端的计算机。
(2)应用服务器:给出被认证方最终期望访问的服务器。
(3)身份认证服务器:认证系统中所有用户的身份,保存所有用户口令。
(4)票据许可服务器:给用户分发最后想要访问的服务器的票据。用户用该票据向服务器证明身份。
TGS与AS共同组成Kerberos密钥分配中心KDC(也称Kerberos服务器)。
在大型的系统用的Kerberos身份认证系统较多,它有如下优点。
(1)安全性高。Kerberos系统中没有口令信息的明文传输,使窃听者很难在网络上得到相应的口令信息。
(2)透明性高。第三方仲裁参与认证开放网络中两方,不过对用户而言却完全感觉不到。
(3)可扩展性好,管理集中度高。Kerberos向每个服务给出认证,保证应用的安全。另外,大型的系统可用层次化的区域管理。
但是,Kerberos也存在如下一些问题。
(1)Kerberos服务器变成了网络的单点瓶颈,如果发生故障会使整个安全系统无法工作。
(2)AS存储了系统里全部用户的口令,其它的安全性一定得有充足的保证。
(3)AS在传输用户和TCS间的会话密钥的时候是通过用户密钥进行加密的,而用户密钥是用户口令生成的,所以可能遭受口令猜测的攻击。
(4)Kerberos用了时间戳,所以有时间同步问题。
(5)根据用户数的增多,密钥管理比较繁杂。当N个用户要同一时间通信时,还得有N*(N-1)/2个密钥。
