Kerberos身份认证协议是美国麻省理工学院设计的一种协议,Kerberos的实现包括运行在网络上的某个物理安全的节点处的一个密钥分配中心以及一个可供调用的函数库,各个需要认证用户身份的分布式应用程序调用这个函数库,由KDC的第三方服务对计算机互相的身份进行证实,并构建密钥用来保障计算机间的安全连接。
1.认证类型
(1)认证服务器(AS)认证是在客户和知道客户的秘密密钥的Kerberos认证服务器之间进行的一次初始认证。此次认证使客户得到了一张用来访问某一已定认证服务器的票据。
(2)票据许可服务器(TGS)认证是在客户与既定的认证服务器间操作的认证,此时,此认证服务器叫做票据许可服务器。客户未用自己的秘密密钥,但用了从认证服务器那里得到的票据。此次交换使客户得到了逐步访问某个既定认证服务器的票据。
(3)客户服务器(CS)认证是在客户与指定的认证服务器间操作的一次认证,这个时候,该认证服务器被叫做目标服务器,客户给目标服务器进行认证或目标服务器对客户进行认证,这一过程用了从认证服务器或票据许可服务器交换得到的票据。
2.认证过程
开放式网络环境里最凸显的安全威胁为冒充,对手能冒充为另一个用户得到在服务器上没有授权的某些特权。为了避免此种威胁,服务器一定需要可以证实请求服务的用户身份。
