Kerberos身份验证是分布式环境中开放系统开发的身份验证机制。当用户第1次登录上工作站时,需输进自己的账号与口令。从用户登录到退出这段时间叫做一个登录会话。在会话中,用户可能需要访问远程资源。这些远程资源需要验证用户的身份,那么用户登录的工作站将为用户实施认证,而用户本身无需知道实施了认证。Kerberos是一种基于对称加密在网络上进行身份验证的服务协议,其可使工作站由交换加密消息于非安全网络上和另一台工作站互证身份,一旦尝试登录上网的用户身份得到验证, Kerberos协议则会向这2台工作站给出密钥,并通过用密钥与加密算法给用户间的通信加密以进行安全的通信。
目前,Kerberos协议有5个版本,前3个版本已不再使用,第4与5版从概念上说很相似,但根本原理完全不一样。第4版用户量大,结构更为简单且性能好,不过它只可用在TCP/IP协议,而第5版的功能更多。
Kerberos实现包括在网络上的物理安全节点上运行的KDC和可以调用的函数库,由KDC的第三方服务核验计算机彼此的身份,并建立密钥来确保计算机间的连接是安全的。
Kerberos协议实际上有3种不同的认证类型:
1.认证服务器(AS)认证:是在客户和清楚客户秘钥的Kerberos认证服务器间的一次初始认证。此认证使客户有了一张能访问指定的认证服务器的票据。
2.票据许可服务器(TGS)认证:是在客户与指定的认证服务器间的一次认证,这个时候,验证服务器称为票证许可证服务器。客户未用自己的秘钥,但用了在AS那里得到的票据。此次交换使客户可更深入地访问指定的认证服务器的票据。
3.客户机/服务器(CS)认证:是在客户与指定的认证服务器间的一次认证,此时,该认证服务器叫做目标服务器,客户对目标服务器认证或目标服务器对客户认证。此过程用了在AS或TGS那里交换到的票据。
