TechTarget安全 > 百科词汇

Kerberos:Kerberos

Kerberos是计算机网络中的验证服务请求的一种安全方法。Kerberos是在麻省理工学院(MIT)的Athena项目中开发的。它的名字取自希腊神话;Kerberos是守卫地域之门的一只三头狗。Kerberos把用户的请求变成验证过程的一张加密的“入场券”,然后验证过程再向服务器提出特定服务的请求。用户的密码不一定要通过网络。Kerberos的版本(客户端或服务器)可以在MIT下载到,或者你也可以购买商业版本。
  
  简要大概地说一下Kerberos是如何工作的:

  1. 假设你要在一台电脑上访问另一个服务器(你可以发送telnet或类似的登录请求)。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。
  2. 要得到这张入场券,你首先要向验证服务器(AS)请求验证。验证服务器会创建基于你的密码(从你的用户名而来)的一个“会话密钥”(就是一个加密密钥),并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。
  3. 然后,你把这张允许入场的入场券发到授权服务器(TGS)。TGS物理上可以和验证服务器是同一个服务器,只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。 
  4. 服务器或者拒绝这张票据,或者接受这张票据并执行服务。
  5. 因为你从TGS收到的这张票据是打上时间戳的,所以它允许你在某个特定时期内(一般是八小时)不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。

  实际的过程要比刚才描述的复杂得多。用户过程也会根据具体执行有一些改变。

 

最近更新时间:2008-06-17 作者:Steve SpenceEN

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • Kerberos能抵御哈希值传递攻击吗?

    Kerberos是一种用于各种计算机系统的开放式身份验证协议,其中密码哈希既不被发送也不被存储,所以无法被获取或者重复利用。Kerberos能有效抵御哈希值传递攻击吗?

  • 客户端服务器应用上的SSO

    问:SSO可以在客户端应用上采用吗?
    Passport和Liberty是SSO的解决反感吗?他们出现过漏洞吗?

  • 编写你自己的单点登录(SSO)服务(三)

    单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。本文是编写自己的单点登录服务的第三部分……

  • 使用Kerberos实现统一认证(二)

    这是”使用Kerberos实现统一认证”(二),认证是判断实体X是否能访问资源Y的过程,判断X的身份是认证过程的工作,认证任务之一是定义和判断哪个用户可以访问哪台计算机。