Kerberos協議

Kerberos由MIT于1988年開發，用于分布式環境中的應用層協議，這是一個身份認證協議。其設計目標是通過密鑰系統為客戶機/服務器應用程序提供強大的認證服務。Kerberos在一個分布式的Client/Server體系的機構中，引入一個可信任的第三方(Kerberos服務器)，使用共享密鑰加密技術，讓其提供認證服務。

簡寫	全稱	作用
KDC	key distributed center	整個安全認證過程的票據生成管理服務，其中包含兩個服務，AS和TGS
AS	authentication service	為client生成TGT的服務
TGS	ticket granting service	為client生成某個服務的ticket
AD	account database	存儲所有client的白名單，只有存在于白名單的client才能順利申請到TGT
TGT	ticket-granting ticket	用于獲取ticket的票據
Ticket	票據	身份或權利的證明，Ticket由AS以數據報形式發放給C
client		想訪問某個server的客戶端
server		提供某種業務的服務

1、Kerberos要解決的問題

在一個開放的分布式網絡環境中，用戶通過工作站訪問服務器提供的服務，存在許多問題：

工作站上的用戶可以冒充另一個用戶操作

用戶可以改變工作站的地址冒充另一臺工作站

用戶可以竊聽并回放他人的信息交換，獲得對于某種服務的訪問權或中斷服務的運行

使用假冒服務器從而騙得用戶的機密信息

2、Kerberos 4認證過程

認證服務交換：獲得票據許可票據-- Tickettgs = EKtgs[Kc,tgs || IDc || ADc || IDtgs || TS2 || Lifetime2]

1）C → AS ：IDc || IDtgs || TS1

2）AS → C : EKc[Kc,tgs || IDtgs || TS2 || Lifetime2 || Tickettgs]

票據許可服務交換：獲得服務許可票據-- Ticketv = EKv[KC,V || IDc || ADc || IDv || TS4 || Lifetime4]；Kc,tgs : 由AS生成允許客戶端和TGS間安全交換報文；Authenticatorc = EKc,tgs[IDc || ADc || TS3]符號說明：Authenticatorc ：由客戶端產生認證符，證明票據的有效性

3）C → TGS ：IDv || Tickettgs || Authenticatorc

4）TGS → C ：Kc,tgs[KC,V || IDv || TS4 || Ticketv]

客戶端/服務器端認證交換：獲得服務-- Authenticatorc = EKc,v[IDc || ADc || TS5]

5）C → V ： Ticketv || Authenticatorc

6）V → C ：EKv[TS5 + 1]

3、Kerberos特點

安全：使網絡竊聽者不能獲得必要的信息來偽裝成另一個客戶。

可靠：對所有以Kerberos進行控制訪問的服務來說，客戶無法通過Kerberos服務器的認證就意味著無法獲得所需要的服務。

透明：用戶除了需要輸入一個口令外，不必知道認證過程的存在以及細節。

可伸縮：可支持大量用戶和服務器。

總結

以上是生活随笔為你收集整理的Kerberos协议的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。