第一部分 Kerberos 協(xié)議介紹 1．Kerberos 協(xié)議簡(jiǎn)介在希臘神話中，Kerberos是守護(hù)地獄之門的三頭狗 。在計(jì)算機(jī)世界里，美國麻省理工學(xué)院(MIT)把他們開發(fā)的這一網(wǎng)絡(luò)認(rèn)證系統(tǒng)命名為Kerberos 。Kerberos認(rèn)證協(xié)議是由美國麻省理工學(xué)院(MIT)在80年代首先提出并實(shí)現(xiàn)的,是該校Athena計(jì)劃的一部分 。因?yàn)镵erberos是一個(gè)三方認(rèn)證協(xié)議，根據(jù)稱為密匙分配中心（KDC）的第三方服務(wù)中心來驗(yàn)證網(wǎng)絡(luò)中計(jì)算機(jī)相互的身份，并建立密匙以保證計(jì)算機(jī)間安全連接 。Kerberos協(xié)議基本上是可行的并且有效的 。KDC有兩個(gè)部分組成：認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器TGS 。Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，允許一臺(tái)計(jì)算機(jī)通過交換加密消息在整個(gè)非安全網(wǎng)絡(luò)上與另一臺(tái)計(jì)算機(jī)互相證明身份 。一旦身份得到驗(yàn)證，Kerberos協(xié)議將會(huì)給這兩臺(tái)計(jì)算機(jī)提供密匙，以進(jìn)行安全通訊對(duì)話 。Kerberos協(xié)議可以認(rèn)證試圖等錄上網(wǎng)用戶的身份，并通過使用密匙密碼為用戶間的通信加密 ?？偟膩碚f，Kerberos 是一種基于私鑰加密算法的，需要可信任的第三方作為認(rèn)證服務(wù)器的網(wǎng)絡(luò)認(rèn)證系統(tǒng) 。它允許在網(wǎng)絡(luò)上通訊的實(shí)體互相證明彼此的身份，并且能夠阻止旁聽和重放等手段的攻擊 。不僅如此，它還能夠提供對(duì)通訊數(shù)據(jù)保密性和完整性的保護(hù) 。
Kerberos從提出到今天，共經(jīng)歷了五個(gè)版本的發(fā)展 。其中版本1到版本3主要由該校內(nèi)部使用 。當(dāng)它發(fā)展到版本4的時(shí)候，已經(jīng)取得了在MIT校園外的廣泛認(rèn)同和應(yīng)用 。由于版本4的傳播，人們逐漸發(fā)現(xiàn)了它的一些局限性和缺點(diǎn)（例如適用網(wǎng)絡(luò)環(huán)境有限, 加密過程存在冗余等等）．MIT充分吸收了這些意見，對(duì)版本4進(jìn)行了修改和擴(kuò)充，形成了今天非常完善的版本5 ?，F(xiàn)在可以MIT提供的Kerberos V5的最新實(shí)現(xiàn)是版本krb5 1.3.3，本文中提到的實(shí)現(xiàn)都是以它為依據(jù)的 。
2．Kerberos協(xié)議術(shù)語解釋
Principal：在Kerberos中，Principal是參加認(rèn)證的基本實(shí)體 。一般來說有兩種，一種用來表示Kerberos數(shù)據(jù)庫中的用戶，另一種用來代表某一特定主機(jī)，也就是說Principal是用來表示客戶端和服務(wù)端身份的實(shí)體, Principal的格式采用ASN.1標(biāo)準(zhǔn),即Abstract Syntax Notation One，來準(zhǔn)確定義)，Principal是由三個(gè)部分組成：名字（name），實(shí)例（instance），REALM（域） 。比如一個(gè)標(biāo)準(zhǔn)的Kerberos的用戶是：name/instance@REALM。
Name：第一部分 。在代表客戶方的情況，它是一個(gè)用戶名；在代表主機(jī)的情況，它是寫成host 。
Instance：第二部分 。對(duì)name的進(jìn)一步描述，例如name所在的主機(jī)名或name的類型等,可省略 。它與第一部分之間用‘ / "分隔，但是作為主機(jī)的描述時(shí)寫成host/Instance 。
Realm：第三部分 。是Kerberos在管理上的劃分，在 KDC中所負(fù)責(zé)的一個(gè)域數(shù)據(jù)庫稱作為Realm 。這個(gè)數(shù)據(jù)庫中存放有該網(wǎng)絡(luò)范圍內(nèi)的所有Principal和它們的密鑰，數(shù)據(jù)庫的內(nèi)容被Kerberos的認(rèn)證服務(wù)器AS和票據(jù)授權(quán)服務(wù)器TGS所使用 。Realm通常是永遠(yuǎn)是大寫的字符,并且在大多數(shù)Kerberos系統(tǒng)的配置中，一般Realm和該網(wǎng)絡(luò)環(huán)境的DNS域是一致的 。與第二部分之間用‘@"分隔，缺省為本地的Realm 。
比如，Principal “ cnhawk/hawk.the9.com@THE9.COM ” 表示Realm “ THE9.COM ”中主機(jī)hawk.the9.com上的用戶cnhawk ，而Principal “ host/hawk.the9.com @THE9.COM ” 則通常用來表示Realm “ THE9.COM”中主機(jī)hawk.the9.com 。
Credential： Ticket和與它相聯(lián)系的會(huì)話密鑰合在一起稱為Credential 。之所以有這個(gè)概念是因?yàn)樗鼈兪强蛻舳嗽谙蚍?wù)器證明自己的身份時(shí)必需的兩樣?xùn)|西．在一個(gè)Ticket的生存期內(nèi)客戶端會(huì)將這兩樣?xùn)|西以Credential為單位保存在一個(gè)Cache文件中 。
Ticket： 一個(gè)Ticket是一個(gè)用于安全的傳遞用戶身份所需要的信息的集合 。它不僅包含該用戶的身份，而且包含其它一些相關(guān)的信息 。一般來說，它主要包括客戶方Principal，目的服務(wù)方Principal，客戶方IP地址，時(shí)間戳（分發(fā)該Ticket的時(shí)間），該Ticket的生存期，以及會(huì)話密鑰等內(nèi)容 。它的格式亦用ASN.1來準(zhǔn)確定義 。

推薦閱讀

• 

  旱金蓮怎么扦插
• 

  iphone2怎么回到主界面
• 

  形容做事有條不紊的成語有哪些
• 

  肝火旺盛怎么辦 要怎么調(diào)理
• 

  床順著橫梁放可以嗎
• 

  含羞草長什么樣子 含羞草是一種什么樣的植物
• 

  被罩5x7是多大尺寸 被罩5x7面積有多大
• 

  DayZ怎么修復(fù)LSP？DayZ修復(fù)LSP的方法
• 

  百果園的榴蓮為什么那么貴?
• 

  王者榮耀怎樣查看回響之杖說明
• 

  為什么有的好友只能看三天朋友圈,朋友圈沒有看見對(duì)方發(fā)朋友圈
• 

  稅收的概念
• 

  43是質(zhì)數(shù)嗎 43是不是質(zhì)數(shù)
• 

  手撕小三最佳方法 怎么處理小三的最佳方法
• 

  新疆184團(tuán)在哪里,184團(tuán)淘金往事
• 

  三個(gè)月大的狗狗吃多少狗糧，狗狗三個(gè)月大應(yīng)該吃多少

• oppo r11s手機(jī)什么時(shí)候上市？oppo r11s多少錢？
• FreeBSD上的軟件安裝方法
• 減少農(nóng)藥殘留幾種方法
• 一 首信S750使用感受---照相功能圖文說
• 用FreeBSD5.3建立安全網(wǎng)關(guān)，ADSL+FreeBSD+ipfilter+ipnat
• 流量怎么開啟使用
• 福特嘉年華aux使用方法
• FreeBSD如何跑diskless
• FreeBSD光盤運(yùn)行版的制作過程
• 91 FreeBSD連載：提升靜態(tài)網(wǎng)頁服務(wù)能力的綜合方式