Kerberos是基于共享密鑰的認證協(xié)議 ， 用戶和密鑰分配中心KDC都知道用戶的口令 ， 或從口令中單向產生的密鑰 ， 并定義了一套客戶端、KDC和服務器之間獲取和使用Kerberos票據的交換協(xié)議 。當用戶初始化Windows登錄時 ， Kerberos SSP利用基于用戶口令的加密散列獲取一個初始Kerberos票據TGT ， Windows2000把TGT存儲在與用戶的登錄上下文相關的工作站的票據緩存中 。當客戶端想要使用網絡服務時 ， Kerberos首先檢查票據緩存中是否有該服務器的有效會話票據 。如果沒有 ， 則向KDC發(fā)送TGT來請求一個會話票據 ， 以請求服務器提供服務 。
請求的會話票據也會存儲在票據緩存中 ， 以用于后續(xù)對同一個服務器的連接 ， 直到票據超期為止 。票據的有效期由域安全策略來規(guī)定 ， 一般為8個小時 。如果在會話過程中票據超期 ，
Kerberos SSP將返回一個響應的錯誤值 ， 允許客戶端和服務器刷新票據 ， 產生一個新的會話密鑰 ， 并恢復連接 。
使用Kerberos認證協(xié)議的客戶端、KDC和應用服務器之間的關系: 在初始連接消息中 ， Kerberos把會話票據提交給遠程服務 ， 會話票據中的一部分使用了服務和KDC共享的密鑰進行了加密 。因為服務器端的Kerberos有服務器密鑰的緩存拷貝 ， 所以 ， 服務器不需要到KDC進行認證 ， 而直接可以通過驗證會話票據來認證客戶端 。在服務器端 ， 采用Kerberos認證系統(tǒng)的會話建立速度要比NTLM認證快得多 ， 因為使用NTLM ， 服務器獲取用戶的信任書以后 ， 還要與域控制器建立連接 ， 來對用戶進行重新認證 。
Kerberos會話票據中包含有一個唯一的、由KDC創(chuàng)建的、用于客戶端和服務器之間傳輸數據和認證信息加密的會話密鑰 。在Kerberos模型中 ， KDC是作為產生會話密鑰的可信第三方而存在的 ， 這種形式更適合于分布式計算環(huán)境下的認證服務 。
Kerberos作為基本的Windows 2000認證協(xié)議 ， 與Windows2000認證和存取控制安全框架進行了緊密整合 。初始的Windows域登錄由WinLogon提供 ， 它使用Kerberos安全提供者（security provider）來獲取一個初始的Kerberos票據 。操作系統(tǒng)的其他組件 ， 如轉向器（ReDirector）則使用安全提供者的SSPI接口來獲取一個會話票據 ， 以連接對遠程文件存取的SMB服務器 。
Kerberos V5協(xié)議在會話票據中定義了一個攜帶授權數據的加密域 ， 該域的使用留給了應用開發(fā) ， 而Windows2000則使用Kerberos票據中的授權數據來附帶代表用戶和組成員的Windows安全ID 。在服務器端的Kerberos安全提供者則使用授權數據來建立代表用戶的一個Windows安全存取控制令牌 ， 可以模擬客戶端來請求提供相應服務 。
Windows2000中應用了Kerberos協(xié)議的擴展 ， 除共享密鑰外 ， 還支持基于公/私鑰對的身份認證機制 。Kerberos公鑰認證的擴展允許客戶端在請求一個初始TGT時使用私鑰 ， 而KDC則使用公鑰來驗證請求 ， 該公鑰是從存儲在活動目錄中用戶對象的X.509證書中獲取的 。用戶的證書可以由權威的第三方 ， 如VeriSign和Digital IDs等來發(fā)放 ， 也可以由Windows2000中的微軟證書服務器來產生 。初始認證以后 ， 就可以使用標準的Kerberos來獲取會話票據 ， 并連接到相應的網絡服務 。
通過對Kerberos協(xié)議進行公鑰擴展 ， 可以使用戶采用多種方式來登錄工作站和網絡 ， 如采用智能卡技術 。智能卡中一般存儲有用戶的私鑰 ， 可用于Kerberos的初始化認證處理 。
目前 ， 使用公鑰技術來擴展Kerberos協(xié)議的計劃和建議已經提交到IETF來進行標準化推廣 。
3 公鑰基礎設施PKI和認證機構CA
Windows 2000作為新推出的操作系統(tǒng) ， 對PKI做了全面支持 。PKI在提供高強度安全性的同時 ， 還與操作系統(tǒng)進行了緊密集成 ， 并作為操作系統(tǒng)的一項基本服務而存在 ， 避免了購買第三方PKI所帶來的額外開銷 。組成Windows2000 PKI的基本邏輯組件中最核心的為微軟證書服務系統(tǒng)（Microsoft Certificate Services） ， 它允許用戶配置一個或多個企業(yè)CA ， 這些CA支持證書的發(fā)放和廢除 ， 并與活動目錄和策略配合 ， 共同完成證書和廢除信息的發(fā)布 。

推薦閱讀

• 

  什么樣的水才能直接飲用 了解哪些能直接使用
• 

  370W風機電流多大
• 

  龍眼蜜是熱性還是涼性,龍眼蜜能天天喝嗎
• 

  著哩是什么意思 著哩的意思是什么
• 

  酸奶加熱方法 如何加熱酸奶
• 

  胡萊三國2武將技能怎么獲??？武將技能獲取攻略介紹
• 

  四方臺區(qū)律師按什么標準收取費用
• 

  茉莉花產于哪個地方 茉莉花的主要產地是在哪里
• 

  獸王爭鋒獸王爭鋒3大結局 描述了什么
• 

  棉內褲有月經怎么好洗,內褲弄上例假怎么洗掉
• 

  水庫中的鱸魚最好用什么餌釣，在比較大點的水庫怎么釣鱸魚啊 跪求專業(yè)
• 

  濟寧到諸城大巴電話是多少時間，誰能告訴我下珠海至濟源的大巴電話是多少
• 

  小學六年級作文:作文對話
• 

  房價翻倍風險誰擔,開盤后還翻倍幾倍的漲
• 

  秒速5厘米電影結局
• 

  93歲李嘉誠攜紅顏知己現身 李嘉誠的紅顏知己

• Win2000優(yōu)化技巧篇之:其他優(yōu)化技巧
• Win2000優(yōu)化技巧篇之:硬件及環(huán)境的優(yōu)化
• Win2000優(yōu)化技巧篇之:顯示方面的優(yōu)化技巧
• Win2000優(yōu)化技巧篇之:為Win2000減肥
• 夢中的婚禮踏板怎么踩
• 讓Windows 98/2000也擁有圖片屏保
• 有始有終 替換法解決Win2000“關門”故障
• Windows 2000終端存在的問題及解決方案
• Win2000終端存在的問題及解決方案
• 去除掉Wind 2000系統(tǒng)的登錄界面