kerberos工作原理、(Kerberos,读“科博使”)
kerberos简介
kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。
kerberos是一项认证服务,它要解决的问题是:在公开的分布式环境中,工作站上的用户希望访问分布在网络上的服务器,希望服务器能限制授权用户的访问,并能对服务请求进行认证。
kerberos是一种应用对称密码体制进行密钥管理的系统。麻省理工MIT研发了Kerberos协议来保护Project Athena提供的网络服务器。
软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。
kerberos不是建立一个精密的认证协议,而是提供一个集中的认证服务器。
Kerberos基于对称密钥体制。
简要大概地说一下Kerberos是如何工作的:
假设你要在一台电脑上访问另一个服务器(你可以发送telnet或类似的登录请求)。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。
要得到这张入场券,你首先要向验证服务器(AS)请求验证。验证服务器会创建基于你的密码(从你的用户名而来)的一个“会话密钥”(就是一个加密密钥),并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。
然后,你把这张允许入场的入场券发到授权服务器(TGS)。TGS物理上可以和验证服务器是同一个服务器,只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。
服务器或者拒绝这张票据,或者接受这张票据并执行服务。
因为你从TGS收到的这张票据是打上时间戳的,所以它允许你在某个特定时期内(一般是八小时)不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。
实际的过程要比刚才描述的复杂得多。用户过程也会根据具体执行有一些改变。
kerberos是麻省理工MIT为校园网用户访问服务器进行身份认证而设计的安全协议,它可以防止偷听和重放攻击,保护数据的完整性。
kerberos的安全机制如下:
AS(Authentication Server)= 认证服务器,是为用户发放TGT的服务器。
KDC(Key Distribution Center)= 密钥分发中心
TGT(Ticket Granting Ticket)= 票据授权票据,票据的票据
TGS(Ticket Granting Server)= 票据授权服务器,负责发放访问应用服务器时需要的票证。认证服务器和票据授予服务器组成密钥分发中心KDC(Key Distribution Center)。
SS(Service Server)= 特定服务提供端
V: 用户请求访问的应用服务器。
kerberos工作原理
kerberos认证过程分为3个阶段,6个步骤。
第一阶段:认证服务交换,客户端获取授权服务器访问许可票据。
第二阶段:票据许可服务交换,客户端获得应用服务器访问许可票据。
第三阶段:客户端与应用服务器认证交换,客户端最终获得应用服务。
HTTP、HTTPS、SSL、TLS、CA证书、CSR(列表、list、全)HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » kerberos工作原理、(Kerberos,读“科博使”)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm