Kerberos：Kerberos

Kerberos是计算机网络中的验证服务请求的一种安全方法。Kerberos是在麻省理工学院(MIT)的Athena项目中开发的。它的名字取自希腊神话；Kerberos是守卫地域之门的一只三头狗。Kerberos把用户的请求变成验证过程的一张加密的“入场券”，然后验证过程再向服务器提出特定服务的请求。用户的密码不一定要通过网络。Kerberos的版本（客户端或服务器）可以在MIT下载到，或者你也可以购买商业版本。
　　
　　简要大概地说一下Kerberos是如何工作的：

1. 假设你要在一台电脑上访问另一个服务器（你可以发送telnet或类似的登录请求）。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。
2. 要得到这张入场券，你首先要向验证服务器（AS）请求验证。验证服务器会创建基于你的密码（从你的用户名而来）的一个“会话密钥”（就是一个加密密钥），并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。
3. 然后，你把这张允许入场的入场券发到授权服务器（TGS）。TGS物理上可以和验证服务器是同一个服务器，只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。　
4. 服务器或者拒绝这张票据，或者接受这张票据并执行服务。
5. 因为你从TGS收到的这张票据是打上时间戳的，所以它允许你在某个特定时期内（一般是八小时）不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。

　　实际的过程要比刚才描述的复杂得多。用户过程也会根据具体执行有一些改变。

 

最近更新时间：2008-06-17 作者：Steve SpenceEN