Kerberos5身份验证协议详解_kerberosv5的身份验证过程中-程序员宅基地

技术标签： security Linux 应用服务器服务器数据库加密 microsoft

Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为： 1) 服务器 “ticket” ； 2) 一个临时加密密钥（又称为会话密钥 “session key”）。客户机将 ticket （包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝）传送到服务器上。会话密钥可以（现已经由客户机和服务器共享）用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。

上述认证交换过程需要只读方式访问 Kerberos 数据库。但有时，数据库中的记录必须进行修改，如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器（Kerberos 管理器 KADM）间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝，这可以认为是执行过程中的细节问题，并且会不断改变以适应各种不同数据库技术。

协议结构

Kerberos 信息：

* 客户机/服务器认证交换

信息方向信息类型

客户机向 Kerberos KRB_AS_REQ

Kerberos 向客户机 KRB_AS_REP或KRB_ERROR

* 客户机/服务器认证交换

信息方向信息类型

客户机向应用服务器 KRB_AP_REQ

【可选项】应用服务器向客户机 KRB_AP_REP或 KRB_ERRORR

* 票证授予服务（TGS）交换

信息方向信息类型

客户机向 Kerberos KRB_TGS_REQ

Kerberos 向客户机 KRB_TGS_REP或KRB_ERROR

* KRB_SAFE 交换

* KRB_PRIV 交换

* KRB_CRED 交换

Kerberos的是MIT为雅典娜(Athena)计划开发的认证系统。

Kerberos的组成：

Kerberos应用程序库：应用程序接口，包括创建和读取认证请求，以及创建safe message 和private message的子程序。

加密/解密库：DES等。

Kerberos数据库：记载了每个Kerberos 用户的名字，私有密钥，截止信息(记录的有效时间，通常为几年)等信息。

数据库管理程序：管理Kerberos数据库KDBM服务器(数据库管理服务器)：接受客户端的请求对数据库进行操作。

认证服务器(AS)：存放一个Kerberos数据库的只读的副本，用来完成principle的认证，并生成会话密钥．

数据库复制软件：管理数据库从KDBM服务所在的机器，到认证服务器所在的机器的复制工作，为了保持数据库的一致性，每隔一段时间就需要进行复制工作．

用户程序：登录Kerberos，改变Kerberos密码，显示和破坏Kerberos标签（ticket）等工作。

Microsoft Windows Server 2003操作系统上实现了Kerberos5身份验证协议。Windows　Server2003总是使用扩展公钥身份验证机制。KerBeros身份验证客户端作为SSP（Security Support Provider）通过访问SSPI（Security Support Provider Interface）来实现身份验证。用户身份验证初始化过程被集成在Winlogon这SSO（Single Sign-On）体系中。

本文链接：https://blog.csdn.net/gameboyx/article/details/5808535

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

“绿坝-花季护航”软件-程序员宅基地

“绿坝-花季护航”软件转载于:https://blog.51cto.com/ziyan/169546

C#通过NI-VISA操作Tektronix TBS 2000B系列示波器_c# visa-程序员宅基地

c#教程https://www.xin3721.com/eschool/CSharpxin3721/一、概述本文描述采用C#语言访问控制Tektronix TBS 2000B 系列示波器。接口协议采用NI-VISA。最近一个项目需要和一款示波器进行通信，需要对示波器进行一些简单控制并获取到波形数据。经过一段时间研究，大致了解了相关操作，因为发现相关资料不是很多，所以把我了解的相关知识和大家分享一下。文末将提供本文涉及的相关文档、代码、安装程序的下载地址。正常情况下，我们如果需要和一个设备进行_c# visa

水晶报表13.x（Crystal Reports for VS2010）的安装部署经验-程序员宅基地

原文:水晶报表13.x（Crystal Reports for VS2010）的安装部署经验这两天搞安装包真心坎坷，一个问题接一个问题，先是为了实现自定义动作现啃vbs，后面又是安装过程老是报错：各种搜索、各种尝试，总算搞掂，积累了些经验，分享一下。首先CR for VS2010的所有东东都在这里：http://scn.sap.com/docs/DOC-7824简单说一说资源下载表...

sklearn预测pima糖尿病_pima 数据列名_东流-beyond the label的博客-程序员宅基地

疾病预测_pima 数据列名

java 线程锁的关键字_java中解决多线程关联锁 synchronized 关键字的使用 | 学步园...-程序员宅基地

package com;/*** synchronized 关键字的使用* 在简单的多线程编程中，由于是小数据流，并不会出现两个线程访问同一个对象的情况。但是在大多数程序代码中有大量的信息流* 这种情况下就有可能出现不同线程访问同一个对象的。在实际的应用中这有可能是灾难性滴。所以java提供了一种简单的机制来防止* 这种情况的发生，就是每个对象运行的时候有个关联锁，这个锁可以通过使用关键字sync..._关联锁

Fedora 17下安装Oracle 10g详细图文教程-程序员宅基地

一、硬件要求——内存 & swap & 硬盘最小内存与swap: 1 GB of RAM & swap 建议内存与swap: 2 GB of RAM & swap [root@toughhou tough]# grep MemTotal /proc/meminfo MemTotal: 2030952 kB [root@...