Kerberos認证协议.doc

　　Kerberos 是一种网络认证协议，其设计目标是通过 HYPERLINK /wiki/item/%C3%DC%D4%BF%CF%B5%CD%B3 \t _blank 密钥系统为客户机 / HYPERLINK /wiki/item/%B7%FE%CE%F1%C6%F7 \t _blank 服务器 HYPERLINK /wiki/item/%D3%A6%D3%C3%B3%CC%D0%F2 \t _blank 应用程序提供强大的认证服务。该认证过程的实现不依赖于主机 HYPERLINK /wiki/item/%B2%D9%D7%F7%CF%B5%CD%B3 \t _blank 操作系统的认证，无需基于 HYPERLINK /wiki/item/%D6%F7%BB%FA \t _blank 主机地址的信任，不要求 HYPERLINK /wiki/item/%CD%F8%C2%E7 \t _blank 网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的 HYPERLINK /wiki/item/%C3%DC%C2%EB%BC%BC%CA%F5 \t _blank 密码技术（如： HYPERLINK /wiki/item/%B9%B2%CF%ED%C3%DC%D4%BF \t _blank 共享密钥）执行认证服务的。 　 HYPERLINK /wiki/item/Kerberos \l top#top \o 返回页首 组成结构 　　Kerberos是 HYPERLINK /wiki/item/MIT \t _blank MIT为雅典娜(Athena)计划开发的认证系统。　　Kerberos的组成：　　Kerberos应用程序库： HYPERLINK /wiki/item/%D3%A6%D3%C3%B3%CC%D0%F2%BD%D3%BF%DA \t _blank 应用程序接口，包括创建和读取认证请求，以及创建safe message 和private message的子程序。　　加密/解密库： HYPERLINK /wiki/item/DES \t _blank DES等。　　Kerberos HYPERLINK /wiki/item/%CA%FD%BE%DD%BF%E2 \t _blank 数据库：记载了每个Kerberos 用户的名字，私有密钥，截止信息(记录的有效时间，通常为几年)等信息。　　数据库管理程序：管理Kerberos数据库　　 HYPERLINK /wiki/item/KDBM \t _blank KDBM服务器(数据库管理服务器)：接受 HYPERLINK /wiki/item/%BF%CD%BB%A7%B6%CB \t _blank 客户端的请求对数据库进行操作。　　认证服务器(AS)：存放一个Kerberos数据库的只读的副本，用来完成principle的认证，并生成会话 HYPERLINK /wiki/item/%C3%DC%D4%BF \t _blank 密钥。　　数据库复制软件：管理数据库从KDBM服务所在的机器，到认证服务器所在的机器的复制工作，为了保持数据库的一致性，每隔一段时间就需要进行复制工作。　　用户程序：登录Kerberos，改变Kerberos密码，显示和破坏Kerberos标签（ticket）等工作。　　 HYPERLINK /wiki/item/Microsoft \t _blank Microsoft HYPERLINK /wiki/item/Windows \t _blank Windows Server 2003操作系统上实现了Kerberos5身份验证协议。Windows　Server2003总是使用扩展公钥身份验证机制。KerBeros身份验证客户端作为 HYPERLINK /wiki/item/SSP \t _blank SSP（Security Support Provider）通过访问SSPI（Security Support Provider Interface）来实现身份验证。用户身份验证初始化过程被集成在 HYPERLINK /wiki/item/Winlogon \t _blank Winlogon这SSO（Single Sign-On）体系中。 　　 HYPERLINK /wiki/item/Kerberos \l top#top \o 返回页首 认证流程 　　客户机的最终目的是能够访问到 HYPERLINK /wiki/item/%B7%FE%CE%F1%C6%F7 \t _blank 服务器上提供给合法用户的某