Kerberos Authentication
Kerberos鉴别 Kerberos Authentication
Kerberos Authentication Kerberos鉴别 Kerberos鉴别服务是由麻省理工学院的Project Athena针对分布式环境的开放式系统开发的鉴别机制。它已被开放软件基金会(OSF)的分布式计算环境(DCE),以及许多网络操作系统供应商所采用。
Kerberos是针对分布式环境而设计的,在这种情况下,一些工作站可能安装于不安全场所,而且用户也并非是完全可信的。Kerberos具有如下特点:
客户在登录时,将被鉴别。其他客户相信Kerberos鉴别服务器已经正确地对客户进行了验证。
用户必须获得由鉴别服务器发行的许可证,以使用对象服务器上的可用服务。产生一个鉴别器,它上面包含一些附加信息,对象服务器用这些信息与许可证比较,以此来验证是否进行了合法确认。这个过程是在后台进行的。
许可证提供被鉴别的用户访问一个服务时所需的授权资格。
许可证是用个人密钥加密的,包含客户的身份、他们的地址、时间戳和其它信息。时间戳用于阻止侵入者,以保护正在网络传送的、并在几小时后就会过期的信息。
所有客户和服务器间的会话都是暂时的。如果一个客户需要一个新的会话,就必须获得一个新的鉴别器。许可证在一定时间之后就会过期,所以客户需要周期性地获得新的许可证以访问特定服务器。
Kerberos系统要求修改每个网络服务以使用Kerberos。另外,还要求有一个特定的服务器处理Kerberos鉴别服务。这个系统必须安放在安全场所。另外,如果Kerberos服务器失效,网络访问将被切断,所以建议增设一个冗余的服务器。虽然Kerberos的成本较高,但却为需要它的机构提供了一个安全的环境。
相关条目:Key Encryption Technology密钥加密技术;Security安全性。