Kerberos身份认证方案

1 Kerberos 身份认证方案 5.1 身份认证概述 Kerberos 是IETF 发布的一种身份认证标准协议（目前最新版本为V5）。它采用对称密钥方案，也可以说是后面出现的非对称密钥方案的基础。Kerberos 协议应用非常广泛，特别是在Window s 系统中（包括在Window s 系统的内部网络登录中，目前也主要采用的是Kerberos 协议）。所以总体来说，Kerberos 认证协议主要是在系统层中得到广泛应用，不过像交换机、路由器这些设备目前也有较多应用。但是目前的国内图书市场上还没有见到全面、系统地介绍这种得到广泛应用的身份认证协议工作原理，以及协议体系结构。 笔者在IETF 和 Microsoft 英文官方网站上进行搜集和翻译，然后整理、扩展了该协议比较全面的第一手专业资料，非常感谢 IETF 和 Microsoft 公司为我们提供了如此全面、深入的第一手专业技术资料。 本章重点 * Kerberos V5 身份认证机制。 * Kerberos V5 身份认证的优点与缺点。 * Kerberos SSP 体系架构。 * Kerberos 物理结构。 * Kerberos V5 身份认证的3 个子协议。 * AS、TGS、CS 交换。 * Kerberos 交换消息。 * Kerberos 的本地登录、域用户的工作站登录、单域身份认证和用户到用户的身份认证原理。 * Kerberos V5 身份认证的启用与策略配置。 5 .1 身份认证概述 在正式介绍 Kerberos 身份认证协议之前，先来了解一下什么是身份认证。这个概念同样适用于本书后面介绍的其他身份认证技术。 身份认证是系统安全的一个基础方面，它用来确认尝试登录域或访问网络资源的任何用户的身份。Window s 服务器系统身份认证针对所有网络资源启用“单点登录”（Single Sign-on，SSO）。采用单点登录后，2 用户可以使用一个密码或智能卡一次登录到域，然后向域中的任何计算机验证身份。身份认证的重要功能就是它对单点登录的支持。 单点登录是一种方便用户访问多个系统的技术，用户只需在登录时进行一次注册，就可以在一个网络中自由访问，不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文（Security Context）或凭证（Credential）在多个应用系统之间的传递或共享。当用户登录系统时，客户端软件根据用户的凭证（例如用户名和密码）为用户建立一个安全上下文，安全上下文包含用于验证用户的安全信息，系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。Kerberos V5 身份认证协议提供一个在客户...