僕人

概述:

Kerberos是一種計算機網絡認證協議，它允許某實體在非安全網絡環境下通信，向另一個實體以一種安全的方式證明自己的身份。它也指由麻省理工實現此協議，並發布的一套免費軟體。它的設計主要針對客戶-伺服器模型，並提供了一系列交互認證——用戶和伺服器都能驗證對方的身份。Kerberos協議可以保護網絡實體免受竊聽和重複攻擊

歷史:

麻省理工學院研發Kerberos協議來保護雅典娜工程（Project Athena）提供的網絡伺服器。這個協議以希臘神話中的人物Kerberos（或者Cerberus）命名

缺陷:

失敗於單點：它需要中心伺服器的持續響應。當Kerberos服務宕機時，沒有人可以連接到伺服器。這個缺陷可以通過使用複合Kerberos伺服器和缺陷認證機制彌補。
Kerberos要求參與通信的主機的時鐘同步。票據具有一定有效期，因此，如果主機的時鐘與Kerberos伺服器的時鐘不同步，認證會失敗。默認設置要求時鐘的時間相差不超過10分鐘。在實踐中，通常用網絡時間協議後台程序來保持主機時鐘同步。

•     AS（Authentication Server）= 認證伺服器
•     KDC（Key Distribution Center）= 密鑰分發中心
•     TGT（Ticket Granting Ticket）= 票據授權票據，票據的票據
•     TGS（Ticket Granting Server）= 票據授權伺服器
•     SS（Service Server）= 特定服務提供端

重點筆記:

• Started as MIT's project Athena
• Provides authentication and message protection
• Uses symmetric key cryptography
• Provides end-to-end security
• Key Distribution Center(KDC)
  • Holds all cryptographic keys
• Ticket
  • Generated by the KDC to authenticate a subject
• Authentication service
  • Part of the KDC that authenticate subjects and objects
• Kerberos Process
  • Subject submit requests to access object via KDC
  • KDC evaluates and sends Subject a Ticket
  • Subject submits ticket to object
  • Object examines ticket and grant subject access

參考資料:

1. https://www.youtube.com/watch?v=khwH41f-w9I
2. https://zh.wikipedia.org/wiki/Kerberos