概述:

Kerberos是一種計算機網絡認證協議,它允許某實體在非安全網絡環境下通信,向另一個實體以一種安全的方式證明自己的身份。它也指由麻省理工實現此協議,並發布的一套免費軟體。它的設計主要針對客戶-伺服器模型,並提供了一系列交互認證——用戶和伺服器都能驗證對方的身份。Kerberos協議可以保護網絡實體免受竊聽和重複攻擊

歷史:

麻省理工學院研發Kerberos協議來保護雅典娜工程(Project Athena)提供的網絡伺服器。這個協議以希臘神話中的人物Kerberos(或者Cerberus)命名

缺陷:

失敗於單點:它需要中心伺服器的持續響應。當Kerberos服務宕機時,沒有人可以連接到伺服器。這個缺陷可以通過使用複合Kerberos伺服器和缺陷認證機制彌補。
Kerberos要求參與通信的主機的時鐘同步。票據具有一定有效期,因此,如果主機的時鐘與Kerberos伺服器的時鐘不同步,認證會失敗。默認設置要求時鐘的時間相差不超過10分鐘。在實踐中,通常用網絡時間協議後台程序來保持主機時鐘同步。

  •     AS(Authentication Server)= 認證伺服器
  •     KDC(Key Distribution Center)= 密鑰分發中心
  •     TGT(Ticket Granting Ticket)= 票據授權票據,票據的票據
  •     TGS(Ticket Granting Server)= 票據授權伺服器
  •     SS(Service Server)= 特定服務提供端

重點筆記:

  • Started as MIT's project Athena
  • Provides authentication and message protection
  • Uses symmetric key cryptography
  • Provides end-to-end security
  • Key Distribution Center(KDC)
    • Holds all cryptographic keys
  • Ticket
    • Generated by the KDC to authenticate a subject
  • Authentication service
    • Part of the KDC that authenticate subjects and objects
  • Kerberos Process
    • Subject submit requests to access object via KDC
    • KDC evaluates and sends Subject a Ticket
    • Subject submits ticket to object
    • Object examines ticket and grant subject access

參考資料:

  1. https://www.youtube.com/watch?v=khwH41f-w9I
  2. https://zh.wikipedia.org/wiki/Kerberos

    文章標籤

    Kerberos

    全站熱搜

    亮 發表在 痞客邦 留言(0) 人氣()