Kerberos:网络认证协议
(Kerberos: Network Authentication Protocol)
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1) 服务器 “ticket” ; 2) 一个临时加密密钥 (又称为会话密钥 “session key”) 。客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
上述认证交换过程需要只读方式访问 Kerberos 数据库。但有时,数据库中的记录必须进行修改,如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器(Kerberos 管理器 KADM)间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝,这可以认为是执行过程中的细节问题,并且会不断改变以适应各种不同数据库技术。
协议结构
Kerberos 信息:
客户机/服务器认证交换
| 信息方向 | 信息类型 |
| 客户机向 Kerberos | KRB_AS_REQ |
| Kerberos 向客户机 | KRB_AS_REP或KRB_ERROR |
|
客户机/服务器认证交换 |
| 信息方向 | 信息类型 |
| 客户机向应用服务器 | KRB_AP_REQ |
| [可选项] 应用服务器向客户机 | KRB_AP_REP或 KRB_ERRORR |
|
票证授予服务(TGS)交换 |
|
信息方向 |
信息类型 |
|
客户机向 Kerberos |
KRB_TGS_REQ |
|
Kerberos 向客户机 |
KRB_TGS_REP或KRB_ERROR |
|
KRB_SAFE 交换 KRB_PRIV 交换 KRB_CRED 交换 |
更多内容请看网络管理实用手册、网络故障手册、Cisco认证体系专题专题,或进入讨论组讨论。
相关专题
- 网络管理实用手册 (22482篇文章)
- 网络故障手册 (14519篇文章)
- Cisco认证体系专题 (3150篇文章)
- 网络组网专题 (12542篇文章)
- 网络建设 (14081篇文章)
- TCP/IP协议 (1918篇文章)
- SIP协议---NGN网络的核心协议 (2108篇文章)
- 协议大全 (1719篇文章)
- RADIUS:远程用户拨号认证系统 (1次浏览)
- 关于RHCE考试的30个主要方向 (0次浏览)
- Kerberos:网络认证协议 (0次浏览)
- CRACK: VPN认证技术 (0次浏览)
