Kerberos ######## Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。 缺陷:: 1.失败于单点:它需要中心服务器的持续响应。当Kerberos服务宕机时,没有人可以连接到服务器。 注: 这个缺陷可以通过使用复合Kerberos服务器和缺陷认证机制弥补。 2.Kerberos要求参与通信的主机的时钟同步。 票据具有一定有效期,因此,如果主机的时钟与Kerberos服务器的时钟不同步,认证会失败。 默认设置要求时钟的时间相差不超过10分钟。在实践中,通常用网络时间协议后台程序来保持主机时钟同步。 3.管理协议并没有标准化,在服务器实现工具中有一些差别。 4.因为所有用户使用的密钥都存储于中心服务器中,危及服务器的安全的行为将危及所有用户的密钥。 5.一个危险客户机将危及用户密码。 协议内容:: 协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明 下面是对这个协议的一个简化描述,将使用以下缩写: AS(Authentication Server)= 认证服务器 KDC(Key Distribution Center)= 密钥分发中心 TGT(Ticket Granting Ticket)= 票据授权票据,票据的票据 TGS(Ticket Granting Server)= 票据授权服务器 SS(Service Server)= 特定服务提供端 参考 ==== * `参考1 `_