Kerberos

✍ dations ◷ 2024-12-23 05:18:02 #认证协议,计算机访问控制协议,网络安全,密钥传输协议,对称密钥算法,MIT软件

Kerberos（/ˈkərbərəs/）是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合，是一种应用对称密钥体制进行密钥管理的系统。Kerberos的扩展产品也使用公开密钥加密方法进行认证。

当有N个人使用该系统时，为确保在任意两个人之间进行秘密对话，系统至少保存有它与每个人的共享密钥，所需的最少会话密钥数为N个。

Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议，并发布的一套免费软件。它的设计主要针对客户-服务器模型，并提供了一系列交互认证——用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。

Kerberos协议基于对称密码学，并需要一个值得信赖的第三方。Kerberos协议的扩展可以为认证的某些阶段提供公钥密码学支持。

麻省理工学院研发Kerberos协议来保护雅典娜工程（Project Athena）提供的网络服务器。这个协议以希腊神话中的人物Kerberos（或者Cerberus）命名，他在希腊神话中是Hades的一条凶猛的三头保卫神犬。目前该协议存在一些版本，版本1-3都只有麻省理工内部发行。

Kerberos版本4的主要设计者Steve Miller和Clifford Neuman，在1980年代后期发布这个版本。这个版本主要针对雅典娜工程。版本5由John Kohl和Clifford Neuman设计，在1993年作为 RFC 1510 颁布（在2005年由 RFC 4120 取代），目的在于克服版本4的局限性和安全问题。

麻省理工在版权许可的情况下，制作一个Kerberos的免费实现工具，这种情况类似于BSD。在2007年，麻省理工组成一个Kerberos协会，以此推动Kerberos的持续发展。

因为使用数据加密标准（DES）加密算法（用56 bit的密钥），美国出口管制当局把Kerberos归类为军需品，并禁止其出口。一个非美国设计的Kerberos版本4的实现工具KTH-KRB由瑞典皇家工学院研制，它使得这套系统在美国更改密码出口管理条例前（大约是在2000年），在美国境外就可以使用。瑞典的实现工具基于一个叫做eBones的版本，而eBones基于麻省理工对外发行的基于Kerberos版本4的补丁9的Bones（跳过加密公式和对它们的函数调用）。这些在一定程度上决定Kerberos为什么没有被叫做eBones版。Kerbberos版本5的实现工具，Heimdal，基本上也是由发布KTH-KRB的同一组人发布。

在2005年，互联网工程任务组（IETF）Kerberos工作小组更新了规范，更新包括：

Windows 2000和后续的操作系统使用Kerberos为其默认认证方法。RFC 3244 "微软Windows 2000 Kerberos变更密码与设置密码协议" 记录整理一些微软对Kerberos协议软件包的添加。RFC 4757 记录整理微软对RC4密码的使用。虽然微软使用Kerberos协议，却并没有用麻省理工的软件。

苹果的Mac OS X也使用Kerberos的客户和服务器版本。Red Hat Enterprise Linux 4和后续的操作系统使用Kerberos的客户和服务器版本。

Kerberos使用Needham-Schroeder协议作为它的基础。它使用一个由两个独立的逻辑部分：认证服务器和票据授权服务器组成的"可信赖的第三方"，术语称为密钥分发中心（KDC）。Kerberos工作在用于证明用户身份的"票据"的基础上。

KDC持有一个密钥数据库；每个网络实体——无论是客户还是服务器——共享一套只有他自己和KDC知道的密钥。密钥的内容用于证明实体的身份。对于两个实体间的通信，KDC产生一个会话密钥，用来加密他们之间的交互信息。

协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明。下面是对这个协议的一个简化描述，将使用以下缩写：

客户端用户发送自己的用户名到KDC服务器以向AS服务进行认证。KDC服务器会生成相应的TGT票据，打上时间戳，在本地数据库中查找该用户的密码，并用该密码对TGT进行加密，将结果发还给客户端用户。该操作仅在用户登录或者kinit申请的时候进行。客户端收到该信息，并使用自己的密码进行解密之后，就能得到TGT票据了。这个TGT会在一段时间之后失效，也有一些程序(session manager)能在用户登陆期间进行自动更新。当客户端用户需要使用一些特定服务(Kerberos术语中用"principal"表示)的时候，该客户端就发送TGT到KDC服务器中的TGS服务。当该用户的TGT验证通过并且其有权访问所申请的服务时，TGS服务会生成一个该服务所对应的ticket和session key，并发还给客户端。客户端将服务请求与该ticket一并发送给相应的服务端即可。具体的流程请看下面的描述。

其在网络通讯协定中属于显示层。

简单地说，用户先用共享密钥从某认证服务器得到一个身份证明。随后，用户使用这个身份证明与SS通信，而不使用共享密钥。

（注意：此流程使用了对称加密；此流程发生在某一个Kerberos领域中；小写字母c,d,e,g是客户端发出的消息，大写字母A,B,E,F,H是各个服务器发回的消息。）

首先，用户使用客户端（用户自己的机器）上的程序进行登录：

随后，客户端认证（客户端(Client)从认证服务器(AS)获取票据的票据（TGT））：

然后，服务授权（client从TGS获取票据(client-to-server ticket)）：

最后，服务请求（client从SS获取服务）：

相关

机器翻译机器翻译（英语：Machine Translation，经常简写为MT，简称机译）属于计算语言学的范畴，其研究借由计算机程序将文字或演说从一种自然语言翻译成另一种自然语言。简单来说，机器翻译是通
达吉斯坦共和国达吉斯坦共和国（俄语：Республика Дагестан，罗马化：Respublika Dagestan；英语：Republic of Dagestan）位于俄罗斯最南部，东邻里海，北邻卡尔梅克共和国，西邻斯塔夫罗波
粗衬线体在字体排印学中，粗衬线体（或称埃及体）是一种衬线字体，其衬线是更粗、块状的。衬线终端可以是钝头和棱角（Rockwell），或圆角（Courier）。粗衬线体发明于十九世纪，在十九世纪也最为流行。
鹅妈妈的故事《附道德训诫的古代故事》（法语：Histoires ou contes du temps passé, avec des moralités），副题《鹅妈妈的故事》（法语：Les Contes de ma mère l'Oye），是法国的夏尔·佩罗在1697
台北新公园二二八和平公园，原名为台北公园，后改称台北新公园，是一座位于台湾台北市中正区的公园，北起襄阳路、南至凯达格兰大道、西为怀宁街、东为公园路，占地71,520平方米，邻近总统府、外交
昌巴坐标：9°01′46″N 1°25′01″E / 9.029518°N 1.4168974°E / 9.029518; 1.4168974昌巴（英语：Tchamba）是位于多哥中部区东北部的一座城市，起先是位于现如今加纳北部地区Chamba
金孝珍 (歌手)金孝珍（韩语：김효진，艺名JeA，1981年9月18日－），为韩国团体Brown Eyed Girls的队长，2015年8月底和NEGANETWORK的合约到期后决定不续约，目前隶属于APOP娱乐。近年来身为团体成员并兼任专
早坂犀中国犀早坂氏亚种（学名：），又名早坂犀牛、早坂中国犀、台湾犀牛，是已灭绝的独角犀属物种中国犀的亚种，其化石在台南左镇发现。早坂犀牛的发现，可追朔在1930年代当时台北帝国大学地质
天鹅椅天鹅椅是阿纳·雅各布森于1958年为哥本哈根雷迪森SAS皇家酒店设计的一种椅。由丹麦家具设计公司弗里茨·汉森生产。天鹅椅现在依然有生产。丹麦国家银行也采用了天鹅椅。
西姆巴尔·什帕克西姆巴尔·什帕克（约公元前1025年—约公元前1008年在位）（英语：Simbar-Shipak）巴比伦第五王朝首任国王。即第二海地王朝，继承那布·舒穆·里布尔之位。并全力支持宗教活动，但最后被