Kerberos认证系统简介及应用

Kerberos认证系统是美国麻省理工学院（MIT）作为Athena计划的一部分开发的认证服务系统。该系统以对称密码体制为基础，使用Needham-Schroeder认证协议实现用户和服务器之间的双向认证。Kerberos认证系统借助值得信赖的中央认证服务器实现了集中的认证，认证服务器与网络上的每个实体分别共享一个不同的密钥，是否知道该密钥便是身份的证明，而且并不依赖于主机操作系统和地址。

Kerberos认证系统最终解决以下问题：在开放的分布式环境中，用户希望访问网络中的服务器，而服务器则要求能够认证用户的访问请求，并仅允许那些通过认证的用户访问服务器，以防未授权用户得到服务和数据。

Kerberos认证系统具有以下特点。

1）强安全性：Kerberos系统提供强大的安全机制来防止潜在的非法入侵者发现脆弱的链路，客户和服务器都信任Kerberos对它们的仲裁，因此非法用户不能伪装成合法用户来窃听通信信息，只要Kerberos服务器本身是安全的，那么认证服务就是安全的。

2）高可靠性：采用分布式的服务器结构，随时对系统进行备份，用户能依靠Kerberos提供的服务来取得进行访问控制所需的服务。(www.xing528.com)

3）透明性：为了方便用户，整个Kerberos系统只要求用户输入一个口令，用户感觉不到认证服务器的存在。

4）可伸缩性：Kerberos系统采用模块化、分布式结构，能够支持大量客户和服务器。

Kerberos认证系统中的V1～V3是内部开发版，V4是1988年开发的，现已得到广泛应用，而V5则进一步对V4中的某些安全缺陷做了改进，已于1994年作为因特网标准RFC1510得到公布。