目录

kerberos体系

单点登录基本概念

单点登录概念

单点登录的安全优势

Kerberos协议

什么是Kerberos协议

Kerberos行环境:

Kerberos协议的优点

Kerberos认证过程-三次通信

Kerberos工作过程-获得TGT

Kerberos工作过程-获得SGT

Kerberos工作过程-获得服务

Kerberos认证协议的缺陷

kerberos体系

单点登录基本概念

单点登录概念

• 单一身份认证，身份信息集中管理，一次认证就可以访问其授权的所有网络资源
• 单点登录实质是安全凭证在多个应用系统之间的传递或共享

单点登录的安全优势

• 减轻安全维护工作量，减少错误
• 提高效率
• 统一安全可靠的登录验证

Kerberos协议

什么是Kerberos协议

• 1985年由美国麻省理工学院开发，用于通信实体间的身份认证，1994年V5版本作为Internet标准草案公布
• 基于对称密码算法为用户提供安全的单点登录服务
• 包含可信第三方认证服务

Kerberos行环境:

密钥分配中心(KDC)、应用服务器和客户端

Kerberos协议的优点

• 避免本地保存密码及会话中传输密码
• 客户端和服务器可实现互认

Kerberos认证过程-三次通信

认证过程由三个阶段组成，例如需要访问OA

• 第一次: 获得票据许可票据( TGT )
• 第二次: 获得服务许可票据(SGT )
• 第三次:获得服务

Kerberos工作过程-获得TGT

客户机向AS发送访问TGS请求(明文 )

请求信息:用户名、IP地址、时间戳、随机数等AS验证用户(只验证是否存在)

AS给予应答

• TGT(包含TGS会话密钥)，使用KDC密码加密
• 其他信息(包含TGS会话密钥)，使用用户密码加密

Kerberos工作过程-获得SGT

客户机向TGS发送访问应用服务请求

• 请求信息使用TGS会话密钥加密(包含认证信息）
• 包含访问应用服务名称(http）

TGS验证认证信息(包含用户名等)后，给予应答

• SGT
• 客户机与应用服务器之间的会话密钥

Kerberos工作过程-获得服务

客户机向应用服务器请求服务

• SGT(使用http服务器密码加密）
• 认证信息

应用服务器(验证认证信息)

• 提供服务器验证信息(如果需要验证服务器)
• 

Kerberos认证协议的缺陷

• 首先，协议中的认证信息依赖于时间标记来实现抗重放攻击，这要求使用该协议进行认证的计算机需要实现时间同步，严格的时间同步需要有时间服务器，因此，时间服务器的安全至关重要。
• 其次，协议认证的基础是通信方均无条件信任KDC一旦其安全受到影响，将会威胁整个认证系统的安全，同时，随着用户数量的增加，这种第三方集中认证的方式容易形成系统性能的瓶颈

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！