Kerberos這一名詞來(lái)源于希臘神話(huà)“三個(gè)頭的狗——地獄之門(mén)守護(hù)者” 　　Kerberos 是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過(guò)密鑰系統(tǒng)為客戶(hù)機(jī) / 服務(wù)器應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴(lài)于主機(jī)操作系統(tǒng)的認(rèn)證，無(wú)需基于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。在以上情況下， Kerberos 作為一種可信任的第三方認(rèn)證服務(wù)，是通過(guò)傳統(tǒng)的密碼技術(shù)（如：共享密鑰）執(zhí)行認(rèn)證服務(wù)的。 　　認(rèn)證過(guò)程具體如下：客戶(hù)機(jī)向認(rèn)證服務(wù)器（AS）發(fā)送請(qǐng)求，要求得到某服務(wù)器的證書(shū)，然后 AS 的響應(yīng)包含這些用客戶(hù)端密鑰加密的證書(shū)。證書(shū)的構(gòu)成為： 1) 服務(wù)器 “ticket” ； 2) 一個(gè)臨時(shí)加密密鑰（又稱(chēng)為會(huì)話(huà)密鑰 “session key”） ?？蛻?hù)機(jī)將 ticket （包括用服務(wù)器密鑰加密的客戶(hù)機(jī)身份和一份會(huì)話(huà)密鑰的拷貝）傳送到服務(wù)器上。會(huì)話(huà)密鑰可以（現(xiàn)已經(jīng)由客戶(hù)機(jī)和服務(wù)器共享）用來(lái)認(rèn)證客戶(hù)機(jī)或認(rèn)證服務(wù)器，也可用來(lái)為通信雙方以后的通訊提供加密服務(wù)，或通過(guò)交換獨(dú)立子會(huì)話(huà)密鑰為通信雙方提供進(jìn)一步的通信加密服務(wù)。 　　上述認(rèn)證交換過(guò)程需要只讀方式訪(fǎng)問(wèn) Kerberos 數(shù)據(jù)庫(kù)。但有時(shí)，數(shù)據(jù)庫(kù)中的記錄必須進(jìn)行修改，如添加新的規(guī)則或改變規(guī)則密鑰時(shí)。修改過(guò)程通過(guò)客戶(hù)機(jī)和第三方 Kerberos 服務(wù)器（Kerberos 管理器 KADM）間的協(xié)議完成。有關(guān)管理協(xié)議在此不作介紹。另外也有一種協(xié)議用于維護(hù)多份 Kerberos 數(shù)據(jù)庫(kù)的拷貝，這可以認(rèn)為是執(zhí)行過(guò)程中的細(xì)節(jié)問(wèn)題，并且會(huì)不斷改變以適應(yīng)各種不同數(shù)據(jù)庫(kù)技術(shù)。 　　Kerberos又指麻省理工學(xué)院為這個(gè)協(xié)議開(kāi)發(fā)的一套計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。系統(tǒng)設(shè)計(jì)上采用客戶(hù)端/服務(wù)器結(jié)構(gòu)與DES加密技術(shù)，并且能夠進(jìn)行相互認(rèn)證，即客戶(hù)端和服務(wù)器端均可對(duì)對(duì)方進(jìn)行身份認(rèn)證。可以用于防止竊聽(tīng)、防止replay攻擊、保護(hù)數(shù)據(jù)完整性等場(chǎng)合，是一種應(yīng)用對(duì)稱(chēng)密鑰體制進(jìn)行密鑰管理的系統(tǒng)。Kerberos的擴(kuò)展產(chǎn)品也使用公開(kāi)密鑰加密方法進(jìn)行認(rèn)證。

編輯本段協(xié)議結(jié)構(gòu)

Kerberos 信息

　　* 客戶(hù)機(jī)/服務(wù)器認(rèn)證交換 　　< 　　信息方向 信息類(lèi)型 　　客戶(hù)機(jī)向 Kerberos KRB_AS_REQ 　　Kerberos 向客戶(hù)機(jī) KRB_AS_REP或KRB_ERROR 　　* 客戶(hù)機(jī)/服務(wù)器認(rèn)證交換 　　信息方向 信息類(lèi)型 　　客戶(hù)機(jī)向應(yīng)用服務(wù)器 KRB_AP_REQ 　　[可選項(xiàng)] 應(yīng)用服務(wù)器向客戶(hù)機(jī) KRB_AP_REP或 KRB_ERRORR 　　* 票證授予服務(wù)（TGS）交換 　　信息方向 信息類(lèi)型 　　客戶(hù)機(jī)向 Kerberos KRB_TGS_REQ 　　Kerberos 向客戶(hù)機(jī) KRB_TGS_REP或KRB_ERROR 　　* KRB_SAFE 交換 　　* KRB_PRIV 交換 　　* KRB_CRED 交換 　　Kerberos的是MIT為雅典娜(Athena)計(jì)劃開(kāi)發(fā)的認(rèn)證系統(tǒng)。

Kerberos的組成

　　Kerberos應(yīng)用程序庫(kù)：應(yīng)用程序接口，包括創(chuàng)建和讀取認(rèn)證請(qǐng)求，以及創(chuàng)建safe message 和private message的子程序。 　　加密/解密庫(kù)：DES等。 　　Kerberos數(shù)據(jù)庫(kù)：記載了每個(gè)Kerberos 用戶(hù)的名字，私有密鑰，截止信息(記錄的有效時(shí)間，通常為幾年)等信息。 　　數(shù)據(jù)庫(kù)管理程序：管理Kerberos數(shù)據(jù)庫(kù) 　　KDBM服務(wù)器(數(shù)據(jù)庫(kù)管理服務(wù)器)：接受客戶(hù)端的請(qǐng)求對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作。 　　認(rèn)證服務(wù)器(AS)：存放一個(gè)Kerberos數(shù)據(jù)庫(kù)的只讀的副本，用來(lái)完成principle的認(rèn)證，并生成會(huì)話(huà)密鑰． 　　數(shù)據(jù)庫(kù)復(fù)制軟件：管理數(shù)據(jù)庫(kù)從KDBM服務(wù)所在的機(jī)器，到認(rèn)證服務(wù)器所在的機(jī)器的復(fù)制工作，為了保持?jǐn)?shù)據(jù)庫(kù)的一致性，每隔一段時(shí)間就需要進(jìn)行復(fù)制工作． 　　用戶(hù)程序：登錄Kerberos，改變Kerberos密碼，顯示和破壞Kerberos標(biāo)簽（ticket）等工作。 　　Microsoft Windows Server 2003操作系統(tǒng)上實(shí)現(xiàn)了Kerberos5身份驗(yàn)證協(xié)議。Windows　Server2003總是使用擴(kuò)展公鑰身份驗(yàn)證機(jī)制。KerBeros身份驗(yàn)證客戶(hù)端作為SSP（Security Support Provider）通過(guò)訪(fǎng)問(wèn)SSPI（Security Support Provider Interface）來(lái)實(shí)現(xiàn)身份驗(yàn)證。用戶(hù)身份驗(yàn)證初始化過(guò)程被集成在Winlogon這SSO（Single Sign-On）體系中。

編輯本段Kerberos缺陷

　　1.失敗于單點(diǎn)：它需要中心服務(wù)器的持續(xù)響應(yīng)。當(dāng)Kerberos服務(wù)結(jié)束前，沒(méi)有人可以連接到服務(wù)器。這個(gè)缺陷可以通過(guò)使用復(fù)合Kerberos服務(wù)器和缺陷認(rèn)證機(jī)制彌補(bǔ)。 　　2.Kerberos要求參與通信的主機(jī)的時(shí)鐘同步。票據(jù)具有一定有效期，因此，如果主機(jī)的時(shí)鐘與Kerberos服務(wù)器的時(shí)鐘不同步，認(rèn)證會(huì)失敗。默認(rèn)設(shè)置要求時(shí)鐘的時(shí)間相差不超過(guò)10分鐘。在實(shí)踐中，通常用網(wǎng)絡(luò)時(shí)間協(xié)議后臺(tái)程序來(lái)保持主機(jī)時(shí)鐘同步。 　　3.管理協(xié)議并沒(méi)有標(biāo)準(zhǔn)化，在服務(wù)器實(shí)現(xiàn)工具中有一些差別。 　　4.因?yàn)樗杏脩?hù)使用的密鑰都存儲(chǔ)于中心服務(wù)器中，危及服務(wù)器的安全的行為將危及所有用戶(hù)的密鑰。 　　5.一個(gè)危險(xiǎn)客戶(hù)機(jī)將危及用戶(hù)密碼。