[轉載請註明出處] http://kezeodsnx.pixnet.net/blog

作者: kezeodsnx

Kerberos--第三方認證機制

Kerberos是一種網路認證協定。一般client/server型態的應用程式,由server提供service給認證過的client。認證意味著不是隨便張三李四都可隨意使用該service,因此server端通常會要求client證明身份,方法則多半是username/password。因此不管這個密碼是 cyphertext還是plaintext,都在網路上傳來傳去,讓有心人士有可趁之機。

大多數人每天開心的使用網路,在鍵入帳號資訊,信用卡卡號,晶片卡密碼時,從不以為會發生什麼問題。當然,這只是沒有遇到, 不代表麻煩不會上身。而Kerberos就在這個不安全的網路世界中,提供了強大且安全的認證機制。這並非表示Kerberos解決了所有問題, 而是把惹上麻煩的機率降低一些。天下沒有不可能的事,不是嗎?

Kerberos獨立於client跟server之外,提供認證的機制,因此說它是第三方。client需要service時,是向Kerberos取得認證,而非server。 因此,這個server當然是要Kerberosized的。目前討論的實作是MIT的Kerberos V5 (目前最新版為02 Jun 2009所釋出的krb5-1.7)。 這是MIT為了讓人們了解Kerberos而寫的, 原文:Designing an Authentication System:a Dialogue in Four Scenes。年代有點久,當作短篇小說來看還不錯,了解整個問題是怎麼來的,更能知道Kerberos到底做了些什麼。

MicroSoft

Windows 2000/2003 server都根據了RFC 1510實作 Kerberos協定。 而RFC 1964則定義了peer傳送訊息的token (GSS, Generic Security Service /API)。Windows的desktop (如XP)與windows server及windows server間的認證均使用Kerberos。

kezeodsnx 發表在 痞客邦 PIXNET 留言(0) 人氣()