Kerberos认证系统是美国麻省理工学院(MT)作为Athena计划的一部分开发的认证服务系统。该系统以对称密码体制为基础,使用Needham-Schroeder认证协议实现用户和服务器之间的双向认证。Kerberos认证系统借助值得信赖的中央认证服务器实现了集中的认证,认证服务器与网络上的每个实体分别共享一个不同的密钥,是否知道该密钥便是身份的证明,而且并不依赖于主机操作系统和地址。
Kerberos认证系统最终解决以下问题:在开放的分布式环境中,用户希望访问网络中的服务器、而服务器则要求能够认证用户的访问请求,并仅允许那些通过认证的用户访问服务器,以防未授权用户得到服务和数据。
Kerberos认证系统具有以下特点。
1.强安全性:Kerberos系统提供强大的安全机制来防止潜在的非法入侵者发现脆弱的链路,客户和服务器都信任 Kerberos对它们的仲裁,因此非法用户不能伪装成合法用户来窃听通信信息,只要Kerberos服务器本身是安全的,那么认证服务就是安全的。
2.高可靠性:采用分布式的服务器结构,随时对系统进行备份,用户能依靠 Kerberos提供的服务来取得进行访问控制所需的服务。
3.透明性:为了方便用户,整个Kerberos系统只要求用户输入一个口令,用户感觉不到认证服务器的存在。
4.可伸缩性: Kerberos系统采用模块化、分布式结构,能够支持大量客户和服务器。
Kerberos认证系统中的V-V3是内部开发版,V4是1988年开发的,现已得到广泛应用,而V5则进一步对V4中的某些安全缺陷做了改进,已于1994年作为因特网标准RFC 1510得到公布。