kerberos体系之单点登录与Kerberos认证协议二

单点登录系统把原来分散的用户认证信息集中起来管理，减轻了安全管理员的维护工作，降低了出现错误的可能。用户不再需要每访问一次资源进行一次身份认证，提高了使用效率，而且单点登录多采用更为可靠的认证方式，增强了系统的整体安全性。

Kerberos最初是1985年美国麻省理工学院在Athena项目中开发的认证协议，用于通信实

Kerberos最初是1985年美国麻省理工学院在Athena项目中开发的认证协议，用于通信实体间的身份认证。Kerberos在分布式身份认证领域广泛使用，目前已有五个版本，其中，Vl到V3 是在实验室环境下开发的，V4是1988年开发的第一个公开版本，并在一些Unix系统中使用， V5进一步对V4中的安全缺陷做了改进，并在1994年作为Internet标准草案公布。Kerberos利用集中式认证取代分散认证，减轻服务器负担。它使用对称密码算法实现通过可信第三方的认证服务。

Kerberos的运行环境由密钥分配中心（Key Distribution Center，KDC）、应用服务器和客户端三个部分组成。KDC是整个系统的核心部分，它负责维护所有用户的帐户信息。KDC提供认证服务( Authentication Server，AS)和会话授权服务(Ticket GrantingService，TGS)。 AS对用户的身份进行初始认证，若认证通过便给用户发放票据授权票据(Ticket Granting Ticket，TGT)，使用该票据用户可访问TGS，从而获得访问应用服务器时所需的服务票据( Service Ticket，ST)。应用服务器接受用户的服务访问请求，验证用户身份，并向合法用户提供所请求的服务。客户端在用户登录时发送各种请求信息，并接收从KDC返回的信息。