Kerberos

Kerberos是计算机网络中的验证服务请求的一种安全方法。Kerberos是在麻省理工学院(MIT)的Athena项目中开发的。它的名字取自希腊神话；Kerberos是守卫地域之门的一只三头狗。Kerberos把用户的请求变成验证过程的一张加密的“入场券”，然后验证过程再向服务器提出特定服务的请求。用户的密码不一定要通过网络。Kerberos的版本(客户端或服务器)可以在MIT下载到，或者你也可以购买商业版本。　　

简要大概地说一下Kerberos是如何工作的：　　

1.假设你要在一台电脑上访问另一个服务器(你可以发送telnet或类似的登录请求)。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。　　

2.要得到这张入场券，你首先要向验证服务器(AS)请求验证。验证服务器会创建基于你的密码(从你的用户名而来)的一个“会话密钥”(就是一个加密密钥)，并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。　　

3.然后，你把这张允许入场的入场券发到授权服务器(TGS)。TGS物理上可以和验证服务器是同一个服务器，只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。　　

4.服务器或者拒绝这张票据，或者接受这张票据并执行服务。　　

5.因为你从TGS收到的这张票据是打上时间戳的，所以它允许你在某个特定时期内(一般是八小时)不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。　　

实际的过程要比刚才描述的复杂得多。用户过程也会根据具体执行有一些改变。