kerberos详解
一、kerberos
1、kerberos简介
kerberos的名字源自于希腊神话中的三头犬cerberus,象征着协议拥有三个核心组件来守护网络的大门。kerberos本质上是一种计算机网络认证协议,它允许在非安全的网络上的实体通过使用对称密钥加密向彼此证明身份,且不会再网络上传输密码。其设计目标是通过密钥系统为网络中通信的客户机/服务器应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
2、kerberos解决了什么问题
在早期或简单的网络环境中,认证方式通常是:
-
基于ip地址的信任:不可靠,ip地址很容易被伪造。
-
在线密码验证:用户直接将密码发送给服务器。这在非安全网络中及其危险,密码可能被窃听。
kerberos的设计目标:
-
绝不通过网络传输密码
-
实现“单点登录”(single sign-on,sso):用户只需输入一次密码,就可以访问所有被授权的网络服务,而无需重复认证。
-
提供双向认证(mutual authentication):不仅是客户端向服务器证明身份,服务器也向客户端证明自己的身份,防止“钓鱼”服务器。客户端需要确认即将访问的网络服务就是自己所想要访问的服务而不是一个伪造的服务,而服务端需要确认这个客户端是一个身份真实,安全可靠的客户端,而不是一个想要进行恶意网络攻击的用户。