Kerberos V5 协议
1. 简介
Kerberos协议是由MIT大学研究并开发出的一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的双向认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(对称加密)执行认证服务的。
——来自百度百科。
2. 术语解释
2.1. 角色:KDC、KDC-TGS、SERVER、CLIENT
KDC:keydistribute center,密钥分发中心,向用户提供身份认证,并为其分发TGT和登录会话密钥(取名:lsk)。
KDC-TGS:KDC-ticketgranting service,服务票证许可服务组件,向用户分发ST和服务会话密钥(ssk)。
注:KDC和KDC-TGS可以在一个主机上,他们共享一个数据中心(可以是数据库或者缓存池),该数据中心存储了所有用户的长期密码(UK)以及服务(SERVER)的长期密码(SK),并且KDC自己的长期密码(KK)也放在数据中心。
SERVER:向用户提供具体的服务的服务端,需要预先在