kerberosv4与kerberosv5比较分析.doc

kerberosv4与kerberosv5比较分析.doc个Ticket的生存期内客户端会将这两样东西以 Credential为单位保存在一个 Cache文件中。
Kerberos 是一种网络认证协议， 其设计目标是通过密钥系统为客户机
/服务器应用程序提
供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，
无需基于主机地址的
信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、
修改和插入数据。在以上情况下，
Kerberos 作为一种可信任的第二方认证服务，是通过
传统的密码技术（如：共享密钥）执行认证服务的。
Kerberos的组成
Kerberos应用程序库：应用程序接口，包括创建和读取认证请求，以及创建 safe
message 禾口 private message 的子程序。
加密/解密库：DES等。 Kerberos数据库：记载了每个 Kerberos用户的名字，私
有密钥，截止信息（记录的有效时间，通常为几年 ）等信息。
数据库管理程序：管理 Kerberos数据库
KDBM服务器（数据库管理服务器）：接受客户端的请求对数据库进行操作。
认证服务器（AS）:存放一个Kerberos数据库的只读的副本，用来完成principle的认证， 并生成会话密钥.
数据库复制软件：管理数据库从 KDBM服务所在的机器，到认证服务器所在的机器的
复制工作，为了保持数据库的一致性，每隔一段时间就需要进行复制工作.
用户程序：登录 Kerberos，改变Kerberos密码，显示和破坏 Kerberos标签（ticket） 等工作。
Kerberos协议分为两个部分：
1 . Client向 KDC 发送自己的身份信息， KDC 从Ticket Granting Service 得到
TGT（ticket-granting ticket）,并用协议开始前 Client与KDC之间的密钥将 TGT加密回复 给 Client o
此时只有真正的 Client才能利用它与 KDC之间的密钥将加密后的 TGT解密，从而获
得 TGT。
（此过程避免了 Client直接向KDC发送密码，以求通过验证的不安全方式）
Client利用之前获得的 TGT向KDC请求其他 Service的Ticket，从而通过其他 Service的身份鉴别。
Kerberos协议的重点在于第二部分，简介如下：
Client将之前获得TGT和要请求的服务信息（服务名等）发送给KDC , KDC中 的 Ticket Granting Service 将为 Client 和 Service 之间生成一个 Session Key 用于 Service 对Client的身份鉴别。然后 KDC将这个Session Key和用户名，用户地址（IP）,服务名， 有效期，时间戳一起包装成一个 Ticket（这些信息最终用于 Service对Client的身份鉴别）发 送给Service , 不过Kerberos 协议并没有直接将 Ticket发送给Service，而是通过 Client 。
此时KDC将刚才的Ticket转发给 Client。由于这个 Ticket是要给 Service的,
不能让Client看到，