信息安全工程师教程摘录：单点登录模型之基于 Kerberos的 SSO模型

（3）基于 Kerberos的 SSO模型
Kerberos是标准网络身份认证协议，该协议是由麻省理工学院起草，旨在给计算机网络提供“身份认证”。它是基于信任第三方，如同一个经纪人集中地进行用户认证和发放电子身份标识。它提供了在开放型网络中进行身份认证的方法，认证实体可以是用户或用户服务。这种人为不依赖宿主机的操作系统或主机的 IP地址，不需要保证网络上所有的物理安全性，并且假定数据包在传输中可被随机窃取篡改。在用户初始登录成功后，其密钥和身份标识信息会长期保存在内存中，当以后要申请新的票据（新的应用服务）时，系统会自动提取之，加密后传送出去，整个过程对于用户来说完全是透明的，在不再需要用户输入任何口令的情况下实现用户身份的自动传递。认证过程如图 5-3所示。 


图 5-3 基于 Kerberos的 SSO模型

此模型的技术原理是：采用对称密钥加密算法对信息进行加密，如果用某个用户的密钥加密某一信息，那么只有该用户才能解密。因此，通过解密也可以证明该用户的合法性（即为密钥的拥有者）。Kerberos协议中有三个通信参与方，需要认证身份的通信双方和一个双方都信任的第三方 KDC（密钥分发中心），将发起认证服务的一方称为客户方，客户方需要访问的对象称为服务器方。在 Kerberos中客户方是通过向服务器方递交自己的“票据”（Ticket）来证明自己的身份的，该票据是由 KDC专门为客户方和服务器方在某一阶段内通信而生成的。Kerberos认证服务器 KDC维护着一个数据库，包括所有用户及应用服务器的密钥。用户的密钥是基于口令的，只存在于 KDC上，用户首次注册时，系统根据用户输入的口令经过散列 Hash可以生成密钥，应用服务器向 KD注册时也会生成密钥，该密钥不仅存在于 KDC上，还保存在该服务器所贮的主机上，这些密钥往往是机器随机生成。用户与应用服务器之间进行通信时，二者之间还共享一个临时会话密钥，可根据需要加密数据。该密钥在 KDC认证用户时产生并分发给通信双方。会话密钥仅在当前会话期间有效，过期需要重新申请。

报考须知：2016信息安全工程师报考指南 报名时间 考试大纲 考试教材

备考练习：2016信息安全工程师章节练习 每日一练 历年真题 考前密卷

加入信息安全工程师考友QQ群：11824850，交流学习，随时获取考试信息。

信息安全工程师考试备考已经开始，尚大特邀名师授课（马上免费试听），全面讲解考试重要知识点，保过班、精品班、直播班，为您的考证之路保驾护航。