2.3.5  kerberos體系

1.單點(diǎn)登錄與Kerberos認(rèn)證協(xié)議

隨著信息技術(shù)及其應(yīng)用的不斷普及，用戶每天需要登錄到許多不同的信息系統(tǒng)，如： Web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器及各種應(yīng)用服務(wù)器等。傳統(tǒng)的認(rèn)證機(jī)制采用基于用戶名／密碼的分散管理，即用戶通過網(wǎng)絡(luò)世界的身份標(biāo)識(shí)來訪問各種資源，這些身份標(biāo)識(shí)是分別被每個(gè)系統(tǒng)保存，無法相互傳遞。因此，用戶必須在每個(gè)系統(tǒng)中都有一組用戶名和密碼，在進(jìn)入不同系統(tǒng)時(shí)都需要進(jìn)行認(rèn)證。一方面基于用戶名／密碼的認(rèn)證方式安全強(qiáng)度不高，另一方面大量的用戶名／密碼給用戶帶來了額外的安全管理問題，為此，人們希望設(shè)計(jì)一種在網(wǎng)絡(luò)資源使用過程中更為高效、安全并且簡(jiǎn)便的認(rèn)證機(jī)制，單點(diǎn)登錄技術(shù)由此產(chǎn)生。

單點(diǎn)登錄就是指用戶只需在網(wǎng)絡(luò)中進(jìn)行一次身份認(rèn)證，便可以訪問其授權(quán)的所有網(wǎng)絡(luò)資源，而不再需要其它的身份認(rèn)證過程，實(shí)質(zhì)是安全憑證在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。 這里所指的網(wǎng)絡(luò)資源可以是各種共享的硬件設(shè)備，也可以是各種應(yīng)用程序和數(shù)據(jù)等。