單點登錄系統(tǒng)把原來分散的用戶認(rèn)證信息集中起來管理，減輕了安全管理員的維護工作，降低了出現(xiàn)錯誤的可能。用戶不再需要每訪問一次資源進行一次身份認(rèn)證，提高了使用效率，而且單點登錄多采用更為可靠的認(rèn)證方式，增強了系統(tǒng)的整體安全性。

Kerberos最初是1985年美國麻省理工學(xué)院在Athena項目中開發(fā)的認(rèn)證協(xié)議，用于通信實

Kerberos最初是1985年美國麻省理工學(xué)院在Athena項目中開發(fā)的認(rèn)證協(xié)議，用于通信實體間的身份認(rèn)證。Kerberos在分布式身份認(rèn)證領(lǐng)域廣泛使用，目前已有五個版本，其中，Vl到V3 是在實驗室環(huán)境下開發(fā)的，V4是1988年開發(fā)的第一個公開版本，并在一些Unix系統(tǒng)中使用， V5進一步對V4中的安全缺陷做了改進，并在1994年作為Internet標(biāo)準(zhǔn)草案公布。Kerberos利用集中式認(rèn)證取代分散認(rèn)證，減輕服務(wù)器負(fù)擔(dān)。它使用對稱密碼算法實現(xiàn)通過可信第三方的認(rèn)證服務(wù)。

Kerberos的運行環(huán)境由密鑰分配中心（Key Distribution Center，KDC）、應(yīng)用服務(wù)器和客戶端三個部分組成。KDC是整個系統(tǒng)的核心部分，它負(fù)責(zé)維護所有用戶的帳戶信息。KDC提供認(rèn)證服務(wù)( Authentication Server，AS)和會話授權(quán)服務(wù)(Ticket GrantingService，TGS)。 AS對用戶的身份進行初始認(rèn)證，若認(rèn)證通過便給用戶發(fā)放票據(jù)授權(quán)票據(jù)(Ticket Granting Ticket，TGT)，使用該票據(jù)用戶可訪問TGS，從而獲得訪問應(yīng)用服務(wù)器時所需的服務(wù)票據(jù)( Service Ticket，ST)。應(yīng)用服務(wù)器接受用戶的服務(wù)訪問請求，驗證用戶身份，并向合法用戶提供所請求的服務(wù)。客戶端在用戶登錄時發(fā)送各種請求信息，并接收從KDC返回的信息。