【51CTO獨(dú)家特稿】Kerberos認(rèn)證協(xié)議定義了客戶端和稱為密鑰分配中心KDC（Key Distribution Center）的認(rèn)證服務(wù)之間的安全交互過程。Windows 2000在每一個域控制器中應(yīng)用KDC認(rèn)證服務(wù)，其域同Kerberos中的realm功能類似，具體可參考RFC 1510協(xié)議。Windows 2000中采用多種措施提供對Kerberos協(xié)議的支持：Kerberos客戶端使用基于SSPI的Windows 2000安全提供者，初始Kerberos認(rèn)證協(xié)議同WinLogon的單次登錄進(jìn)行了集成，而Kerberos KDC也同運(yùn)行在域控制器中的安全服務(wù)進(jìn)行了集成，并使用活動目錄作為用戶和組的賬號數(shù)據(jù)庫。

Kerberos是基于共享密鑰的認(rèn)證協(xié)議，用戶和密鑰分配中心KDC都知道用戶的口令，或從口令中單向產(chǎn)生的密鑰，并定義了一套客戶端、KDC和服務(wù)器之間獲取和使用Kerberos票據(jù)的交換協(xié)議。當(dāng)用戶初始化Windows登錄時，Kerberos SSP利用基于用戶口令的加密散列獲取一個初始Kerberos票據(jù)TGT，Windows 2000把TGT存儲在與用戶的登錄上下文相關(guān)的工作站的票據(jù)緩存中。當(dāng)客戶端想要使用網(wǎng)絡(luò)服務(wù)時，Kerberos首先檢查票據(jù)緩存中是否有該服務(wù)器的有效會話票據(jù)。如果沒有，則向KDC發(fā)送TGT來請求一個會話票據(jù)，以請求服務(wù)器提供服務(wù)。

請求的會話票據(jù)也會存儲在票據(jù)緩存中，以用于后續(xù)對同一個服務(wù)器的連接，直到票據(jù)超期為止。票據(jù)的有效期由域安全策略來規(guī)定，一般為8個小時。如果在會話過程中票據(jù)超期，Kerberos SSP將返回一個響應(yīng)的錯誤值，允許客戶端和服務(wù)器刷新票據(jù)，產(chǎn)生一個新的會話密鑰，并恢復(fù)連接。

在初始連接消息中，Kerberos認(rèn)證協(xié)議把會話票據(jù)提交給遠(yuǎn)程服務(wù)，會話票據(jù)中的一部分使用了服務(wù)和KDC共享的密鑰進(jìn)行了加密。因為服務(wù)器端的Kerberos有服務(wù)器密鑰的緩存拷貝，所以，服務(wù)器不需要到KDC進(jìn)行認(rèn)證，而直接可以通過驗證會話票據(jù)來認(rèn)證客戶端。在服務(wù)器端，采用Kerberos認(rèn)證系統(tǒng)的會話建立速度要比NTLM認(rèn)證快得多，因為使用NTLM，服務(wù)器獲取用戶的信任書以后，還要與域控制器建立連接，來對用戶進(jìn)行重新認(rèn)證。

Kerberos會話票據(jù)中包含有一個唯一的、由KDC創(chuàng)建的、用于客戶端和服務(wù)器之間傳輸數(shù)據(jù)和認(rèn)證信息加密的會話密鑰。在Kerberos模型中，KDC是作為產(chǎn)生會話密鑰的可信第三方而存在的，這種形式更適合于分布式計算環(huán)境下的認(rèn)證服務(wù)。

Kerberos作為基本的Windows 2000認(rèn)證協(xié)議，與Windows 2000認(rèn)證和存取控制安全框架進(jìn)行了緊密整合。初始的Windows域登錄由WinLogon提供，它使用Kerberos安全提供者（security provider）來獲取一個初始的Kerberos認(rèn)證協(xié)議票據(jù)。操作系統(tǒng)的其他組件，如轉(zhuǎn)向器（Redirector）則使用安全提供者的SSPI接口來獲取一個會話票據(jù)，以連接對遠(yuǎn)程文件存取的SMB服務(wù)器。

Kerberos V5協(xié)議在會話票據(jù)中定義了一個攜帶授權(quán)數(shù)據(jù)的加密域，該域的使用留給了應(yīng)用開發(fā)，而Windows 2000則使用Kerberos票據(jù)中的授權(quán)數(shù)據(jù)來附帶代表用戶和組成員的Windows 安全I(xiàn)D。在服務(wù)器端的Kerberos安全提供者則使用授權(quán)數(shù)據(jù)來建立代表用戶的一個Windows安全存取控制令牌，可以模擬客戶端來請求提供相應(yīng)服務(wù)。

Windows 2000中應(yīng)用了Kerberos協(xié)議的擴(kuò)展，除共享密鑰外，還支持基于公/私鑰對的身份認(rèn)證機(jī)制。Kerberos公鑰認(rèn)證的擴(kuò)展允許客戶端在請求一個初始TGT時使用私鑰，而KDC則使用公鑰來驗證請求，該公鑰是從存儲在活動目錄中用戶對象的X.509證書中獲取的。用戶的證書可以由權(quán)威的第三方，如VeriSign和Digital IDs等來發(fā)放，也可以由Windows 2000中的微軟證書服務(wù)器來產(chǎn)生。初始認(rèn)證以后，就可以使用標(biāo)準(zhǔn)的Kerberos來獲取會話票據(jù)，并連接到相應(yīng)的網(wǎng)絡(luò)服務(wù)。

通過對Kerberos認(rèn)證協(xié)議進(jìn)行公鑰擴(kuò)展，可以使用戶采用多種方式來登錄工作站和網(wǎng)絡(luò)，如采用智能卡技術(shù)。智能卡中一般存儲有用戶的私鑰，可用于Kerberos的初始化認(rèn)證處理。

目前，使用公鑰技術(shù)來擴(kuò)展Kerberos認(rèn)證協(xié)議的計劃和建議已經(jīng)提交到IETF來進(jìn)行標(biāo)準(zhǔn)化推廣。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處?！?/p>

【編輯推薦】

1. Windows終端服務(wù)的Kerberos化驗證
2. Samba將可取得微軟Windows協(xié)議文件