Kerberos身份認證系統是基於可信賴的第三方的認證系統,不断在Unix系統中廣泛採用,Microsoft公司在推出的Windows 2000中也實現了這一認證系統,並作為它的默認認證系統。Kerberos用對稱密鑰體制加密信息。它的基本思想是可正確解密信息的用戶即為合法用戶。

基於Kerberos身份認證系統包括如下內容。

(1)客戶機:被認證方裝有Kerberos客戶端的計算機。

(2)應用服務器:給出被認證方最終期望訪問的服務器。

(3)身份認證服務器：認證系統中所有用戶的身份，保存所有用戶口令。

(4)票據許可服務器：給用戶分發最後想要訪問的服務器的票據。用戶用該票據向服務器證明身份。

TGS與AS共同組成Kerberos密鑰分配中心KDC（也稱Kerberos服務器）。

在大型的系統用的Kerberos身份認證系統較多,它有如下優點。

(1)安全性高。Kerberos系統中沒有口令信息的明文傳輸,使竊聽者很難在網絡上得到相應的口令信息。

(2)透明性高。第三方仲裁參與認證開放網絡中兩方,不過對用戶而言卻完全感覺不到。

(3)可擴展性好,管理集中度高。Kerberos向每個服務給出認證,保證應用的安全。另外,大型的系統可用層次化的區域管理。

但是,Kerberos也存在如下一些問題。

(1)Kerberos服務器變成了網絡的單點瓶頸,如果發生故障會使整個安全系統無法工作。

(2)AS存儲了系統里全部用戶的口令,其它的安全性一定得有充足的保證。

(3)AS在傳輸用戶和TCS間的會話密鑰的時候是顺利获得用戶密鑰進行加密的,而用戶密鑰是用戶口令生成的,所以可能遭受口令猜測的攻擊。

(4)Kerberos用了時間戳,所以有時間同步問題。

(5)根據用戶數的增多,密鑰管理比較繁雜。當N個用戶要同一時間通信時,還得有N*(N-1)/2個密鑰。