Kerberos是現今較著名、成熟的身份認證機制,Kerberos協議是一種應用在開放式網絡環境,基於可信任第三方和TCP/IP的網絡安全認證協議,其認證模型基於Needham-Schroeder,以加密為基礎,對用戶及網絡連接進行認證,给予增強網絡安全的服務。

該協議使用DES來進行加密和認證,至今Kerberos協議已有5個版本, Kerberos v4是被公開發佈的第一個版本,它是分佈式計算機環境框架的組成部分,已在一些UNX系統中得到應用。Kerberos的設計是對以下要求實現的：

1.安全性:網絡中的竊聽者是不能得到必須信息來冒充網絡用戶。

2.可靠性:對基於Kerberos協議來說,Kerberos系統的癱瘓表示它支持的所有服務的癱瘓。

3.透明性:用戶除要輸入密碼外,不會察覺認證的過程。

4.可擴充性:系統應能支持更多數據的用戶和服務器。

Kerberos的設計目的有認證、授權、記賬3個領域,可用在構建安全網絡,它給出了用來安全網絡環境的認證機制和加密工具。Kerberos協議已成為業界的標準網絡身份驗證協議,越來越被廣泛的應用。微軟公司操作系統Windows 2000中给予了對Kerberos v5的支持,Linux Redhat環境下也可用Kerberos的Ktelnetd、Krlogind、Krshd來替代傳統的telnetd、rlogind、rshd服務,Java安全解決方案中的認證與權限服務也支持Kerberos。

Kerberos的目標是把認證從非安全的工作站移至聚焦的認證服務器,物理上服務器是安全的,且它的可靠性也是可控的。一定要保證用戶的密碼不能顺利获得明文形式在網絡中傳輸,每個用戶和服務都是一個密碼,只有認證服務器有全部用戶和服務密碼。