cissp之kerberos协议

  瘦客户端(Thin Client)：瘦客户端是从2002年开始兴起的一个新技术，它以更高的安全性和较低的成本而著称。把瘦客户端归类为分布式访问控制的理由是，瘦客户端类似于用户进行身份验证和访问数据的一个前端。 　

  Kerberos：在希腊神话中，Kerberos是守卫地狱入口的三头犬。如同神话传说中的Kerberos，现代信息系统中有一种验证协议也通过三个参素来保护网络入口，因此开发者将这种协议命名为Kerberos。Kerberos可能是至今为止使用最为广泛的身份验证协议，它在上个世纪80年代由麻省理工学院(MIT)设计并在雅典娜计划中使用，适用于大规模的异构网络中。 　　

  Kerberos协议设计的核心是，在用户的验证过程中引入一个可信的第三方，Kerberos验证服务器，它通常也称为密钥发放服务器(KDC)，负责执行用户和服务的安全验证。Kerberos协议在网络上传输的数据都是用DES加密方法进行处理。Kerberos除了提供验证服务外，还能够提供网络信息的保密性和完整性保障。 　　

  在一个封闭的小型网络，所有的节点都有一个组织所拥有并维护的情况下，使用Kerberos并不是部署验证服务的必然选项。但在一个开放的，分布式的网络环境中，尤其是有许多异构系统，用户必须向每个要访问的服务器或服务提供凭证的情况下，使用Kerberos协议能够有效的简化网络的验证过程。

  Kerberos服务可以采取多个服务器的分布式部署方式，以冗余的方式来保证Kerberos验证服务不成为网络的单点故障。Kerberos服务通过核对用户及其要使用的服务之间的授权状态，来确定用户是否能访问服务，核对通过后，Kerberos会为用户提供访问服务所需的“票据”(Ticket)，票据有使用时限并保存在用户系统的缓存中。 　　

  Kerberos协议的设计中，有如下的四个需求：1、安全：即使网络通信被非法用户监听，也不会泄漏能够危害合法用户的信息; 。　　

  2、可靠性：能够提供可靠的服务，在必要时可以使用分布式的部署方式。　　

  3、透明：在需要用户交互的初始验证之后，用户无需关心接下去的验证过程是如何进行的。 　　

  4、适应性：能够适应小规模或大规模的网络部署。