单点登录系统把原来分散的用户认证信息集中起来管理,减轻了安全管理员的维护工作,降低了出现错误的可能。用户不再需要每访问一次资源进行一次身份认证,提高了使用效率,而且单点登录多采用更为可靠的认证方式,增强了系统的整体安全性。
Kerberos最初是1985年美国麻省理工学院在Athena项目中开发的认证协议,用于通信实
Kerberos最初是1985年美国麻省理工学院在Athena项目中开发的认证协议,用于通信实体间的身份认证。Kerberos在分布式身份认证领域广泛使用,目前已有五个版本,其中,Vl到V3 是在实验室环境下开发的,V4是1988年开发的第一个公开版本,并在一些Unix系统中使用, V5进一步对V4中的安全缺陷做了改进,并在1994年作为Internet标准草案公布。Kerberos利用集中式认证取代分散认证,减轻服务器负担。它使用对称密码算法实现通过可信第三方的认证服务。
Kerberos的运行环境由密钥分配中心(Key Distribution Center,KDC)、应用服务器和客户端三个部分组成。KDC是整个系统的核心部分,它负责维护所有用户的帐户信息。KDC提供认证服务( Authentication Server,AS)和会话授权服务(Ticket GrantingService,TGS)。 AS对用户的身份进行初始认证,若认证通过便给用户发放票据授权票据(Ticket Granting Ticket,TGT),使用该票据用户可访问TGS,从而获得访问应用服务器时所需的服务票据( Service Ticket,ST)。应用服务器接受用户的服务访问请求,验证用户身份,并向合法用户提供所请求的服务。客户端在用户登录时发送各种请求信息,并接收从KDC返回的信息。