第20卷第10期计算机技术与发展Vo1．20No．10 2010年10月COMPUTERTECHNOL(X；YANDDEVEL，()PMENTOct．2010 基于Kerberos协议的用户到用户认证系统的研究 杨战海 (延安大学计算中心，陕西延安716000) 摘要：基于Kerberos协议的典型系统为单点登录身份认证系统，即单域身份认证系统，而关于用户到用户的身份认证系 统，多采用NTLM协议。为了研究基于Kerberos协议的用户到用户认证系统，在充分研究Kerberos协议的体系结构和工 作流程的基础上，对用户到用户的Kerberos身份认证系统的认证过程进行了详细的设计，分析了用户到用户的Kerbems 身份认证系统的典型结构。研究表明，当一个客户端需要访问另一个客户端中运行的服务时，Kerberos身份认证协议支持 在两个客户端之间的身份认证。 关键词：身份认证；Kerberos；密钥分发中心；认证服务器；单点登录；用户到用户 中图分类号：TP309文献标识码：A文章编号：1673—629X(2010)10—0180—04 ResearchonKerberosProtocolBasedUser--to·--User AuthenticationSystem YANGZhan—hai (ComputerCenter，Yan’anUniversity，Yan’an716000，China) Abstract：Kerberosprotocolbasedtypicalsystemisthesinglesign—onidentityauthenticationsystem，namely，thesingle—domainidenti— tyauthenticationsystem，whereas，user—to—useridentityauthenticationsystemmainlybasedonNTLMprotoco1．Inordertoresearch Kerberosprotocolbaseduser—to—useridentityauthenticationsystem，detaileddesignstheauthenticationcourseoftheKerberosprotocol baseduser——to——useridentityauthenticationsystemandanalyzesthetypicalstructureoftheKerberosprotocolbasedHser——tO——useriden． tityauthenticationsystemoi1thebasisofresearchingthearchitectureandworkflowoftheKerberosprotoco1．Theresearchshowsthat whenaclient—sideneedsaccesstotherunningserviceofanotherclient—side，Kerberosprotocolbasedidentityauthenticationisapplied totheidentityauthenticationbetweenthetwoclient—sides． Keywords：identityauthentication；Kerberos；KDC；AS；SS0：user—to—user 0引言1Kerberos的体系结构 Kerberos协议是一种计算机网络授权协议，用来在Kerberos模型中，网络实体是指位于网络上的 在非安全网路中，对个人通信以安全的手段进行身份客户机(Client)和应用服务器(Server)。客户机可以是 认证。这个协议是20世纪80年代麻省理工学院用户，也可以是处理事务所需要的独立的软件程序。 (MIT)开发的一套计算机软件L1．2J，是为TCPZIP网络Kerberos拥有一个存储所有用户秘密密钥的数据库， 设计的可信第三方鉴别协议_3J，Kerberos服务器提对于每个用户而言，秘密密钥是一个加密口令，需要鉴 供了安全的网络鉴别，允许用户访问网络中的不同服别的网络业务以及希望运行这些业务的客户机需要使 务器。用其在Kerberos注册的秘密密钥。Kerberos知道每个 KerberoS基于对称密钥体制，它与网络上的每个 网络实体的秘密密钥，因此，它能够产生一个消息，用 网络实体共享一个不同的秘密密钥，Kerberos通过网 于证实实体的身份。 络实体是否知道秘密密钥验证其身份。 另外，Kerberos还能够产生会话密钥，提供给通信 的双方实体，用于加密双方间的通信信息，通信结束 后，销毁会话密钥。 收稿日期