kerberos工作原理、（Kerberos，读“科博使”）

kerberos简介
kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。
kerberos是一项认证服务，它要解决的问题是：在公开的分布式环境中，工作站上的用户希望访问分布在网络上的服务器，希望服务器能限制授权用户的访问，并能对服务请求进行认证。
kerberos是一种应用对称密码体制进行密钥管理的系统。麻省理工MIT研发了Kerberos协议来保护Project Athena提供的网络服务器。
软件设计上采用客户端/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证。
kerberos不是建立一个精密的认证协议，而是提供一个集中的认证服务器。

Kerberos基于对称密钥体制。
简要大概地说一下Kerberos是如何工作的：
假设你要在一台电脑上访问另一个服务器（你可以发送telnet或类似的登录请求）。你知道服务器要接受你的请求必须要有一张Kerberos的“入场券”。
要得到这张入场券，你首先要向验证服务器（AS）请求验证。验证服务器会创建基于你的密码（从你的用户名而来）的一个“会话密钥”（就是一个加密密钥），并产生一个代表请求的服务的随机值。这个会话密钥就是“允许入场的入场券”。
然后，你把这张允许入场的入场券发到授权服务器（TGS）。TGS物理上可以和验证服务器是同一个服务器，只不过它现在执行的是另一个服务。TGS返回一张可以发送给请求服务的服务器的票据。
服务器或者拒绝这张票据，或者接受这张票据并执行服务。
因为你从TGS收到的这张票据是打上时间戳的，所以它允许你在某个特定时期内（一般是八小时）不用再验证就可以使用同一张票来发出附加的请求。使这张票拥有一个有限的有效期使其以后不太可能被其他人使用。
实际的过程要比刚才描述的复杂得多。用户过程也会根据具体执行有一些改变。

kerberos是麻省理工MIT为校园网用户访问服务器进行身份认证而设计的安全协议，它可以防止偷听和重放攻击，保护数据的完整性。

kerberos的安全机制如下：
AS（Authentication Server）= 认证服务器，是为用户发放TGT的服务器。
KDC（Key Distribution Center）= 密钥分发中心
TGT（Ticket Granting Ticket）= 票据授权票据，票据的票据
TGS（Ticket Granting Server）= 票据授权服务器，负责发放访问应用服务器时需要的票证。认证服务器和票据授予服务器组成密钥分发中心KDC(Key Distribution Center)。
SS（Service Server）= 特定服务提供端
V: 用户请求访问的应用服务器。

kerberos工作原理

kerberos认证过程分为3个阶段，6个步骤。

第一阶段：认证服务交换，客户端获取授权服务器访问许可票据。

第二阶段：票据许可服务交换，客户端获得应用服务器访问许可票据。

第三阶段：客户端与应用服务器认证交换，客户端最终获得应用服务。

HTTP、HTTPS、SSL、TLS、CA证书、CSR（列表、list、全）HTTPLIST、HTTPSLIST、SSLLIST、TLSLIST、CALIST、CSRLIST、pkilist
http://www.zh-cjh.com/wenzhangguilei/2199.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html