|
单点登录就是指用户只需在网络中进行一次身份认证,便可以访问其授权的所有网络资源,而不再需要其他的身份认证过程,实质是安全凭证在多个应用系统之间的传递或共享。这里所指的网络资源可以是各种共享的硬件设备,也可以是各种应用程序和数据等。 单点登录系统把原来分散的用户认证信息集中起来管理,减轻了安全管理员的维护工作,降低了出现错误的可能。用户不再需要每访问一次资源进行一次身份认证,提高了使用效率,而且单点登录多采用更为可靠的认证方式,增强了系统的整体安全性。 Kerberos是目前使用广泛的单点登录协议之一,是1985年美国麻省理工学院在Athena项目中开发的认证协议,用于通信实体间的身份认证。Kerberos利用集中式认证取代分散认证,减轻服务器负担。它使用对称密码算法实现通过可信第三方的认证服务。 Kerberos的运行环境由密钥分配中心(Key Distribution Center,KDC)、应用服务器和客户端3个部分组成。KDC是整个系统的核心部分,负责维护所有用户的账户信息。KDC提供认证服务(Authentication Service,AS)和会话授权服务(Ticket Granting Service,TGS)。AS对用户的身份进行初始认证,若认证通过便给用户发放票据授权票据(Ticket Granting Ticket,TGT),用户使用该票据可访问TGS,从而获得访问应用服务器时所需的服务票据。应用服务器接受用户的服务访问请求,验证用户身份,并向合法用户提供所请求的服务。客户端在用户登录时发送各种请求信息,并接收从KDC返回的信息。 【出处】朱胜涛,温哲,位华,张晓菲, 沈传宁.注册信息安全专业人员培训教材.北京师范大学出版社,2019年5月第1版.
| 
发表于 2025-11-3 08:18:59