Kerberos

概述

Kerberos（發音為「ker‑ber‑os」）是一套基於票券（ticket）的網路認證協定，旨在提供單一登入（single sign-on）的功能，最初由美國麻省理工學院（MIT）在1980年代研發，名稱取自希臘神話中的三頭犬Cerberus。

運作流程

1. 用戶向金鑰分發中心（Key Distribution Centre）請求初始票券，該系統以對稱密鑰加密並生成一組會話金鑰。
2. 用戶使用取得的票券向伺服器請求服務，伺服器再向KDC驗證票券有效性，雙方完成相互身份驗證，確保資料傳輸的保密性與完整性。

應用場景

Kerberos廣泛應用於企業內部網路（Active Directory）以及Unix、Linux系統，提供安全的資源訪問。它也可與其他認證協定如LDAP、SSL/TLS互補，形成多層次防護。

優點與限制

• 優點：集中化管理、相互驗證、可防止密碼盜取。
• 限制：需要保持時間同步，且在跨域環境中配置較為繁瑣。