當前位置:首頁 > 通用術語 > 什麼是Kerberos v5 安全性通訊協定?定義、運作方式

什麼是Kerberos v5 安全性通訊協定?定義、運作方式

2025-09-03通用術語40296

網路百科全書中 Kerberos v5 安全通訊協定的定義。

什麼是 Kerberos v5 安全協定?

Kerberos 通訊協定是一種安全驗證使用者存取網路上服務的要求的方法。它由麻省理工學院 (MIT) 開發,基於數據加密標準 (DES)。

Kerberos 是 Microsoft Windows 2000 網域的主要安全性通訊協定,網域控制站會用來驗證使用者的身分識別,以及會話期間的資料完整性。Kerberos 也已在包括 OpenBSD 在內的多個 UNIX 平台上實現。

怎麼運作的

Kerberos 會使用票證型方法來授與使用者對網路服務的存取權。當已啟用 Kerberos 的用戶端想要從已啟用 Kerberos 的伺服器要求網路服務 (例如網路登入) 時,用戶端必須先連絡驗證伺服器 (AS) 以接收票證和加密金鑰。

加密金鑰稱為會話金鑰,用於解除鎖定用戶端與伺服器之間的通訊,從而驗證該通訊。初始票證通常稱為票證授予票證 (TGT),包含會話金鑰的副本和身分,這是隨機產生的號碼。AS 會將 TGT 和身分傳遞回用戶端,用戶端會將票證儲存在其票證快取中。當用戶端想要存取特定服務時,它會將票證傳送至票證授與伺服器 (TGS)。(TGS 和 AS 通常是同一台機器。

TGS 會為用戶端提供票證,以安全地識別用戶端至其所要求的服務。最後,用戶端會將票證呈現給它嘗試存取的網路服務,並視需要多次授與資源的存取權,直到票證到期為止。當用戶端傳送票證時,票證一律會隨附使用工作階段金鑰加密的鑑別器訊息。此驗證器包含時間戳記,用於確保票證合法。

Kerberos 通訊協定會定義用戶端必須採取的步驟,才能存取網路服務或資源。

在 Kerberos 的 Windows 2000 實作中,每個網域控制站都有執行 Kerberos v5 服務,而且 Kerberos 用戶端內建於執行 Windows 2000 的每部伺服器和工作站中。Kerberos 服務會在 Active Directory 中維護加密的使用者密碼和身分識別。當使用者登入網域控制站時,初始 Kerberos 驗證可讓使用者存取企業中任何位置的可用資源,因為網域樹狀結構或網域樹系內的所有網域都會接受一個網域的 Kerberos 服務所發出的驗證認證。

當使用者登入 Windows 2000 工作站時,Kerberos 服務會發出登入網域的初始票證。然後,任何執行 Windows 2000 的伺服器都可以驗證用戶端的票證,而不需要連絡網域 Kerberos 服務。它可以這樣做,因為執行 Windows 2000 的伺服器會共用 Kerberos 服務用來加密票證的加密金鑰。此加密金鑰稱為伺服器金鑰。

如果一個網域中的 Windows 2000 用戶端要求存取屬於相同網域樹狀結構或樹系的遠端網域中資源,本機網域中的 Kerberos 服務會發出轉介票證,用戶端會呈現給遠端網域中的 Kerberos 服務。然後,遠端網域中的 Kerberos 服務會發出對自己的網域有效的起始票證,並識別網域。使用此通行證,用戶端接著可以存取遠端網域中的資源。

Windows 2000 中 Kerberos 的實作是符合要求註解 (RFC) 1510 的業界標準版本。

Kerberos 驗證的一些優點包括:

  • 網域之間的雙向可轉移信任

  • 驗證工作階段期間用戶端和伺服器的相互驗證

  • 多層用戶端/伺服器互動的委派驗證

“什麼是Kerberos v5 安全性通訊協定?定義、運作方式” 的相關文章

什麼是存取控制?概念、怎麼運作、通用術語

什麼是存取控制?概念、怎麼運作、通用術語

存取控制是一個通用術語,描述管理員如何保護對 Active Directory 中物件的存取。存取控制一詞也用於 Windows Server 和 Windows XP 平臺,以描述如何使用 NTFS 檔案系統來保護檔案和資料夾,以及如何控制共用資料夾、印表機和其他網路資源的存取。存取控制原則怎麼運...

什麼是NTFS 特殊權限 (Windows NT)?概念、怎麼運作

什麼是NTFS 特殊權限 (Windows NT)?概念、怎麼運作

網路百科全書中 NTFS 特殊權限 (Windows NT) 的定義。什麼是 NTFS 特殊權限 (Windows NT)?NTFS 特殊許可權是在 NTFS 檔案系統標準許可權對於特定安全性目的而言不夠精細時,授與或拒絕的個別許可權。無論您是保護檔案還是資料夾,可用的特殊權限都是相同的,...

什麼是通用分組無線電服務 (GPRS)?概念、怎麼運作的

什麼是通用分組無線電服務 (GPRS)?概念、怎麼運作的

網絡百科全書中通用分組無線服務 (GPRS) 的定義。什麼是GPRS(通用分組無線服務)?GPRS是時分多址(TDMA)蜂窩電話系統的升級版。通用分組無線電服務(GPRS)使用分組交換代替TDMA系統現有的電路交換技術,以更有效地利用可用帶寬。探地雷達GPRS為用戶提供多達八個獨立的14.4-Kbp...

什麼是硬體抽象層 (HAL)?概念、運作方式

什麼是硬體抽象層 (HAL)?概念、運作方式

HAL 或硬體抽象層是 Microsoft Windows Server 基礎上的薄層軟體,可在底層硬體和作業系統的較高層之間提供統一的介面。什麼是HAL(硬體抽象層)?作業系統底部的薄薄軟體層,在底層硬體和作業系統的較高層之間提供統一的介面,隱藏與這些較高層的硬體差異。換句話說,硬體抽象層 (HA...

什麼是啟動檔案?概念、運作方式

什麼是啟動檔案?概念、運作方式

啟動檔案是在電腦上啟動(啟動)作業系統所需的檔案。什麼是啟動檔案?啟動檔案是在電腦上啟動作業系統所需的檔案。每個作業系統都有自己的一組開機檔案,需要在開機順序期間尋找、載入和初始化作業系統。啟動檔案首次安裝 Windows 操作系統時,某些文件會放置在硬盤驅動器上,這些文件需要存在才能加載操作系統,...

什麼是WINS Proxy 代理程式?概念、運作方式

什麼是WINS Proxy 代理程式?概念、運作方式

網路百科中WINS Proxy 代理程式的定義。什麼是WINS Proxy 代理程式?WINS Proxy 代理程式是網路上的電腦,可讓非 WINS 用戶端使用 Windows 網際網路名稱服務 (WINS) 執行 NetBIOS 名稱解析。換句話說,WINS Proxy 代理程式是非 WINS 用...