Kerberos 原理的經典對話故事

2021-10-09 07:20:06 字數 1916 閱讀 2928

前言

kerberos是乙個重要的認證協議,它為互不相識的通訊雙方做安全的認證工作。kerberos的原義是希臘神話中守衛冥王大門的長有三個頭的看門狗。

這是mit(massachusetts institute of technology)為了幫助人們理解kerberos的原理而寫的一篇對話集。裡面有兩個虛構的人物:athena和euripides,通過athena不斷的構思和euripides不斷的尋找其中的漏洞,使大家明白了kerberos協議的原理。

athena: 雅典娜,智慧型與技藝的女神。

euripides:歐里庇得斯,希臘的悲劇詩人。

譯文如下:

在乙個小工作間裡。athena和euripides正在相鄰的終端上工作。

athena: 嗨,這個分時作業系統實在太慢了。我根本無法工作,因為每個人都登上去了。

euripides: 不要對我報怨。我只是在這工作。

athena: 你知道我們需要什麼嗎?我們需要給每一人一台電腦工作,這樣大家就不會擔心計算機的速度了。並且,我們需要乙個網路把所有的計算機都聯起來。

euripides: 好。那麼我們差不多要一千臺工作站?

athena: 差不多吧。

euripides: 你知道一台普通的工作站的硬碟有多大嗎?那裡放不下所有的軟體。

athena: 我已經有主意了。我們可以把系統軟體放到伺服器上。當你登入到工作站的時候,工作站會通過網路與其中一台伺服器上的系統軟體聯絡。這樣的設定讓一組工作站都使用同乙份系統軟體,並且利於系統軟體的公升級。只需改動伺服器就可以了。

euripides: 好的。個人的檔案怎到辦呢?在分時作業系統上,我可以登入並從終端上取走我的檔案。我能到工作站上取我的檔案嗎?我要像pc使用者一樣把我的檔案放到磁碟上去嗎?我希望不。

athena: 我想我們可以在其它機器上存檔案,你可以到任何一台機器上登入去取你的檔案。

euripides: 列印怎麼辦呢?每個工作站都要有自已的印表機嗎?誰來付錢?電子郵件呢?你怎麼把郵件送到所有的工作站上去呢?

euripides: 你的工作站系統聽起來很不錯。如果我有一台,你知道我要做什麼嗎?我要找出你的使用者名稱,讓我的工作站認為我就是你。然後我就去郵件伺服器取走你的郵件。我會鏈結上你的檔案伺服器,移走你的檔案,然後…

athena: 你能做得到嗎?

euripides: 當然!這些網路伺服器怎麼會知道我不是你?

athena: 嗯,我不知道.我想我需要認真思考一下。

euripides: 好吧。你想出來後告訴我。

euripides的辦公室,第二天早上。euripides坐在他的桌子旁邊,讀著他的郵件。athena來敲門。第二天早上在euripides的辦公室。athena來敲門。

euripides: 你今早有黑眼圈了。  athena: 好了,你知道的。又是乙個漫漫長夜。

euripides: 你解決了重演的問題了嗎?

athena: 我想是的。

euripides: 請坐。 她坐下了。

athena: 照舊,我重申一下問題。票是可重用的,在乙個限定的時間內(八小時)。如果誰偷了你的票並在它失效之前使用,我們毫無辦法。

euripides: 確實如此。

athena: 我們可以把這個問題理解為設計一種別人無法重用的票。

euripides: 但這樣的話你每次用新服務時都要取一張新票。  

athena: 對。但那是很笨的解決辦法。(稍頓。)啊,我怎樣繼續我的討論呢?(她沉思了一會兒)。 好的,我要重述乙個問題,看有什麼必須條件。網路服務必須能夠證明使用票的人就是票上所申明的人。 我來順著認證的過程再走一遍,這樣我就可以演示我的解決方案。

kerberos工作原理

最近調研了kerberos。看了網上學多關於kerberos的文章,我認為這篇文章比較好。這篇文章對麻省理工的 進行翻譯。該 以四幕話劇的形式緩緩道來,有點像 研究之美 通過兩個人的頭腦風暴講解kerberos的原理。一 使用kerberos進行驗證的原因 1.可靠 hadoop 本身並沒有認證功能...

kerberos工作原理

最近調研了kerberos。看了網上學多關於kerberos的文章,我認為這篇文章比較好。這篇文章對麻省理工的 進行翻譯。該 以四幕話劇的形式緩緩道來,有點像 研究之美 通過兩個人的頭腦風暴講解kerberos的原理。一 使用kerberos進行驗證的原因 1.可靠 hadoop 本身並沒有認證功能...

Kerberos原理解析

kerberos這一名詞 於希臘神話 三個頭的狗 地獄之門守護者 系統設計上採用客戶端 伺服器結構與des加密技術,並且能夠進行相互認證,即客戶端和伺服器端均可對對方進行身份認證。可以用於防止竊聽 防止replay攻擊 保護資料完整性等場合,是一種應用對稱金鑰體制進行金鑰管理的系統。支援sso si...