| Kerberos 基础设施 HOWTO | ||
|---|---|---|
| 上一页 | ||
抽象语法标记(ASN.1)。ASN.1 是一种用于描述消息的标记法。它将消息描述为一系列组件。被描述的组件也可以是序列。ASN.1 用于描述 Kerberos 数据报的内部结构。除非您是软件开发人员,否则您无需理解 ASN.1。
包含信息的记录,这些信息可以证明是最近使用客户端和服务器都知道的会话密钥生成的。(定义取自 RFC1510)
用于服务器的票据和用于验证主体身份的会话密钥。
如果两个域的 KDC 之间共享密钥,则 Kerberos 允许一个域中的 KDC 验证另一个域中的主体身份。这种域间身份验证称为跨域身份验证。
一种用于加密的算法,曾是美国政府的官方算法。它由 IBM 在 NSA 的协助下开发。该算法是一种十六轮分组密码,使用 64 位块和 56 位密钥。
由 KDC 授予的票据,允许用户请求具有不同 IP 地址的其他票据。实际上,它是一种 TGT,允许经过身份验证的主体请求在其他附加机器上有效的票据。
一组 C 语言绑定,为其调用者提供安全服务。该 API 可以在各种加密系统之上实现。Kerberos 就是这样一个系统的例子。
在 Kerberos 协议中执行可信仲裁者角色的机器和软件。
一种身份验证协议,其中依赖可信第三方(仲裁者)在 TCP/IP 网络上执行客户端的身份验证。该协议的设计方式是在网络上传输加密的票据,而不是传统的明文密码,从而提供安全的网络身份验证。
(动词)修改系统、服务或软件以使用 Kerberos 协议执行身份验证的行为。(形容词 kerberized)支持通过 Kerberos 进行身份验证的系统、服务或软件。
一种用于同步互联网上主机和路由器时钟的协议。
在 Kerberos 5 中,一种最初无效,但在未来的某个时间变为有效的票据。正常的 Kerberos 票据仅在从请求时间到过期时间之间有效。
在 KDC 向主体授予 TGT 之前发生的附加身份验证。这种身份验证的一个例子可能是满足生物识别系统。
在 KDC 数据库中存储了密钥的用户或服务器。
在 Kerberos 5 中,一种允许您请求用于备用 IP 地址的 TGT 的票据。
Kerberos 部署的范围。具体而言,KDC 被信任以验证主体身份的组织域。
在 Kerberos 5 中,一种除了标准票据生命周期外,还允许主体拥有最大可更新生命周期的票据。只要票据有效,可更新票据就可以用于从 KDC 获取其他票据。请求续订的票据可以达到原始可更新票据的最大可更新生命周期。
在明文密码加密中使用的种子值,用于扩展给定明文可能产生的密文数量。盐值的使用是一种防御措施,用于保护加密密码免受字典攻击。
秘密密钥的磁盘存储。
一种数据消息,包含客户端的身份、会话密钥、时间戳和其他信息,所有这些信息都使用服务器的密钥加密。它用于执行身份验证。
一种服务,它有能力且被授权在客户端获取票据授予票据 (TGT) 后向其颁发票据。
一种包含会话密钥的票据,该会话密钥用于客户端和 KDC 之间的通信。
在 Kerberos 5 中,在域之间链接信任以有效地构建信任路径的能力,以便如果域 X 和域 Z 都与域 Y 共享密钥,则域 X 中希望验证域 Z 中主体身份的主体不需要域 X 的 KDC 与域 Z 共享密钥。域 Y 可以用作信任路径中的“跳”。
DES 的一种变体,其中数据使用两个不同的密钥通过标准 DES 加密三次。