发信人: foolkey (大林), 信区: Windows
标  题: Windows 2000预览 28
发信站: 饮水思源站 (Wed Mar 31 13:25:45 1999) , 站内信件

 然后,当客户请求网络服务时,例如从服务器获取文件,

Kerberos用密钥与KDC连接,如果用户经过了KDC的认证,就会从KDC

获得一张门票,用于与特定的服务和资源建立连接。密钥在本地机

器上被缓存,如果用户以后再想访问同样服务,在该密钥的时间限

制内可以从缓存取得密钥。密钥常常是8小时内有效,Kerberos的主

要优势是客户对服务一定时间内的重复请求不必再次与KDC通信(见

下图)。 

  简而言之,KDC以及它所在的域控制器节省了一个事务,减少了

负载,具备了更高的可伸缩性。在实验室里,我们验证了在客户重

复一个请求时,客户不需要再向KDC重新申请密钥。 

  当然,Kerberos已经提出并在Unix世界应用好多年了。正是由

于意识到了这一点,Microsoft充分利用了它基于标准的特性,允许

非Windows Kerberos的用户通过动态目录进行认证,这使得Windows 

2000更容易在Unix的领地里获得立足点。另外,在Kerberos中加入

了扩展允许使用X.509数字证书的公钥,这种扩展将为支持智能卡认

证做出铺垫工作。

--
※ 修改:.cf 于 Aug 11 11:59:00 修改本文.[FROM: bbs.hit.edu.cn]
※ 转寄:.紫 丁 香 bbs.hit.edu.cn.[FROM: chen.hit.edu.cn]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.380毫秒