1.7. Glossary of Terms (术语表)

以下是本文档中使用的术语列表。

Authentication (认证) 验证主体的声称身份。

Authentication header (认证头) 包含票据和认证器的记录, 作为认证过程的一部分呈现给服务器。

Authentication path (认证路径) 在从一个域通信到另一个域时认证过程中传递的中间域序列。

Authenticator (认证器) 包含可以显示为最近使用仅客户端和服务器知道的会话密钥生成的信息的记录。

Authorization (授权) 确定客户端是否可以使用服务、客户端被允许访问哪些对象以及每个对象允许的访问类型的过程。

Capability (能力) 授予持有者访问对象或服务的权限的令牌。在 Kerberos 中, 这可能是一个票据, 其使用受授权数据字段内容的限制, 但不列出任何网络地址, 以及使用票据所需的会话密钥。

Ciphertext (密文) 加密函数的输出。加密将明文转换为密文。

Client (客户端) 代表用户使用网络服务的进程。请注意, 在某些情况下, 服务器本身可能是某个其他服务器的客户端 (例如, 打印服务器可能是文件服务器的客户端)。

Credentials (凭证) 票据加上在认证交换中成功使用该票据所需的密钥会话密钥。

Encryption Type (etype) (加密类型) 当与加密数据关联时, 加密类型标识用于加密数据的算法, 并用于选择解密数据的适当算法。加密类型标签在其他消息中传递, 以枚举希望、支持、首选或允许用于双方之间数据加密的算法。此偏好与本地信息和策略相结合以选择要使用的算法。

KDC 密钥分发中心 (Key Distribution Center)。提供票据和临时会话密钥的网络服务; 或该服务的实例或运行它的主机。KDC 服务初始票据和票据授予票据请求。初始票据部分有时被称为认证服务器 (或服务) (Authentication Server)。票据授予票据部分有时被称为票据授予服务器 (或服务) (Ticket-Granting Server)。

Kerberos 赋予 Project Athena 认证服务、该服务使用的协议或用于实现认证服务的代码的名称。该名称源自守护冥界的三头犬。

Key Version Number (kvno) (密钥版本号) 与加密数据关联的标签, 用于标识当与主体关联的长期密钥随时间变化时哪个密钥用于加密。它在过渡到新密钥期间使用, 以便解密消息的一方可以判断数据是使用旧密钥还是新密钥加密的。

Plaintext (明文) 加密函数的输入或解密函数的输出。解密将密文转换为明文。

Principal (主体) 参与网络通信的命名客户端或服务器实体, 具有一个被视为规范的名称。

Principal identifier (主体标识符) 用于唯一标识每个不同主体的规范名称。

Seal (密封) 以这样一种方式加密包含多个字段的记录, 即在不知道加密密钥或留下篡改证据的情况下不能单独替换字段。

Secret key (密钥) 主体和 KDC 共享的加密密钥, 在系统边界之外分发, 具有较长的生命周期。在人类用户主体的情况下, 密钥可以 (MAY) 从密码派生。

Server (服务器) 向网络客户端提供资源的特定主体。服务器有时被称为应用程序服务器 (Application Server)。

Service (服务) 提供给网络客户端的资源; 通常由多个服务器提供 (例如, 远程文件服务)。

Session key (会话密钥) 在两个主体之间使用的临时加密密钥, 生命周期限于单次登录 "会话" 的持续时间。在 Kerberos 系统中, 会话密钥由 KDC 生成。会话密钥与下面描述的子会话密钥不同。

Sub-session key (子会话密钥) 在两个主体之间使用的临时加密密钥, 由主体使用会话密钥选择和交换, 生命周期限于单次关联的持续时间。子会话密钥也称为子密钥 (subkey)。

Ticket (票据) 帮助客户端向服务器认证自己的记录; 它包含客户端的身份、会话密钥、时间戳和其他信息, 全部使用服务器的密钥密封。它仅在与新的认证器一起呈现时才用于认证客户端。