PKI/CA 和 Kerberos 第三方认证服务

目前最常用的第三方认证服务包括：PKI/CA 和 Kerberos。PKI/CA 是基于非对称密钥体系的，Kerberos 是基于对称密钥体系的。

PKI（Public Key Infrastructure）指的是公钥基础设施。CA（Certificate Authority）指的是认证中心。PKI 从技术上解决了网络通信安全的种种障碍。 CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此，人们统称为“PKI/CA”。从总体构架来看，PKI/CA 主要由最终用户、认证中心和注册机构来组成。

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为：1）服务器“ticket”；2）一个临时加密密钥（又称为会话密钥“session key”）。客户机将 ticket（包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝）传送到服务器上。会话密钥可以（现已经由客户机和服务器共享）用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。

KDC（密码学中的密钥分发中心）是密钥体系的一部分，旨在减少密钥体制所固有的交换密钥时所面临的风险。

KDC 在 kerberos 中通常提供两种服务：Authentication Service（AS）认证服务和 Ticket-Granting Service（TGS）：授予票据服务。

在 PKI 系统体系中，证书机构 CA 负责生成和签署数字证书，注册机构 RA 负责验证申请数字证书用户的身份。