單點(diǎn)登錄系統(tǒng)把原來分散的用戶認(rèn)證信息集中起來管理，減輕了安全管理員的維護(hù)工作，降低了出現(xiàn)錯(cuò)誤的可能。用戶不再需要每訪問一次資源進(jìn)行一次身份認(rèn)證，提高了使用效率，而且單點(diǎn)登錄多采用更為可靠的認(rèn)證方式，增強(qiáng)了系統(tǒng)的整體安全性。

Kerberos最初是1985年美國(guó)麻省理工學(xué)院在Athena項(xiàng)目中開發(fā)的認(rèn)證協(xié)議，用于通信實(shí)

Kerberos最初是1985年美國(guó)麻省理工學(xué)院在Athena項(xiàng)目中開發(fā)的認(rèn)證協(xié)議，用于通信實(shí)體間的身份認(rèn)證。Kerberos在分布式身份認(rèn)證領(lǐng)域廣泛使用，目前已有五個(gè)版本，其中，Vl到V3 是在實(shí)驗(yàn)室環(huán)境下開發(fā)的，V4是1988年開發(fā)的第一個(gè)公開版本，并在一些Unix系統(tǒng)中使用， V5進(jìn)一步對(duì)V4中的安全缺陷做了改進(jìn)，并在1994年作為Internet標(biāo)準(zhǔn)草案公布。Kerberos利用集中式認(rèn)證取代分散認(rèn)證，減輕服務(wù)器負(fù)擔(dān)。它使用對(duì)稱密碼算法實(shí)現(xiàn)通過可信第三方的認(rèn)證服務(wù)。

Kerberos的運(yùn)行環(huán)境由密鑰分配中心（Key Distribution Center，KDC）、應(yīng)用服務(wù)器和客戶端三個(gè)部分組成。KDC是整個(gè)系統(tǒng)的核心部分，它負(fù)責(zé)維護(hù)所有用戶的帳戶信息。KDC提供認(rèn)證服務(wù)( Authentication Server，AS)和會(huì)話授權(quán)服務(wù)(Ticket GrantingService，TGS)。 AS對(duì)用戶的身份進(jìn)行初始認(rèn)證，若認(rèn)證通過便給用戶發(fā)放票據(jù)授權(quán)票據(jù)(Ticket Granting Ticket，TGT)，使用該票據(jù)用戶可訪問TGS，從而獲得訪問應(yīng)用服務(wù)器時(shí)所需的服務(wù)票據(jù)( Service Ticket，ST)。應(yīng)用服務(wù)器接受用戶的服務(wù)訪問請(qǐng)求，驗(yàn)證用戶身份，并向合法用戶提供所請(qǐng)求的服務(wù)。客戶端在用戶登錄時(shí)發(fā)送各種請(qǐng)求信息，并接收從KDC返回的信息。