Одним из удачных примеров создания комплексного решения для контроля доступа в открытых системах, основанного как на программных, так и на аппаратных средствах защиты, стала система Kerberos. В основе этой схемы авторизации лежат три компонента:
. База данных, содержащая информацию по всем сетевым ресурсам, пользователям, паролям, шифровальным ключам и т. д.
. Авторизационный сервер (authentication server), обрабатывающий все запросы пользователей на предмет получения того или иного вида сетевых услуг. Авторизационный сервер, получая запрос от пользователя, обращается к базе данных и определяет, имеет ли пользователь право на совершение данной операции. Примечательно, что пароли пользователей по сети не передаются, что также повышает степень защиты информации.
. Ticket - granting server (сервер выдачи разрешений) получает от авторизационного сервера "пропуск", содержащий имя пользователя и его сетевой адрес, время запроса и ряд других параметров, а также уникальный ключ. Пакет, содержащий "пропуск", передаётся также в зашифрованном по алгоритму DAS виде. После получения и расшифровки
"пропуска" сервер выдачи разрешений проверяет запрос и сравнивает ключи и затем даёт "добро" на использование сетевой аппаратуры и программ.
Среди других подобных комплексных систем можно отметить разработанную
Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame
(Secure European System for Applications in Multivendor Environment), предназначенную для использования в крупных гетерогенных сетях.