2.Kerberos基本認證過程

Kerberos基本認證過程可以分為三個階段，分別由三組消息來完成。在介紹協議之前， 首先給出相關符號定義：

C( Client)：客戶端； S( Server)：服務器；

Kx:X與KDC的共享密鑰； Kx.。：X和Y的會話密鑰；

Tx,v:X使用Y時的憑據； Ax:X的認證標記；

N: -次性隨機數；

t：時間標記或序列號。

第一階段：獲得票據許可票據

本階段，用戶登錄客戶端請求服務，認證服務器( AS)在數據庫中驗證用戶的訪問權限，生成票據許可票據和會話密鑰，過程如下圖所示。

　　首先，用戶從客戶端向AS發送包含有用戶名、服務器名和一個隨機數N的消息KRB—AS—REQ。

C->AS:C，TGS，N

AS驗證C的身份和訪問權限后，隨機生成一個加密密鑰K。，.。。作為下一階段客戶方與TGS通信時使用的會話密鑰，生成一個包含客戶方、會話密鑰以及開始和失效時間等信息的TGT，用TGS的密鑰K。進行加密。AS將會話密鑰K..,igs和N用客戶端的密鑰K。，加密，并與TGT 一起構成消息KRB AS—REP，發送給客戶端。客戶端通過用戶口令變換出Kci,獲得會話密鑰K。.。。，根據N驗證該消息是新鮮的，從而確信TGT是AS最新生成的。

AS一>C：（Kn.g，N}K.，，{T。；靜）K.艫第二階段：獲得服務許可票據