客戶機將服務許可票據和認證信息發送給服務器，服務器驗證票據和認證信息中的相匹配，允許訪問服務。如果需要雙向鑒別，服務器返回一個認證信息，過程如下圖所示。

經過前兩個階段后，客戶端獲得了與服務器進行通信所需要的服務許可票據和會話密鑰。客戶端向服務器發送認證信息，并提交服務許可票據。服務器通過解密獲得客戶端的時間標記或序列號，同時將這些信息用會話密鑰加密后發送回客戶端。客戶端保留最近接收到的時間標記或者序列號的最大值，以防止重放攻擊。

C一>S:{A..}K..,{T.,.)K. S一>C：(t)K。。

Kerberos認證協議的缺陷

Kerl)eros,認證系統雖然在網絡環境中有著廣泛的應用，但也存在一定的局限性。首先，

協議中的認證信息依賴于時間標記來實現抗重放攻擊，這要求使用該協議進行認證的計算機需要實現時間同步，嚴格的時間同步需要有時間服務器，因此，時間服務器的安全至關重要。其次，協議認證的基礎是通信方均無條件信任KDC，一旦其安全受到影響，將會威脅整個認證系統的安全，同時，隨著用戶數量的增加，這種第三方集中認證的方式容易形成系統性能的瓶頸。