Kerberos基本认证过程二

　客户端对收到的报文解密，然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往票据授权服务器TGS，票据授权服务器TGS对票据和鉴别符进行解密，验证请求，然后生成请求服务许可票据，过程下图所示。

　　客户端向TGS发送TGT、需要访问的服务器名、保证消息新鲜的N，以及用会话密钥签名的客户端认证信息，防止数据在传输过程中被篡改。每次客户端要访问某服务时，必须首先生成一个新的认证信息（鉴别符）。该信息由客户端生成，包含客户端名、主机地址， 以及当前客户端主机时间，上述信息采用服务许可票据中给出的会话密钥加密，其结构为Ac,=( c,a ddr,times tamp)K.,.

服务许可票据用于在AS和应用服务器之间安全地传递凭据使用者的身份，同时也是将AS对票据使用者的信任转移给应用服务器。票据包含服务器名、客户端名、客户端地址、时间标记、生命期以及一个随机的会话密钥，这些信息使用接收票据的服务器与KDC共享的密钥进行加密，其结构为：T。={s，c，acldr，timestamp，life，K。.）K。。票据一旦发放后，可以被其中指定的客户端向指定的服务器请求服务时多次使用，直到票据过期为止。

C->TGS：{A。）K..；鼢，{T。.即）K.舻

TGS用K。。验证了TGT后，获得会话密钥和客户端要访问的服务器名，从数据库中获得服务器密钥K。后，随机生成客户端与服务器之间通信用的会话密钥和服务许可票据。TGS将客户与服务器之间使用的新的会话密钥和N用K。，。。加密后与新的服务许可凭据一起构成消息KRB—TGS—REP，发送给客户端。

TGS->C:(K。。，N)K。；鄂，(T_.)K. 第三阶段：获得服务