Kerberos基本认证过程三

　客户机将服务许可票据和认证信息发送给服务器，服务器验证票据和认证信息中的相匹配，允许访问服务。如果需要双向鉴别，服务器返回一个认证信息，过程如下图所示。

经过前两个阶段后，客户端获得了与服务器进行通信所需要的服务许可票据和会话密钥。客户端向服务器发送认证信息，并提交服务许可票据。服务器通过解密获得客户端的时间标记或序列号，同时将这些信息用会话密钥加密后发送回客户端。客户端保留最近接收到的时间标记或者序列号的最大值，以防止重放攻击。

C一>S:{A..}K..,{T.,.)K. S一>C：(t)K。。

Kerberos认证协议的缺陷

Kerl)eros,认证系统虽然在网络环境中有着广泛的应用，但也存在一定的局限性。首先，

协议中的认证信息依赖于时间标记来实现抗重放攻击，这要求使用该协议进行认证的计算机需要实现时间同步，严格的时间同步需要有时间服务器，因此，时间服务器的安全至关重要。其次，协议认证的基础是通信方均无条件信任KDC，一旦其安全受到影响，将会威胁整个认证系统的安全，同时，随着用户数量的增加，这种第三方集中认证的方式容易形成系统性能的瓶颈。