客戶機將服務許可票據(jù)和認證信息發(fā)送給服務器，服務器驗證票據(jù)和認證信息中的相匹配，允許訪問服務。如果需要雙向鑒別，服務器返回一個認證信息，過程如下圖所示。

經(jīng)過前兩個階段后，客戶端獲得了與服務器進行通信所需要的服務許可票據(jù)和會話密鑰。客戶端向服務器發(fā)送認證信息，并提交服務許可票據(jù)。服務器通過解密獲得客戶端的時間標記或序列號，同時將這些信息用會話密鑰加密后發(fā)送回客戶端。客戶端保留最近接收到的時間標記或者序列號的最大值，以防止重放攻擊。

C一>S:{A..}K..,{T.,.)K. S一>C：(t)K。。

Kerberos認證協(xié)議的缺陷

Kerl)eros,認證系統(tǒng)雖然在網(wǎng)絡環(huán)境中有著廣泛的應用，但也存在一定的局限性。首先，

協(xié)議中的認證信息依賴于時間標記來實現(xiàn)抗重放攻擊，這要求使用該協(xié)議進行認證的計算機需要實現(xiàn)時間同步，嚴格的時間同步需要有時間服務器，因此，時間服務器的安全至關重要。其次，協(xié)議認證的基礎是通信方均無條件信任KDC，一旦其安全受到影響，將會威脅整個認證系統(tǒng)的安全，同時，隨著用戶數(shù)量的增加，這種第三方集中認證的方式容易形成系統(tǒng)性能的瓶頸。