會話票證

KDC 會將用戶端和伺服器 工作階段 金鑰複本傳送至用戶端，而不是將加密的會話密鑰傳送至兩個主體。 用戶端的會話金鑰複本會使用用戶端 主要金鑰 加密，因此無法由任何其他實體解密。 伺服器會話密鑰的複本內嵌，以及客戶端的相關授權數據，在稱為票證的數據結構中。 票證會使用伺服器的主要密鑰完全加密，因此用戶端或任何其他無法存取伺服器主要密鑰的實體讀取或變更。 客戶端必須負責安全地儲存票證，直到與伺服器連絡為止。

注意

KDC 僅提供票證授與服務。 用戶端和伺服器負責保護其各自的主要密鑰安全。

 

當用戶端收到 KDC 的回應時，它會擷取票證和其本身的會話密鑰複本，將兩者放在安全快取中。 若要與伺服器建立安全會話，它會傳送由票證組成的訊息，仍然使用伺服器的主要密鑰加密，以及使用會話密鑰加密的 驗證器訊息。 票證和驗證器訊息是用戶端 認證， 伺服器。

當伺服器從用戶端接收認證時，它會使用 主要密鑰解密票證、擷取 會話密鑰，並使用會話密鑰解密客戶端的驗證器訊息。 如果所有專案都取出，伺服器就會知道客戶端的認證是由受信任的授權單位 KDC 所簽發。 為了進行相互驗證，伺服器會使用會話密鑰加密來自客戶端驗證器訊息的時間戳來回應。 此加密訊息會傳送至用戶端。 用戶端接著會解密訊息。 如果傳回的訊息與原始驗證器訊息中的時間戳相同，則會驗證伺服器。

作為額外的優點，伺服器不需要儲存它搭配其用戶端使用的會話密鑰。 每個用戶端都有責任在其票證快取中管理伺服器的票證，並在每次存取伺服器時出示該票證。 每當伺服器從用戶端收到票證時，就會使用其主要密鑰來解密票證並擷取會話密鑰。 當伺服器不再需要會話金鑰時，會刪除金鑰。

用戶端不需要在每次想要存取此特定伺服器時存取 KDC。 您可以重複使用票證。 為了防範票證竊取的可能性，票證在票證結構中由 KDC 指定到期時間。 票證的有效時間取決於領域的 Kerberos 原則。 通常，票證的長度不超過八小時，大約是一般 登入會話的長度，。 用戶端工作站上的用戶註銷時，會排清用戶端票證快取，並終結所有票證和用戶端會話密鑰。