會話票證

KDC不會將加密的工作階段金鑰傳送至這兩個主體，而是將用戶端和伺服器工作階段金鑰的複本傳送至用戶端。 用戶端的工作階段金鑰複本會使用用戶端 的主要金鑰 進行加密，因此無法由任何其他實體解密。 伺服器工作階段金鑰的複本會內嵌在稱為票證的資料結構中，以及有關用戶端的授權資料。 票證會以伺服器的主要金鑰完全加密，因此用戶端或任何其他無法存取伺服器主要金鑰的實體讀取或變更。 用戶端必須負責安全地儲存票證，直到與伺服器連絡為止。

注意

KDC 僅提供票證授與服務。 用戶端和伺服器負責保護其各自的主要金鑰安全。

 

當用戶端收到 KDC 的回應時，它會擷取票證及其本身的工作階段金鑰複本，同時將兩者放在安全快取中。 若要建立與伺服器的安全會話，它會傳送包含票證的訊息，仍然使用伺服器的主要金鑰加密，以及使用工作階段金鑰加密的 驗證器訊息 。 一起，票證和驗證器訊息是伺服器的用戶端認證。

當伺服器從用戶端接收認證時，它會使用其 主要金鑰解密票證、擷取工作階段金鑰，並使用 工作階段金鑰來解密用戶端的驗證器訊息。 如果一切都已取出，伺服器就會知道用戶端的認證是由 KDC 所簽發，這是受信任的授權單位。 為了相互驗證，伺服器會使用工作階段金鑰加密來自用戶端驗證器訊息的時間戳記來回應。 此加密訊息會傳送至用戶端。 用戶端接著會解密訊息。 如果傳回的訊息與原始驗證器訊息中的時間戳記相同，則會驗證服務器。

作為額外的優點，伺服器不需要儲存它與其用戶端搭配使用的工作階段金鑰。 每個用戶端必須負責管理其票證快取中的伺服器票證，並在每次存取伺服器時顯示該票證。 每當伺服器收到來自用戶端的票證時，它會使用其主要金鑰來解密票證並擷取工作階段金鑰。 當伺服器不再需要工作階段金鑰時，會刪除金鑰。

每次想要存取此特定伺服器時，用戶端不需要存取 KDC。 票證可以重複使用。 為了防範票證竊取的可能性，票證有一個到期時間，由票證結構中的 KDC 所指定。 票證的有效時間取決於領域之 Kerberos 原則的時間長度。 一般而言，票證的長度不超過八小時，大約是一般 登入會話的長度。 當用戶端工作站上的使用者登出時，會清除用戶端票證快取，並終結所有票證和用戶端工作階段金鑰。