密码学------Kerberos流程图

先介绍几个用到的的机构

AS:认证服务器
KDC：**分发中心
TGT:票据授权中心
STS：服务许可票据
SS：特定服务提供端

1、客户端请求AS服务器，把自己的名字，TGS授权机构名字发给AS。

2、AS收到过后，先随机生成一个**K1。
3、AS再用客户机的名字提取的hash码为K1加密。
4、AS再生成授权票据TGT，里面包含（K1、客户端名字，有效期）。
5、AS用自己的固有**1给TGT加密。
6、AS将加密好的TGT和用hash加密的K1发给客户端。

7、客户端收到过后，用自己的客户名提取的hash解密K1，（验证了AS授权）得到K1后再用K1给自己的名字加密。
8、将解不开的TGT，用K1加密后的自己的名字，要访问的web名字，发给TGS。

9、TGS收到客户机发过来的的东西过后，用自己的固有密码1解开TGT,得到（K1、客户端名字，有效期）（用客户机名字验证是否匹配）。
10、TGS再生成一个随机**K2。
11、TGS再生成许可票据SGT,里面包含（K2、客户端名字，有效期）。
12、TGS用自己的固有**2给SGT加密，并用得到的K1为K2加密。
13、TGS把用K1加密的K2，固2加密的SGT发给客户端。

14、客户端用K1解密K2,得到K2后再用K2加密自己的名字。
15、将用K2加密后的名字，SGT,发给web。

16、web收到后用自己的固2解开SGT,得到（K2、客户端名字，有效期）。
17、web再用K2验证客户端名字，并与SGT中的名字比较验证。
18、web验证无误后，再用K2加密时间戳发给客户机。

19、客户机用K2解密时间戳，解开了就验证了那个web服务器是对头的。

然后就可以开始数据交换了。