① 请求KDC认证中心,使用客户端密钥加密客户端信息
② KDC返回两个数据包给client
包1 - 使用client密钥加密会话密钥
包2 - 使用server密钥加密client相关信息以及会话密钥
③ client请求服务端,附带两个数据包
包3 - 客户端对KDC返回的第一个数据包解密,得到会话密钥,用会话密钥加密自身信息和时间戳
包2
除此之外存在一个标识,表示是否需要进行双向验证(Mutual Authentication)
④ server用server密钥解密包2中的数据,得到会话密钥和初始请求KDC的客户端信息, 再用会话密钥解密包3中的数据,得到client的信息和时间戳,验证成功,让client能够访问到需要访问的资源。如果需要进行双向验证,则会将时间戳通过会话密钥进行加密,返回给client,用于验证server的身份