一、对称密钥分配产生背景

非对称加密技术速度慢、开销大，对称加密技术开销比较小，速度快，但是存在对称密钥管理的问题，通过kerberos技术能够很好实现对称密钥的分配，而不需要终端来自己去实现密钥对的管理。

二、kerberos技术

kerberos技术主要用于认证服务，对服务器的访问执行密钥分配的管理。

kerberos技术当中就会有2个服务器，一个是AS，一个是TGS。AS叫做认证服务器，TGS叫做票据授权服务器。

三、kerberos技术实现对称密钥的分配过程

注意：

①A和AS之间密钥是KS ②AS和TGS之间密钥是KTG ③AB之间的密钥是KAB ④A的密钥KA，B的密钥是KB

请先记住注意点，再继续往下看：

（一）A将自己的身份信息，用户名或者是口令等身份信息发给AS认证服务器机构。

（二）如果A验证通过是合法的，AS认证服务器就会对A用户进行回应，回应两个内容：

一是我们之间（A和AS）的秘钥为Ks

二是要A转述KTG一句话，我们之间（A和AS）的秘钥为Ks。

（三）A向TGS发送消息，消息内包含两个意思：

一是我（A）要跟B通信。

二是把AS让我（A）转述给KTG 的话，原封不动转发给KTG ，从而得到Ks，通过Ks然后KTG能知道A想跟B通信。

（四）TGS就会告诉A两个意思：

一是AB之间通信密钥采用KAB，并将这个意思用Ks加密。

二是KTG让A帮忙转述一句话给B，即用KB加密（A，KAB），让B知道：A想跟B通信。

（五）A和B建立通信，采用KAB来进行加密。并把KB加密的KAB也给B，B就能够知道A的身份是通过了kerberos认证的，AB之间的会话密钥是KAB。

（六）B用KAB加密和A通信。

总结：

首先是AS认证了A的身份之后，会给A发和TGS的会话密钥和一个票据，这个票据其实是AS打算给TGS的，A可以拿这个票据和TGS进行通信。那么通信之后，TGS就会给A一个授权：你可以和B进行通信，然后给他们之间分配了一个会话密钥。

另外这个过程当中，我们看到他们都会对T进行加密，T代表时间戳。为什么要对时间戳来进行加密？为了防止重放攻击，什么是重放攻击？就是攻击者截获了报文信息，然后直接把这个报文发送给服务器，然后让服务器做处理，消耗它的资源。如果加密了时间戳，服务器就能够知道，这个报文是过期的报文，就不会对它进行响应。