应用层安全协议Kerberos_kerberos由认证服务器(as)和票证授子服务器(tgs)两部分组成,

应用层安全协议Kerberos

应用层安全协议Kerberos：Kerberos并非为，每一个服务器构造一个身份认证协议，而是提供一个中心认证服务器，提供用户到服务器以及服务器到用户的认证服务。Kerberos的核心是使用DES加密技术，实现最基本的认证服务。
它由认证服务器（AS)和票证授予服务器（TGS)两部分组成，当用户A通过Kerberos向服务器V请求服务时，认证过程如下图所示：

Kerbero认证过程可以分为3个阶段，6个步骤

第一阶段:认证服务交换,客户端获取授权服务器访问许可票据。
①用户A输入自己的用户名,以明文的方式发给认证服务器。
②认证服务器返回一个会话密钥KS和一个票据KTGS( A, KS) ,这个会话密钥是一次性的(也可以使用智能卡生成) ,而这两个数据报则是使用用户A的密钥加密的,返回时将要求其输入密码, 并解密数据。

第二阶段:票据许可服务交换,客户端获得应用服务访问许可票据。
③用户A将获得的票据、要访问的应用服务器名B ,以及用会话密钥加密的时间标记(用来防止重发攻击)发送给:授权服务器(TGS)。
④授权服务器( TGS )收到后,返回A和B通信的会话密钥,包括用A的密钥加密的,和B的密钥加密的会话密钥KAB。

第三阶段:客户端与应用服务器认证交换,客户端最终获得应用服务。
⑤用户A将从TGS收到的用B的密钥加密的会话密钥发给服务器B ,并且附，上用双方的会话密钥KAB加密的时间标记以防止重发攻击。
⑥服务器B进行应答,完成认证过程。

从上面的描述中我们可以看出, Kerberos采用了连续加密的机制来防止会话被劫持。