содержит сеансовый ключ S>A, имя пользователя А и срок действия билета, зашифрованные вместе секретным ключом ЦРК - К>К. В дальнейшем при шифровании сообщений для пользователя А вместо секретного ключа К>AЦРК использует сеансовый ключ S>A.
Получение пользователем билета на доступ к серверу
Когда пользователь А желает получить доступ к серверу, в своем сообщении он отправляет в ЦРК билет TGT, запрос на билет для доступа к серверу и аутентификатор. Это сообщение имеет следующий формат: "имя А", "имя B", TGT: К>К ["имя А", S>A, срок действия], S>A [время] и называется запросом пользователя на доступ к серверу. Аутентификатор доказывает ЦРК, что пользователь А знает сеансовый ключ S>A. Аутентификатор состоит из текущего значения даты и времени, зашифрованного сеансовым ключом. Шифрование защищает от возможного перехвата сторонним пользователем С билета TGT из ответа ЦРК пользователю А. Указание текущих значений даты и времени в аутентификаторе требует синхронизации компьютерных часов пользователя А и ЦРК. ЦРК может допускать некоторый разброс времени (обычно 5 мин.). На практике для поддержки синхронизации часов используется протокол синхронизации времени типа Simple Network Time Protocol (SNTP).
ЦРК получает запрос пользователя А на доступ к серверу В и готовит ответ. При помощи ключа К>КЦРК расшифровывает билет TGT из запроса, восстанавливает сеансовый ключ S>A и проверяет срок действия билета TGT. Если билет TGT - действующий, то ЦРК генерирует ключ для пользователя А и сервера В - K>AB и формирует билет. Билет шифруется секретным ключом сервера В - K>B и содержит ключ K>AB, имя пользователя А
и срок действия. В ответе ЦРК указываются имя сервера В и ключ K>AB, зашифрованные сеансовым ключом S>A, ответ имеет следующий формат: S>A ["имя В", K>AB, TICKET: K>B ["имя А", K>AB, срок действия]]. Получив ответ от ЦРК, пользователь А расшифровывает его при помощи сеансового ключа S>A.
Аутентификация пользователя сервером
Пользователь А отправляет на сервер В запрос, состоящий из билета, который был прислан в ответе ЦРК, и аутентификатора, который содержит текущее значение даты и времени, зашифрованное ключом K>AB ( K>AB - сеансовый ключ для пользователя А и сервера В, здесь опять необходима синхронизация компьютерных часов пользователя А и сервера В ).
Сервер В получает запрос пользователя А - TICKET: K>B ["имя А", K>AB, срок действия], K>AB [время] - и готовит ответ. Сервер расшифровывает билет своим секретным ключом K>B, обнаруживая ключ K>AB, имя пользователя