在 Kerberos 认证过程中,**会话密钥(Session Key)**扮演着关键角色。会话密钥是由 KDC 临时生成并分发给通信双方用于当前会话的对称加密密钥。与用户密码这类长期密钥不同,会话密钥的生命周期很短,仅在特定的认证会话或服务访问期间有效。这种设计大幅提升了安全性:长期密钥(如用户的主密码密钥)只用于加密最初的认证信息,不直接在网络上传输用来保护大量数据;而每次会话使用独立的短期密钥,即使某个会话密钥泄露,也只影响单一会话,不会危及用户长期凭据或其他会话。
会话密钥的协商实际上是由 KDC 完成的分发过程。每当客户端成功通过 AS 验证,KDC 的 AS 会为该用户生成一个随机的会话密钥,用作
