Kerberos協議有認證中心服務,並用對稱密碼體制DES,在客戶機與服務器間起安全橋樑作用。對用戶向服務器的每個服務請求及權限,用戶一定要先由認證中心服務器的認證，合格後才可由指定服務器執行,這樣在非常大的程度上消除了很多潛在的安全隱患。

Kerberos協議是在可信賴第三方的基礎上的認證協議,分為域內與域間兩種認證模式。域同認證模式的基本原理與域內認證類似。若客戶端要訪問不在同一域內的服務器,就得從另一個域的TGS得到該服務器的票據。在兩個Kerberos域間建立信任關係,域之間由這兩個域間的密鑰來加密傳送的數據。以後的過程則與域內認證過程相同。

域內認證模型認證過程如圖所示。

圖中所用到的符號說明如下：

Client:客戶端(C)。

KDC：密鑰分配中心,由AS和TGS組成。

AS:認證服務器。

TGS:票據授權服務器。

Server:應用服務器(S)。

K:客戶端C的密鑰。

Ktgs:TGS的密鑰。

Ks:應用服務器S的密鑰。

Kc,tgs:客戶端C和TGS共享的會話密鑰。

TGT:票據授權票,用於訪問TGS的票據。

AS服務器中,保存有K、K在g和K密鑰,AS服務器分別與客戶、TGS服務器和應用服務器共享這些密鑰。

登錄時AS驗證用戶身份,TGS是發放身份證明票據。

Kerberos中用票據和認證單2種憑證。把票據發送給服務器時,它是為了安全地傳送客戶的身份。票據中有一些信息,服務器可用它們保證用票據的客戶就是有票據的客戶。認證單是與票據一起呈交的其他憑證。

在非常大的程度上,Kerberos協議靠共享密鑰的認證技術。它的基本概念非常簡單,即如果一個密碼只有兩方知道,那麼雙方都能顺利获得證實對方是否知道該密碼來驗證其身份。但這種方式有一個問題,即通信雙方怎樣知道共享的密碼,若藉助網絡傳輸密碼,則很輕易被網絡監聽器截獲並解密。對於這個問題,Kerberos協議用密鑰加密的方法解決。通信雙方不再共享口令,而是共享密鑰,雙方用該密鑰的有關信息證實對方身份,而密碼本身不在網絡中傳輸。

共享密鑰解決了密碼傳輸問題,但另一個問題是通信雙方如何獲取密鑰,在Kerberos中,密鑰的分配是由KDC的服務統一管理的。KDC是運行在服務器上的服務,維護在其域範圍內全部安全主體的賬號信息數據。