1.基于非对称密钥体系的 KPI/CA

PKI：公钥基础设施
CA：认证中心
加密相关（对称加密、非对称加密、信息摘要、数字签名、CA数字证书）

2.基于对称密钥体系的 Kerberos

AS：认证服务器
TGS：授予票据服务

在Kerberos体系中，KDC会给每个用户和服务分配一组用户名和密钥。用户向访问服务必须先从KDC获取具有时效性的门票【Service Ticket】。

1.用户拿用户密钥加密【信息1】发送给【AS】；
2.【AS】拿用户密钥解析出【信息1】，返回给用户【信息1】和拿用户密钥加密的【Session Key】；
自此：（用户和KDC双方认证成功，应为只有用户和KDC才持有用户密钥）
3.用户拿用户密钥解密出【Session Key】 ，向【TGS】请求想访问的服务的【Service Ticket】；
4.【TGS】返回用服务密钥加密的【Service Ticket】（其中包括 相同的【Session Key】；用户分组；用户名）；
5.用户携带被加密的【Service Ticket】和用【Session Key】加密的【信息2】访问服务，
6.服务用服务密钥解析【Service Ticket】得到三部分内容（【Session Key】；用户分组；用户名），用用户分组和用户名区分访问权限，用【Session Key】解密【信息2】，返回用户【信息2】；
自此：（用户和服务双方认证成功，双方可使用【Session Key】加密通信）

https://www.zhihu.com/question/22177404
https://www.jianshu.com/p/fc2d2dbd510b