用Kerberos为J2ME应用程序上锁,第3部分 - 建立与电子银行的安全通信(下) - 编程入门网
| erberosSession() 方法时介绍的头。
一个八字节 token 头。在 GSS-Kerveros 规范中有几个不同类型的 token,每一种 token 类型都由 一个惟一的头所标识。其中只有要在 sendSecureMessage() 方法中生成的安全消息头是我们感兴趣的。 一个安全消息 token 是由具有值 0x02、0x01、0x00、0x00、0x00、0x00、0xff 和 0xff 的头所标识的 。 一个加密的序号,它有助于检测回复攻击。例如,如果有恶意的黑客想要重现(即重复)一个转账指 令,他是无法生成加密形式的正确序号的(当然,除非他知道 子会话 密钥)。 消息的加密摘要值。 加密后的消息。 用Kerberos为J2ME应用程序上锁,第3部分 - 建立与电子银行的安全通信(下)(12)时间:2011-08-05 IBM Faheem Khan将上面列出的五个字段以正确的顺序链接在一起,然后包装到一个 ASN.1 应用程序级别的标签号 0 中。这就构成了完整的 GSS-Kerberos 安全消息 token,如 图 1所示。 图 1.
为了生成如 图 1所示的完整安全 token,必须生成所有五个字段。 前两个字段没有动态内容,它们在所有安全消息中都是相同的,所以我在 清单 23中硬编码了它们的 值。另外三个字段必须根据以下算法动态计算: 1. 在纯文本消息中添加额外的字节以使消息中的字节数是八的倍数。 2. 生成一个名为 confounder 的八字节随机数。链接 confounder 与第 1 步中填充的消息。 3. 串接 token 头( 图 1中的第二个字段)和第 2 步的结果。然后对链接的结果计算 16 字节 MD5 摘要值。 4. 用 子会话 密钥加密第 3 步得到的 16 字节摘要值。加密算法是使用零 IV 的 DES-CBC。加密的 数据的最后八个字节(放弃前八个字节)构成了 图 1第四个字段(加密的摘要值)。 5. 现在必须生成一个加密的 8 字节序号( 图 1 的第三个字段)。这个序号是用 子会话 密钥和第 4 步使用 IV 的加密摘要值的后八个字节加密的。 6. 现在取第 2 步的结果(链接在一起的 confounder 和填充的消息)并用 DES-CBC 加密它。要进行 这种加密,使用一个用 0xF0 对 子会话 密钥的所有字节执行 OR 操作生成的密钥。这种加密得到的结果 构成了 图 1的第五个字段,也就是加密的消息。 生成了各个字段后,将它们链接为一个字节数组,最后,调用 getTagAndLengthBytes() 方法以在链 接的字节数组前面附加一个应用程序级别的标签号 0。 可以观察 清单 23 的 sendSecureMessage() 方法中的这些步骤。生成了安全消息后,通过输出流将 消息发送给服务器、监听服务器的响应并将响应返回给接收者。 清单 23. sendSecureMessage() 方法
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
