用Kerberos为J2ME应用程序上锁，第3部分 - 建立与电子银行的安全通信（下） - 编程入门网

用Kerberos为J2ME应用程序上锁，第3部分 - 建立与电子银行的安全通信（下）

得到一个服务票据

已经处理了 TGT 响应并提取了 TGT 和会话密钥。现在可以使用这个 TGT 和会话密钥向 KDC 服务器 请求一个服务票据。对服务票据的请求类似于对我在清单 1 中生成的对 TGT 的请求。我在 TGT 请求中 省略的可选 padata 字段在服务票据请求中不再是可选的了。因此，需要在服务票据请求中加上 padata 字段。

padata 字段是包含两个字段 ―― padata-type 和 padata-value ―― 的 SEQUENCE。padata-value 字段带有几种类型的数据，因此相应的 padata-type 字段指定了 padata-value 字段所带的数据的类型 。

在 本系列的第一篇文章的图 5 中我介绍了服务票据中的 padata 字段的结构。在那里说过服务票据 请求中的 padata 字段包装了一个认证头（一个 KRB_AP_REQ 结构），它又包装了 TGT 以及其他数据。

所以，在可以开始生成票据请求之前，必须生成一个认证头。下面是分析了生成认证头的过程。

生成一个认证头

我在 KerberosClient 类中加入了以下方法以生成一个认证头：

getMD5DigestValue()

getChceksumBytes()

authorDigestAndEncrypt()

getAuthenticationHeader()

这四个方法都是 helper 方法。第五个方法（ getAuthenticationHeader() ）使用 helper 方法并生 成认证头。

authorDigestAndEncrypt()

清单 15 显示的 authorDigestAndEncrypt() 方法取一个纯文本数据字节数组和一个加密密钥。这个 方法对纯文本数据计算一个摘要值、加密纯文本数据、并返回一个 EncryptedData 结构，这个结构与我 作为输入传递给 清单 12 的 decryptAndVerifyDigest() 方法的结构完全匹配。

可以说 清单 15 的 authorDigestAndEncrypt() 方法与前面讨论的 decryptAndVerifyDigest() 方法 正好相反。authorDigestAndEncrypt() 方法取 decryptAndVerifyDigest() 方法返回的纯文本数据作为 输入。与此类似， authorDigestAndEncrypt() 方法返回的 EncryptedData 结构就是我作为输入传递给 decryptAndVerifyDigest() 方法的结构。

authorDigestAndEncrypt() 方法实现了以下策略：

首先，生成八个随机字节，它们构成了 confounder。

然后，声明一个名为 zeroedChecksum 的字节数组，它有十六个字节并初始化为零。这个有十六个零 的数组作为一个全为零的摘要值。

第三，用其他的字节填入输入数据字节数组，以使数组中的字节数成为八的倍感数。编写了一个名为 getPaddedData() 的方法（如 清单 16所示），它取一个字节数组并在填充后返回这个数组。下面，链接 （第 1 步得到的）confounder、（第 2 步得到的）全为零的摘要以及填充后的纯文本字节数组。

用Kerberos为J2ME应用程序上锁，第3部分 - 建立与电子银行的安全通信（下）(2)

第四步是对第 3 步串接的字节数组计算 MD5 摘要值。

第五步是将摘要字节放到它们相应的位置上。第 5 的结果与第 3 步一样，只不过全为零的摘要现在 换成了真正的摘要值。

现在调用 encrypt() 方法以加密第 5 步得到的字节数组。

然后，生成 etype 字段（特定于上下文的标签号 0）。

然后，调用 getOctetStringBytes() 方法将第 6 步得到的加密字节数组包装到 OCTET STRING 中。 然后将 OCTET STRING 包装到 cipher 字段中（一个特定于上下文的标签号 2）。

最后，链接 etype 和 cipher 字段，将这个字符串包装到一个 SEQUENCE 中，并返回这个 SEQUENCE 。

清单 15. authorDigestAndEncrypt() 方法

public　byte[]　authorDigestAndEncrypt(byte[]　key,　byte[]　data) 　　 { 　　　 /******　Step　1:　******/ 　　　 byte[]　co

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!