用Kerberos为J2ME应用程序上锁，第1部分 - Kerberos数据格式介绍 - 编程入门网

身份验证头包含 TGT 以及一些其他字段，如下所示：

pvno ：在对图 2 的讨论中我已经解释过这个字段。

message-type ：这个字段包含一个整数值 (12)，用于识别 KRB_TGS_REQ 消息。

ap-options ：这是一组选项。第一个选项保留为以后使用。第二个选项指定相应 TGT 是用包装在相 应 TGT 中的会话密钥加密的。因为 TGS 已经知道会话密钥，所以它可以使用这把密钥进行解密。如果选 择了第三个选项，那么它就指定客户机请求双向身份验证。

用Kerberos为J2ME应用程序上锁，第1部分 - Kerberos数据格式介绍(11)

ticket ：TGT 本身。

authenticator ：这是一个加密的结构，其中包含几个字段，允许客户机证明它拥有会话密钥并帮助 TGS 检测回复攻击。在身份验证头中 鉴别码是以加密的（密文）形式出现的。客户机使用会话密钥加密 鉴别码。鉴别码结构的字段如下：

authenticator-vno ：鉴别码格式的版本号。对于 Kerberos 版本 5，这个字段应该指定 5。

crealm 和 cname： 我在对图 2 的讨论中解释了这些字段。

cksum ：一个校验和或者散列值，由图 5 中显示的 req-body 字段的字节编码计算而来。这个字段让 TGS 可以检查请求消息的完整性。因为该校验和位于一个用会话密钥加密的结构中，所以这个字段也证明 客户机拥有会话密钥。

cusec 和 ctime ：这两个字段共同指定发出 KRB_AP_REQ 消息的客户机时间。cusec 字段指定时间的 微秒部分，而 ctime 字段指定日期和以毫秒计的时间。

subkey ：这是一个可选的字段，客户机可以用它指定随后与服务器之间的通信所要使用的密钥。对于 移动银行应用程序，我将尽量减少在 J2ME 客户机上的处理负荷，因此，让服务器决定会话密钥和子会话 密钥。

seq-number ：这是一个可选字段，可以包含消息的一个序列号以检测回复攻击。

authorization-data ：这是一个可选字段，带有特定于应用程序的身份验证数据。在移动银行应用程 序中我没有使用这个字段。

清单 3 提供了服务票据请求消息的 ASN.1 类定义。读者可以将图 5 中显示的不同字段与清单 3 中 的类定义相对照。

清单 3. 服务票据请求消息的 ASN.1 类定义

TGS-REQ　::=　　　　[APPLICATION　12]　KDC-REQ KDC-REQ　::=　　　　SEQUENCE　{ 　　　　　　 pvno[1]　　　　　　　　INTEGER, 　　　　　　 msg-type[2]　　　　　　INTEGER, 　　　　　　 padata[3]　　　　　　　SEQUENCE　OF　PA-DATA　OPTIONAL, 　　　　　　 req-body[4]　　　　　　KDC-REQ-BODY } PA-DATA　::=　　　　SEQUENCE　{ 　　　　　　 padata-type[1]　　　　INTEGER, 　　　　　　 padata-value[2]　　　　OCTET　STRING, 　　　　　　　　　　　　　 --　might　be　encoded　AP-REQ } KDC-REQ-BODY　::=　　SEQUENCE　{ 　　　　　　 kdc-options[0]　　　　KDCOptions, 　　　　　　 realm[2]　　　　　　　Realm,　--　Server''s　realm 　　　　　　　　　　　　　 --　Also　client''s　in　AS-REQ 　　　　　　 sname[3]　　　　　　　PrincipalName　OPTIONAL, 　　　　　　 from[4]　　　　　　　KerberosTime　OPTIONAL, 　　　　　　 till[5]　　　　　　　KerberosTime, 　　　　　　 rtime[6]　　　　　　　KerberosTime　OPTIONAL, 　　　　　　 nonce[7]　　　　　　　INTEGER, 　　　　　　 etype[8]　　　　　　　SEQUENCE　OF　INTEGER,　--　EncryptionType, 　　　　　　　　　　　　　 --　in　preference　order 　　　　　　 addresses[9]　　　　　HostAddresses　OPTIONAL, 　　　　　　 enc-authorization-data[10]　　EncryptedData　OPTIONAL, 　　　　　　　　　　　　　 --　E

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!