用Kerberos为J2ME应用程序上锁,第1部分 - Kerberos数据格式介绍 - 编程入门网
,
cname[4] PrincipalName,
ticket[5] Ticket,
enc-part[6] EncryptedData
}
EncryptedData ::= SEQUENCE {
etype[0] INTEGER, -- EncryptionType
kvno[1] INTEGER OPTIONAL,
cipher[2] OCTET STRING -- ciphertext
}
EncTGSRepPart ::= [APPLICATION 26] EncKDCRepPart
EncKDCRepPart ::= SEQUENCE {
key[0] EncryptionKey,
last-req[1] LastReq,
nonce[2] INTEGER,
key-expiration[3] KerberosTime OPTIONAL,
flags[4] TicketFlags,
authtime[5] KerberosTime,
starttime[6] KerberosTime OPTIONAL,
endtime[7] KerberosTime,
renew-till[8] KerberosTime OPTIONAL,
srealm[9] Realm,
sname[10] PrincipalName,
caddr[11] HostAddresses OPTIONAL
}
用Kerberos为J2ME应用程序上锁,第1部分 - Kerberos数据格式介绍(13)时间:2011-08-05 IBM Faheem Khan从客户机到电子银行业务逻辑服务器的消息 现在客户机有了服务票据,可以将它发送到电子银行业务逻辑服务器。客户机发送图 7 中的消息到电 子银行服务器。这个消息的目的是请求服务器建立与客户机的新的安全上下文。 图 7. 从 Kerberos 客户机到电子银行服务器的消息的结构
我说过本文的目的是展示基于 J2ME 的安全移动银行应用程序。我准备在服务器端使用 Generic Security Services API(GSS API,或者简称为 GSS)来为电子银行业务逻辑服务器提供安全功能。GSS 是一种一般性的高层安全 API ,它可以在像 Kerberos 这样的不同安全技术上面工作。 我将在本系列的第三篇文章中讨论 GSS API 在电子银行业务逻辑服务器中的使用。现在,只要知道与 Kerberos 一样,GSS 也是一种 IETF 标准。IETF 为客户机与服务器之间相互传递的 Kerveros 消息定义 了 GSS 包装器。为了在服务器端使用 GSS,我必须保证 GSS 客户机可以发出并处理 GSS 包装器。 图 7 中的外围框标记为 InitialContextToken ,它实际上是包装了从 GSS 客户机到 GSS 服务器的 消息的 GSS 包装器的名字。在 InitialContextToken 包装器中,第一个字段名为 thisMech ,它定义了 GSS 作为低层安全技术使用的安全机制(在这里是 Kerveros)。 InitialContextToken 框中的第二个字段标记为 KRB_AP_REQ ,我在讨论图 5 时分析过它。回想一下 前面的讨论中说过 KRB_AP_REQ 结构包装了票据。这就是为什么我可以使用这个结构包装一个服务票据并 发送给电子银行服务器。我说过服务票据已经包含了子会话密钥。 清单 5 提供了 Kerberos 客户机发给电子银行业务逻辑服务器的消息的 ASN.1 类定义。您可以将图 7 中的不同字段与清单 5 中的类定义进行对照。 清单 5. 从客户机到服务器的安全上下文请求消息的 ASN.1 类定义
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
