用Kerberos为J2ME应用程序上锁,第1部分 - Kerberos数据格式介绍 - 编程入门网
发送给客户机,那么 这个密钥将被用于随后客户机与服务器之间的安全通信(取代子会话密钥)。
seq-number :我在对图 5 的讨论中解释了这个字段。 清单 6 提供了电子银行对 Kerveros 客户机的响应的 ASN.1 类定义。读者可以将图 8 中显示的不同 字段与清单 6 中的类定义相对照。 清单 6. 从服务器到客户机的安全上下文响应的 ASN.1 类定义
Kerberos 票据 在结束这篇文章之前,我想要展示 Kerberos 票据本身的结构。图 9 显示了 Kerberos 票据的结构。 图 9. Kerberos 票据的结构 用Kerberos为J2ME应用程序上锁,第1部分 - Kerberos数据格式介绍(15)时间:2011-08-05 IBM Faheem Khan它包含 11 个字段: tkt-vno :票据格式的版本。当前它是 5。 realm 和 sname :我在对图 2 的讨论中解释了这些字段。这两个字段共同指定可以给出有效票据的 服务器的完整标识符。对于 TGT,这两个字段标识了 TGS。另一方面,对于服务票据,它们指定电子银行 业务逻辑服务器。 enc-part :这是票据的机密部分。这个加密的部分解密后是另一个 Kerberos 结构,它包含如下所描 述的一些字段: flags :这是我在讨论图 2 中的 kdc-options 字段时提到的一组标志。其中一个标志用于说明这是 TGT 还是服务票据。 key :这是会话密钥(对于 TGT)或者子会话密钥(对于服务票据)。 creal 和 cname :我在对图 2 的讨论中解释了这些字段。 transited :正如前面提到的,在不同领域中工作的不同 Kerberos 服务器可以将票据从一个领域转 发到另一个领域。这个字段指定在发布这种票据时所涉及的不同领域的名字。在移动银行应用程序中我不 需要这种功能。 authtime :这是 KDC 验证请求客户身份的时间。 starttime 和 endtime :票据从 starttime 到 endtime 是有效的。 renew-till :正如前面提到的,Kerberos 票据是可以更新的。这种票据可以包含这个字段,它指定 票据的最终失效时间。在这个时间之后,票据将不再是 renewable 的。 caddr :我在对图 4 的讨论中解释了这个字段。 展望:设计 Kerberos 客户机 在本系列的其余部分,我将构建一个 Kerberos 客户机,它为移动银行应用程序提供安全功能。 Kerberos 客户机的主要目的是发布并处理这里详细说明的 Kerberos 消息。客户机将可以从客户机向票 据或者电子银行服务器发布所有消息(图 2、5 和 7 所示的消息)并处理从服务器发回的消息(图 2、4 、6、8 和 9 所示的消息)。 我所开发的 Kerberos 客户机将在资源有限的无线设备上运行。因此,客户机只有很少的资源。我的 重点放在高效地使用可用的设备资源上。 安全应用程序通常使设备资源承担繁重的处理负荷。为了提高程序的效率,我必须对良好的面向对象 的设计做法做出一些妥协。这对于 重大的 J2ME 应用程序来说是很常见的。本系列的后两篇文章中将展 示在移动银行应用程序中是如何做的。 结束语 在本文中,我解释了移动银行应用程序的使用模型和安全性需求。我还描述了在 Kerberos 客户机和 一个电子银行服务器之间交换加密密钥以进行安全通信的 Kerberos 消息的序列(以及 Kerberos 数据格 式)。然 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |