用Kerberos为J2ME应用程序上锁，第1部分 - Kerberos数据格式介绍 - 编程入门网

Kerberos 消息交换

本节我将描述以下三个参与者之间的 Kerberos 消息交换：

支持 J2ME 的无线设备

无线设备用户

电子银行

图 1. 为建立安全通信上下文而进行的 Kerberos 消息交换

图 1 给出了三个参与者之间出现的消息交换的概括视图。本节我将讨论这一视图并解释图中显示的消 息交换的最终结果。下一节解释每一消息的具体细节（即结构和格式）。

注意，图 1 中支持 J2ME 的无线设备包含两个参与者：MIDlet 和 Kerberos 客户机。与此类似，电 子银行系统也包含两个参与者：业务逻辑服务器和 Kerberos 分发中心 (Kerberos Distribution Center ，KDC)。

用Kerberos为J2ME应用程序上锁，第1部分 - Kerberos数据格式介绍(2)

业务逻辑服务器是实现了电子银行业务逻辑的服务器端 Java 应用程序。KDC 是一个管理和分发 Kerberos 票据的 Kerberos 服务器。KDC 又由两个服务器组成：一个 身份验证服务器(AS) 和一个 票据 授予服务器(TGS)。AS 和 TGS 都接收客户机请求并发出 Kerberos 票据以响应这些请求。当 AS 接收客 户机的票据请求时，它发出一个初始票据。然后客户机向 TGS 展示这个初始票据。TGS 根据这个初始票 据发出服务票据。

获得初始票据的主要目的是在以后用它得到一个或者多个服务票据。这就是为什么初始票据也称为 票 据授予票据(TGT)。

注意，服务票据是用于客户机与特定服务器之间的安全通信的一种手段。另一方面， TGT 并不是针对 任何特定的服务器的。因此，TGT 逻辑上等于一个开放连接，它的一端是客户机，而另一端是未知的。当 对一个 TGT 生成一个服务票据时，另一端也就确定了。同一个 TGT 可以用于获得任意数量的服务票据。

下面描述的消息交换步骤揭开了 MIDlet 如何以及为什么获得并使用 Kerberos 票据的神秘面纱。图 1 中的每一个数字都对应于下面讨论的一个步骤。

手机用户向 MIDlet 应用程序提供他或者她的用户名和密码（只由用户和电子银行共享的一个秘密） 。这个密码只用于在 J2ME 应用程序内部的处理，它永远也不会进入网络。通过网络传输的只有用户名。

MIDlet 将用户名和密码交给 Kerberos 客户机。由 Kerberos 客户机负责建立与电子银行进行安全通 信的上下文。

Kerberos 客户机请求 AS 发出一个 TGT。一个 TGT 请求表示一个安全会话。一个客户机可以在一个 安全会话中建立多个子会话。TGT 请求包含了发出请求的客户的用户名，但是不包括密码（共享的秘密） 。

Kerberos 客户机向 AS 发送请求。

当 AS 收到 TGT 请求时，它从请求中提出用户名并从内部数据库中取出相应的密码（共享的秘密）。 然后 AS 发布一个 TGT 并将 TGT 包装在回复消息中。这个 TGT 包含一个纯文本部分和一个密码文本（ 加密的）部分。为了加密 TGT 的密码部分，AS 使用了由用户的密码生成的加密密钥。因此，只有知道密 码的用户才能解开加密的部分。TGT 的加密部分还包含一个加密密钥，称为 会话密钥。

AS 向发出请求的 Kerberos 客户机发送回复消息（包括 TGT）。

收到 AS 的回复后，Kerberos 客户机从回复中取出 TGT 并解密 TGT 中加密的部分。然后 Kerberos 客户机发出一个服务票据请求。这个请求包含了 TGT 和一个称为 鉴别码 (authenticator)的加密结构。 客户机用从 TGT 提取出的会话密钥加密鉴别码。鉴别码证明客户机掌握会话密钥。服务票据请求还指定 了电子银行业务逻辑服务器的名字。

客户机向 TGS（它是电子银行的 KDC 的一部分）发送服务票据请求。

收到服务票据请求后，TGS 提取客户机向其请求服务票据的服务器的名称，然后授予一个服务票据。 服务票据与 TGT 没有很大差别。与 TGT 一样，服务票据包含一个纯文本部分和一个密码文本（加

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!