用Kerberos为J2ME应用程序上锁，第1部分 - Kerberos数据格式介绍 - 编程入门网

srealm ：服务器的领域。

sname ：服务器名，其所带票据是有效的。

caddr ：这个字段指定一个地址列表，这些地址给出的相应票据是可以使用的。这个字段的目的是使 黑客使用偷来的票据更困难。

清单 2 提供了 TGT 响应消息的 ASN.1 类定义。读者可以将清单 2 中的类定义与图 3 和图 4 中显 示的不同字段相对照。

清单 2. TGT 响应消息的 ASN.1 类定义

AS-REP　::=　　[APPLICATION　11]　KDC-REP 　　 KDC-REP　::=　　SEQUENCE　{ 　　　　　　　　　 pvno[0]　　　　　　　　　　INTEGER, 　　　　　　　　　 msg-type[1]　　　　　　　　INTEGER, 　　　　　　　　　 padata[2]　　　　　　　　　SEQUENCE　OF　PA-DATA　OPTIONAL, 　　　　　　　　　 crealm[3]　　　　　　　　　Realm, 　　　　　　　　　 cname[4]　　　　　　　　　　PrincipalName, 　　　　　　　　　 ticket[5]　　　　　　　　　Ticket, 　　　　　　　　　 enc-part[6]　　　　　　　　EncryptedData 　　 } 　　 EncryptedData　::=　　SEQUENCE　{ 　　　　　　　　 etype[0]　　　INTEGER,　--　EncryptionType 　　　　　　　　 kvno[1]　　　INTEGER　OPTIONAL, 　　　　　　　　 cipher[2]　　OCTET　STRING　--　ciphertext 　　 } 　　 EncASRepPart　::=　　[APPLICATION　25]　EncKDCRepPart 　　 EncKDCRepPart　::=　　SEQUENCE　{ 　　　　　　　　 key[0]　　　　　　　　　　　　EncryptionKey, 　　　　　　　　 last-req[1]　　　　　　　　　LastReq, 　　　　　　　　 nonce[2]　　　　　　　　　　　INTEGER, 　　　　　　　　 key-expiration[3]　　　　　　KerberosTime　OPTIONAL, 　　　　　　　　 flags[4]　　　　　　　　　　　TicketFlags, 　　　　　　　　 authtime[5]　　　　　　　　　KerberosTime, 　　　　　　　　 starttime[6]　　　　　　　　　KerberosTime　OPTIONAL, 　　　　　　　　 endtime[7]　　　　　　　　　　KerberosTime, 　　　　　　　　 renew-till[8]　　　　　　　　KerberosTime　OPTIONAL, 　　　　　　　　 srealm[9]　　　　　　　　　　Realm, 　　　　　　　　 sname[10]　　　　　　　　　　PrincipalName, 　　　　　　　　 caddr[11]　　　　　　　　　　HostAddresses　OPTIONAL 　　 }

用Kerberos为J2ME应用程序上锁，第1部分 - Kerberos数据格式介绍(10)

服务票据请求

收到 TGT 后，客户机发出服务票据请求，如图 5 所示。服务票据请求与我在图 2 中讨论的 TGT 请 求非常相似。可以将图 5 中的所有字段与图 2 中的相应字段进行对照。我只需要解释专门针对服务票据 请求的 padata 字段。

图 5. 服务票据请求消息的结构

padata 字段是 PA-DATA 结构的序列，它包含 身份验证数据。服务票据请求需要向票据授予服务器发 送 TGT。padata 字段将 TGT 包装到它的一个 PA-DATA 结构中。

Kerberos 用 padata 字段实现不同的目的,包装 TGT 只是其中一项。因此，Kerberos 定义了不同的 整数值以指定 PA-DATA 结构包装的是什么类型的数据。

图 5 显示 PA-DATA 序列只包含一个 PA-DATA 结构，它由两个子字段组成，即 padata-type 和 padata-value 。padata 序列中的每一个 PA-DATA 结构都包含这两个字段。

padata-type 是一个整数值，用于指定所带 padata-value 字段中的数据类型。当在服务票据请求中 padata-value 字段包装了一个 TGT 时， padata-type 字段的值就是 1。

padata-value 字段是一串字节，其中包含 TGT。padata-value 字段中的字节串实际上是另一个名为 KRB_AP_REQ （或者简称为 AP-REQ ）的 Kerberos 结构，也称为 身

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!