用Kerberos为J2ME应用程序上锁，第3部分 - 建立与电子银行的安全通信（下） - 编程入门网

用Kerberos为J2ME应用程序上锁，第3部分 - 建立与电子银行的安全通信（下）(8)

清单 20 中显示的新的 getTicketResponse() 方法有五个参数： userName、serverName、realmName 、kerberosTicket 和 key 。要请求一个服务票据，需要传递 kerberosTicket 字节数组的 TGT 。另一 方面，在请求 TGT 时，不必传递一个票据，因此对于 kerberosTicket 字节数组传递“null”。

TGT 请求与服务票据请求的主要区别是 padata 字段。在本系列 第一篇文章 中的“请求服务票据” 一节中讨论服务票据请求的 padata 字段时已经介绍过。

在 getTicketResponse() 的最后，我加入了一个 if (kerberosTicket!=null) 块。只有在 kerberosTicket 参数不为 null 时才进入这个块（在所有 TGT 请求中它都是 null）。

在 if (kerberosTicket!=null) 块中，我生成了 padata 字段。正如 第一篇文章的图 5 中描述的， 这个 padata 字段包装一个可由 getAuthenticationHeader() 方法生成的认证头。

在 getAuthenticationHeader() 方法中还可了解到，为了生成一个认证头，需要一个可由 getChecksumBytes() 方法生成的 Checksum 结构。

现在，回想一下在讨论 getChecksumBytes() 方法时说过，为了生成一个 Checksum 结构，需要用于 cksumtype 和 checksum 字段的数据。

因此，生成一个认证头需要三步：

生成 cksumtype 和 checksum 字段的数据。如果是服务票据请求，那么 checksum 字段的数据只是对 包含服务票据请求的 req-body 字段的所有子字段的 SEQUENCE 计算的 MD5 摘要值（注意在 第一篇文章 的图 5, req-body 是服务票据请求的第四个字段，就在服务票据请求的第三个字段 padata 字段后面） 。cksumtype 字段的数据是 integer 7 的 ASN1 表示。这个值指定 checksum 的类型。

调用 getChecksumBytes() 方法并传递 cksumtype 和 checksum 字段的数据。getChecksumBytes() 方法生成完整的 Checksum 结构。

调用 getAuthenticationHeader() 方法，同时传递 Checksum 结构。getAuthenticationHeader() 返 回认证头。

生成了认证头后，必须将它包装到一个 padata 字段中。为此，有几件事要做：

调用我在 第二篇文章的清单 5 中描述的 getOctetStringBytes() 方法将认证头包装到一个 OCTET STRING 中。

将这个 OCTET STRING 包装到 padata-value 字段中（特定于上下文的标签号 2），调用 getTagAndLengthBytes() 方法以

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!