用 Kerberos 为 J2ME 应用程序上锁，第 3 部分: 建立与电子银行的安全通信（下）

核心提示：得到一个服务票据已经处理了 TGT 响应并提取了 TGT 和会话密钥，现在可以使用这个 TGT 和会话密钥向 KDC 服务器请求一个服务票据，用 Kerberos 为 J2ME 应用程序上锁，第 3 部分: 建立与电子银行的安全通信（下），对服务票据的请求类似于对我在清单 1 中生成的对 TGT 的请求，我在 TGT

得到一个服务票据

已经处理了 TGT 响应并提取了 TGT 和会话密钥。现在可以使用这个 TGT 和会话密钥向 KDC 服务器请求一个服务票据。对服务票据的请求类似于对我在清单 1 中生成的对 TGT 的请求。我在 TGT 请求中省略的可选 padata 字段在服务票据请求中不再是可选的了。因此，需要在服务票据请求中加上 padata 字段。

padata 字段是包含两个字段 ―― padata-type 和 padata-value ―― 的 SEQUENCE 。 padata-value 字段带有几种类型的数据，因此相应的 padata-type 字段指定了 padata-value 字段所带的数据的类型。

在 本系列的第一篇文章的图 5 中我介绍了服务票据中的 padata 字段的结构。在那里说过服务票据请求中的 padata 字段包装了一个认证头（一个 KRB_AP_REQ 结构），它又包装了 TGT 以及其他数据。

所以，在可以开始生成票据请求之前，必须生成一个认证头。下面是分析了生成认证头的过程。

生成一个认证头

我在 KerberosClient 类中加入了以下方法以生成一个认证头：

getMD5DigestValue()

getChceksumBytes()

authorDigestAndEncrypt()

getAuthenticationHeader()

这四个方法都是 helper 方法。第五个方法（ getAuthenticationHeader() ）使用 helper 方法并生成认证头。

authorDigestAndEncrypt()

清单 15 显示的 authorDigestAndEncrypt() 方法取一个纯文本数据字节数组和一个加密密钥。这个方法对纯文本数据计算一个摘要值、加密纯文本数据、并返回一个 EncryptedData 结构，这个结构与我作为输入传递给 清单 12 的 decryptAndVerifyDigest() 方法的结构完全匹配。