得到一个服务票据
已经处理了 TGT 响应并提取了 TGT 和会话密钥。现在可以使用这个 TGT 和会话密钥向 KDC 服务器 请求一个服务票据。对服务票据的请求类似于对我在清单 1 中生成的对 TGT 的请求。我在 TGT 请求中 省略的可选 padata 字段在服务票据请求中不再是可选的了。因此,需要在服务票据请求中加上 padata 字段。
padata 字段是包含两个字段 ―― padata-type 和 padata-value ―― 的 SEQUENCE。padata-value 字段带有几种类型的数据,因此相应的 padata-type 字段指定了 padata-value 字段所带的数据的类型 。
在 本系列的第一篇文章的图 5 中我介绍了服务票据中的 padata 字段的结构。在那里说过服务票据 请求中的 padata 字段包装了一个认证头(一个 KRB_AP_REQ 结构),它又包装了 TGT 以及其他数据。
所以,在可以开始生成票据请求之前,必须生成一个认证头。下面是分析了生成认证头的过程。
生成一个认证头
我在 KerberosClient 类中加入了以下方法以生成一个认证头:
getMD5DigestValue()
getChceksumBytes()
authorDigestAndEncrypt()
getAuthenticationHeader()
这四个方法都是 helper 方法。第五个方法( getAuthenticationHeader() )使用 helper 方法并生 成认证头。
authorDigestAndEncrypt()
清单 15 显示的 authorDigestAndEncrypt() 方法取一个纯文本数据字节数组和一个加密密钥。这个 方法对纯文本数据计算一个摘要值、加密纯文本数据、并返回一个 EncryptedData 结构,这个结构与我 作为输入传递给 清单 12 的 decryptAndVerifyDigest() 方法的结构完全匹配。
可以说 清单 15 的 authorDigestAndEncrypt() 方法与前面讨论的 decryptAndVerifyDigest() 方法 正好相反。authorDigestAndEncrypt() 方法取 decryptAndVerifyDigest() 方法返回的纯文本数据作为 输入。与此类似, authorDigestAndEncrypt() 方法返回的 EncryptedData 结构就是我作为输入传递给 decryptAndVerifyDigest() 方法的结构。
authorDigestAndEncrypt() 方法实现了以下策略:
首先,生成八个随机字节,它们构成了 confounder。
然后,声明一个名为 zeroedChecksum 的字节数组,它有十六个字节并初始化为零。这个有十六个零 的数组作为一个全为零的摘要值。
第三,用其他的字节填入输入数据字节数组,以使数组中的字节数成为八的倍感数。编写了一个名为 getPaddedData() 的方法(如 清单 16所示),它取一个字节数组并在填充后返回这个数组。下面,链接 (第 1 步得到的)confounder、(第 2 步得到的)全为零的摘要以及填充后的纯文本字节数组。