rfc2078.txt

很多RFC的中文文档

被说明时。
Desired_name INTERNAL NAME – NULL要求默认的本地判定
Initator_time_req INTEGER 按秒记，0代表默认值
Desired_mech OBJECT IDENTIFIER
cred_usage INTEGER 0=INITIATE-AND-ACCEPT， 1=INITIATE-ONLY， 2=ACCEPT-ONLY
输出：
major_status INTEGER
minor_status INTEGER
output_cred_handle  CREDENTIAL HANDLE，-NULL代表要求信任元素将被加到信任结构（由
input_cred_handle表示）中的适当地方，非NULL要求建立新的信任结构和句柄
actual_mechs  SET OF OBJECT IDENTIFIER
initiator_time_rec INTEGER 按秒，或者是保留值INDEFINITE
acceptor_time_rec  INTEGER 按秒，或者是保留值INDEFINITE
cred_usage INTEGER, 0=INITIATE-AND-ACCEPT, 1=INITIATE-ONLY, 2=ACCEPT-ONLY
mech_set SET OF OBJECT IDENTIFIER——被信任支持的所有机制集合
返回的major_status编码：
GSS_S_COMPLETE表示被参数input_cred_handle引用的信用是有效的，并且从GSS_Add_cred
得来的信任在initiator_time_rec和acceptor_time_rec表示的期间是有效的。满足在
cred_usage中要求的用途，和在actual_mechs代表的机制
GSS_S_DUPLICATE_ELEMENT表示输入的desired_mech说明了一个机制——他所引用的信用已经
包含了cred_usage和有效期间所说明的信用元素。
GSS_S_BAD_MECH表示输入的desired_mech代表一个不被GSS-API实现支持的机制，导致
GSS_Add_cred操作失败
GSS_S_BAD_NAMETYPE表示提供的desired_namen不能被解释或者是不被应用与底层的GSS-API
机制支持的类型，所以GSS_Add_cred不能在那个名字上完成。
GSS_S_NO_CRED表示input_cred_handle引用不可用或者信用不可访问
GSS_S_FAILER操作失败——GSS-API级没有说明的原因（未知原因），包括缺乏建立的认证或者使
用信用代表要求的标识。
GSS_Add_cred使调用者能够重复的构建信任，通过在后续的操作中加入信任元素，对应于不同
的机制。这些提供了在多个环境中的特定的值，因为major_status和minor_status值（在每
次重复中被返回的）是个别的可视的，可以基于每个机制被明确的解释。
同样的输入desired_name，或者是默认的引用，在所有的GSS_Acquire_cred和GSS_Add_cred
调用中被使用，以对应一个特定的信任。
2.1.5:GSS_Inquire_cred_by_mech调用
输入：
cred_handle CREDENTIAL HANDLE – NULL说明当默认的信任行为被要求时使用的信任元素将
被查询
mech_type OBJECT IDENTIFIER 说明其信任将被查询的机制。
输出：
major_status INTEGER,
minor_status INTEGER,
cred_name INTERNAL NAME, -- 保证是MN
lifetime_rec_initiate INTEGER – 按秒,或者是保留值INDEFINITE
lifetime_rec_accept INTEGER – 按秒，或者是保留值INDEFINITE
cred_usage INTEGER, -0=INITIATE-AND-ACCEPT, 1=INITIATE-ONLY,2=ACCEPT-ONLY
返回的major_status编码
GSS_S_COMPLETE表示被输入参数cred_handle引用的信用是有效的。输入的mech_type表示的
机制被信任中的元素表示，并且输出的cred_name，lifetime_rec_initiate，
lifetime_rec_accept，和cred_usage值分别代表信任关联主体的名字，余下的时间，和适用
的使用模式。
GSS_S_NO_CRED表示没有任何关于引用信任的信息被返回。可能因为输入的cred_handle无效
或者因为调用者缺乏访问引用信用的认证。
GSS_S_DEFECTIVE_CREDENTIAL表示引用信任无效
GSS_S_CREDENTIALS_EXPIRED表示引用的信用已经过期。
GSS_S_BAD_MECH表示引用的信用不含有要求机制的元素。
GSS_S_FAILURE表示操作失败（因为GSS-API没有说明的原因）
GSS_Inquire_cred_by_mech允许调用者在多机制环境中获得特定的数据（在一个信任结构中的
生命期，使用模式和机制的联合）。Lifetime_rec_initiate结果表示上下文初始化目的的可用
的生命期；Lifetime_rec_accept结果表示上下文接收目的的可用的生命期；
2.2:上下文级调用
这组调用主要用于建立和管理双方间安全上下文。一个上下文发起调用GSS_Init_sec_context，
结果产生一个标识，被调用者传给目标。在目标方，那个标识传递给GSS_Accept_sec_context。
依据于底层的mech_type和说明的参数，附加的标识交换可能在以后的上下文建立过程中被执
行；这种交换行为由GSS_Init_sec_context和GSS_Accept_sec_context返回的
GSS_S_CONTINUE_NEEDED值决定。
建立上下文的任何一方可以调用GSS_Delete_sec_context以更新上下文信息，当一个上下文不
在需要时。GSS_Process_context_token用来处理接收带有上下文级控制信息的标识。
GSS_Context_time允许调用者判断一个建立的上下文的有效时间。GSS_Inquire_context返回
描述上下文特点的状态信息。GSS_Wrap_size_limit允许调用者判断由GSS_Wrap操作产生的标
识的尺寸。GSS_Export_sec_context和GSS_Import_sec_context使在终端处理过程间能传递
活动的上下文。
2.2.1:GSS_Init_sec_context调用
输入：
claimant_cred_handle  CREDENTIAL HANDLE, -NULL 说明使用默认的值
input_context_handle  CONTEXT HANDLE, -0 表示还没有被赋值
targ_name  INTERNAL NAME
mech_type  OBJECT IDEDTIFIER，-NULL 说明使用默认值
deleg_req_flag  BOOLEAN
mutual_req_flag  BOOLEAN
replay_det_req_flag  BOOLEAN
sequence_req_flag  BOOLEAN
anon_req_flag  BOOLEAN
lifetime_req  INTEGER, -0说明是默认的lifetime
chan_bindings  OCTET STRING
input_token  OCTET STRING –NULL或者从目标接收的标识
输出 ：
major_status INTEGER
minor_status INTEGER
output_context_handle CONTEXT HANDLE
mech_type OBJECT IDENTIFIER, 实际的机制被表示，永远不会为NULL
output_token  OCTET STRING, -NULL 或者是传送给目标上下文的标识。
Deleg_state BOOLEAN
Mutual_statue BOOLEAN
Replay_det_state BOOLEAN
Sequence_state BOOLEAN
Anon_state  BOOLEAN
Trans_state  BOOLEAN
Port_ready_state  BOOLEAN
Conf_avail  BOOLEAN
Integ_avail  BOOLEAN
Lifetime_rec  INTEGER 按秒，或者是保留值INDEFINITE
这个调用可以阻碍某些mech_types的挂起的网络交互。对于这些mech_types，认证的服务端
或者其他网络实体必须参考上下文发起的行为，一产生一个output_token以适应对说明目标的
表示。
返回的major_status编码：
GSS_S_COMPLETE表示上下文级信息被成功初始化，并且他返回的output_token可以为目标提
供足够的信息，在新建立的上下文上完成预消息的处理。
GSS_S_CONTINUE_NEEDED表示在返回的output_token中的控制信息必须发送给目标，并且他的
回复必须被接收并且作为参数input_token传递给后续的调用GSS_Init_sec_context，在预消
息处理被执行（在这个上下文的联合之中）之前
GSS_S_DEFECTIVE_TOKEN表示在input_token上的一致性检查失败，阻止基于这个那个标识的
处理过程被执行。
GSS_S_DEFECTIBE_CREDENTIAL表示在信任结构上（被claimant_cred_handle引用）的一致性
检查操作失败，阻止了使用那个信任结构的处理过程被执行。
GSS_S_BAD_SIG表示接收到的input_token含有一个不正确的完整性检查。所以上下文建立不
能被完成。
GSS_S_NO_CRED表示没有上下文被建立，因为输入的cred_handle无效，或者是因为引用的信
任只队上下文接收者使用是有效的，或者是因为调用者缺乏访问引用信用的认证。
GSS_S_CREDENTIAL_EXPIRED表示通过输入参数claimant_cred_handle提供的信任不在有效，
所以上下文建立不能被完成。
GSS_S_BAD_BINDINGS表示一个错配（调用者提供的通道绑定和那些从input_token中取出的通
道绑定）被发现，表示一个安全相关的事件，阻止了上下文的建立。（这个结果将只被
GSS_Init_sec_context返回，因为上下文中的mutual_state是TRUE。）
GSS_S_OLD_TOKEN表示input_token对于完整性检查以过期了。这是一个在上下文建立期间严
重的错误。
GSS_S_DUPLICATE_TOKEN表示输入的标识已有一个正确的完整性检查，但是一个重复的已经被
处理。这是一个在上下文建立期间严重的错误。
GSS_S_NO_CONTEXT表示没有有效的上下文（由输入的context_handle提供）被认可；对于后
续的调用，这个major_status值GSS_S_CONTINUE_NEEDED被返回。
GSS_S_BAD_NAMETYPE表示提供的targ_name是一种应用于底层GSS-API机制不能被解释或支持
的类型，所以上下文建立过程不能被完成。
GSS_S_BAD_NAME表示提供的targ_name与内部说明类型标识符术语不一致，所以上下文建立不
能被完成。
GSS_S_BAD_MECH表示接收一个上下文建立标识或者接收一个调用者要求的机制不能被本地系统
支持或者被调用者活动的信任支持。
GSS_S_FAILURE表示上下文建立过程因为GSS-API级没有说明的原因而没有完成，并且没有
GSS-API定义的恢复行为是有效的。
这个例程被上下文发起者使用，通常发出一个（或者，对于多步交换的情况，多余一个）
output_token，以适用被目标的使用——在选定的mech_type类型的协议内。在被
claimant_cred_handle引用的信用结构中的使用信息，GSS_Init_sec_context使用目标的
trag_name初始化建立安全上下文所需要的数据结构。Trag_name可以是任何有效的INTERNAL 
NAME；他不需要是一个MN，claimant_cred_handle必须对应于相同的可用的信任结构——在最
初调用GSS_Init_sec_context和在后续的调用中——由GSS_S_CONTINUE_NEEDED状态返回导致
的；在上下文建立顺序中，不同的协议循序（被GSS_S_CONTINUE_NEEDED工具规范的）将要求
在不同方面访问信任，
参数input_context_handle是0时，说明还没有被赋值，在第一次GSS_Init_sec_context调
用关联给定的上下文时。如果成功（例如，如果被GSS_S_COMPLETE或者GSS_S_CONTINUE_NEEDED
陪伴），并且只有在成功的条件下，初始化调用GSS_Init_sec_context调用返回一个非0的
output_context_handle，以用于这个上下文的将来引用使用。一旦一个非0的
output_context_handle被返回，GSS-API调用者将调用GSS_Delete_sec_context来释放上下
文相关资源——如果在以后上下文建立过程中出错时。或者是一个已建立的上下文不在需要时。
当需要继续尝试GSS_Init_sec_context以完成上下文建立时，以前返回的非0句柄值将进入参
数input_context_handle，并且将在参数output_context_handle返回中响应。在这种继续尝
试下（并且只在继续尝试情况下），input_token值被使用，以提供从上下文的目标中返回的标
识。
参数chan_bindings被调用者使用以提供安全上下文的信息绑定，底层通讯通道的安全相关特
性（例如，地址，加密密钥）。这个文档的1.1.6节有更多的关于参数usage的讨论。
参数input_token含有从目标方接收来的信息，并且只在major_status是
GSS_S_CONTINUE_NEEDED 情况下调用GSS_Init_sec_context才有效。
建立到目标的通讯路径是调用者的责任，包括通过这条路径传送任何返回的output_token（独
立于返回的major_status值）给目标。Output_token能和第一个应用程序提供的输入信息（将
被GSS_GetMIC和GSS_Wrap使用成功建立的上下文来处理）一起被传输。
发起者可以通过输入标志请求各种上下文级的功能：deleg_req_flag要求访问权限的代表，
mutual_req_flag要求多重认证，replay_det_req_flag要求在上下文建立传递消息过程中进行
重发检测，sequence_req_flag要求顺序被执行（关于重发检测和顺序特性的更多信息，参看
1.2.3），anon_req_flag要求发起者的不能在标识（将要被传递给接收者）中传递。
不是所有的可选的要求特性对所有的底层mech_type是有效的。对应的返回状态值
deleg_state，mutual_state，replay_det_state，和sequence_state表示，作为mech_type
能力的一个处理功能，和发起者提供的输入标志，特性集合将在上下文上被激活。返回的
trans_state值表示上下文对于其他的处理进程是否是可传递的——通过使用
GSS_Export_sec_context。这些状态状态标识符的值没有被定义，除非函数返回的major_status
的值是GSS_S_COMPLETE或者随着值为GSS_S_CONTINUE_NEEDED的major_status返回的
port_ready_state值是TRUE时；对于后一种情况，其他特性可能没有被确认或者表示——随
着TRUE的port_ready_state，将在随后返回的GS