Простая аутентификация и уровень безопасности

Фреймворк для аутентификации и безопасности данных в интернет-протоколах

Simple Authentication and Security Layer ( SASL ) — это фреймворк для аутентификации и безопасности данных в интернет- протоколах . Он отделяет механизмы аутентификации от протоколов приложений , теоретически позволяя использовать любой механизм аутентификации, поддерживаемый SASL, в любом протоколе приложений, который использует SASL. Механизмы аутентификации также могут поддерживать прокси-авторизацию , средство, позволяющее одному пользователю предполагать личность другого. Они также могут предоставлять уровень безопасности данных , предлагая услуги по обеспечению целостности данных и конфиденциальности данных . DIGEST-MD5 представляет собой пример механизмов, которые могут предоставлять уровень безопасности данных. Протоколы приложений, поддерживающие SASL, обычно также поддерживают Transport Layer Security (TLS) для дополнения услуг, предлагаемых SASL.

Джон Гардинер Майерс написал оригинальную спецификацию SASL (RFC 2222) в 1997 году. В 2006 году этот документ был заменен RFC 4422, авторами которого являются Алексей Мельников и Курт Д. Зейленга. SASL, как определено в RFC 4422, является протоколом IETF Standard Track и по состоянию на 2006 год является предлагаемым^{[обновлять]} стандартом .

SASL-механизмы

Механизм SASL реализует ряд вызовов и ответов. Определенные механизмы SASL ^[1] включают:

ВНЕШНИЙ

где аутентификация подразумевается в контексте (например, для протоколов, уже использующих IPsec или TLS )

АНОНИМНЫЙ

для неаутентифицированного гостевого доступа

ПРОСТОЙ

простой механизм открытого пароля , определенный в RFC 4616

ОТП

механизм одноразового пароля . Устаревший механизм SKEY.

СКЕЙ

механизм S/KEY .

CRAM-MD5

простая схема «вызов-ответ» на основе HMAC-MD5 .

ДАЙДЖЕСТ-MD5

(исторический ^[2] ) , частично совместимая с HTTP Digest схема вызова-ответа, основанная на MD5. DIGEST-MD5 предлагал уровень безопасности данных.

КАТИСЬ

(RFC 5802), современный механизм на основе схемы «вызов-ответ» с поддержкой привязки каналов

НТЛМ

механизм аутентификации NT LAN Manager

GS2-

Семейство механизмов поддерживает произвольные механизмы GSS-API в SASL. ^[3] Теперь оно стандартизировано как RFC 5801.

ГССАПИ

для аутентификации Kerberos V5 через GSSAPI . GSSAPI предлагает уровень безопасности данных.

BROWSERID-AES128

для аутентификации Mozilla Persona ^[4]

EAP-AES128

для аутентификации GSS EAP ^[5]

GateKeeper (и GateKeeperPassport )

механизм «вызов-ответ», разработанный корпорацией Microsoft для чата MSN

Податель авторства

Токены-носители OAuth 2.0 (RFC 6750), передаваемые через TLS ^[6]

OAUTH10A

Токены кода аутентификации сообщений OAuth 1.0a (RFC 5849, раздел 3.4.2) ^[6]

Протоколы приложений, поддерживающие SASL

Протоколы приложений определяют свое представление обменов SASL с профилем . Протокол имеет имя службы , например "ldap", в реестре, общем с GSSAPI и Kerberos . ^[7]

По состоянию на 2012 год ^{[обновлять]}протоколы, поддерживающие SASL, включают:

• Протокол доступа к конфигурации приложения
• Расширенный протокол очереди сообщений (AMQP)
• Блокирует расширяемый протокол обмена
• Протокол доступа к сообщениям в Интернете (IMAP)
• Протокол поддержки интернет-сообщений
• Internet Relay Chat (IRC) (с расширением IRCX или IRCv3 SASL)
• Облегченный протокол доступа к каталогам (LDAP)
• libvirt
• ManageSieve (RFC 5804)
• memcached
• Почтовый протокол (POP)
• Протокол удаленного фреймбуфера ^[8], используемый VNC
• Простой протокол передачи почты (SMTP)
• Протокол Subversion svn
• Расширяемый протокол обмена сообщениями и присутствия (XMPP)

Смотрите также

• Безопасность транспортного уровня (TLS)

Ссылки

1. «Простые механизмы аутентификации и уровня безопасности (SASL)». iana.org .
2. RFC6331
3. Саймон Йозефссон. «Использование механизмов GSS-API в SASL: семейство механизмов GS2».
4. Люк Ховард. «Механизм SASL и GSS-API для протокола аутентификации BrowserID».
5. Сэм Хартман. «Механизм GSS-API для расширяемого протокола аутентификации».
6. Набор механизмов простой аутентификации и уровня безопасности (SASL) для OAuth. IETF . Август 2015 г. doi : 10.17487/RFC7628 . RFC 7628. Получено 7 октября 2016 г.
7. «Универсальный интерфейс прикладных программ служб безопасности (GSSAPI)/Kerberos/Имена служб простой аутентификации и уровня безопасности (SASL)». iana.org .
8. "Запрос на выделение нового кода типа безопасности для аутентификации SASL". realvnc.com .

Внешние ссылки

• RFC  4422 — Простой уровень аутентификации и безопасности (SASL) — отменяет RFC  2222
• RFC  4505 — Механизм анонимной простой аутентификации и уровня безопасности (SASL) — отменяет RFC  2245
• RFC  4616 — Механизм PLAIN Simple Authentication and Security Layer (SASL) — обновления RFC  2595
• Рабочая группа IETF SASL, созданная для пересмотра существующих спецификаций SASL, а также для разработки семейства механизмов GSSAPI
• Cyrus SASL — бесплатная и переносимая библиотека SASL, обеспечивающая общую безопасность для различных приложений.
• GNU SASL — бесплатная и переносимая утилита командной строки SASL и библиотека, распространяемая под лицензиями GNU GPLv3 и LGPLv2.1 соответственно.
• Dovecot SASL, реализация SASL
• RFC  2831 (исторический) — использование дайджест-аутентификации в качестве механизма SASL, устарел в RFC  6331
• Руководство по программированию и развертыванию Java SASL API
• Как исправить ошибки «Механизм SASL не найден» при отправке электронной почты