Уровень простой аутентификации и безопасности ( SASL ) - это структура для аутентификации и безопасности данных в интернет- протоколах . Он отделяет механизмы аутентификации от протоколов приложений , теоретически позволяя использовать любой механизм аутентификации, поддерживаемый SASL, в любом протоколе приложения, использующем SASL. Механизмы аутентификации также могут поддерживать авторизацию через прокси - средство, позволяющее одному пользователю принять личность другого. Кроме того, они могут обеспечить уровень защиты данных подношения целостности данных и конфиденциальность данныхСервисы. DIGEST-MD5 предоставляет пример механизмов, которые могут обеспечить уровень безопасности данных. Протоколы приложений, поддерживающие SASL, обычно также поддерживают безопасность транспортного уровня (TLS) в дополнение к услугам, предлагаемым SASL.
Джон Гардинер Майерс написал оригинальную спецификацию SASL (RFC 2222) в 1997 году, работая в Университете Карнеги-Меллона . В 2006 году этот документ был заменен RFC 4422 за авторством Алексея Мельникова и Курта Д. Зейленги. SASL, как определено в RFC 4422, является стандартным протоколом отслеживания IETF и с 2006 г. является предлагаемым стандартом .[Обновить]
Механизмы SASL [ править ]
Механизм SASL реализует серию вызовов и ответов. Определенные механизмы SASL [1] включают:
- ВНЕШНИЙ , где аутентификация подразумевается в контексте (например, для протоколов, уже использующих IPsec или TLS )
- АНОНИМНЫЙ , для гостевого доступа без аутентификации
- PLAIN , простой механизм пароля с открытым текстом , определенный в RFC 4616
- OTP , механизм одноразового пароля . Устаревший механизм SKEY.
- SKEY , механизм S / KEY .
- CRAM-MD5 , простая схема запрос-ответ, основанная на HMAC-MD5 .
- DIGEST-MD5 (исторический [2] ) , частичносовместимая с HTTP Digest схема запрос-ответ, основанная на MD5. DIGEST-MD5 предлагает уровень защиты данных.
- SCRAM (RFC 5802), современный механизм на основе схемы запрос-ответ с поддержкой привязки канала
- NTLM , механизм аутентификации NT LAN Manager
- Семейство механизмов GS2 поддерживает произвольные механизмы GSS-API в SASL. [3] Теперь он стандартизирован как RFC 5801.
- GSSAPI дляаутентификации Kerberos V5 через GSSAPI . GSSAPI предлагает уровень безопасности данных.
- BROWSERID-AES128 , для аутентификации Mozilla Persona [4]
- EAP-AES128 , для аутентификации GSS EAP [5]
- GateKeeper (& GateKeeperPassport ), механизм запрос-ответ, разработанный Microsoft для MSN Chat.
- OAUTHBEARER ,токены носителя OAuth 2.0 (RFC 6750), передаваемые через TLS [6]
- OAUTH10A ,токены кода аутентификации сообщения OAuth 1.0a (RFC 5849, раздел 3.4.2) [6]
Протоколы приложений с поддержкой SASL [ править ]
Протоколы приложений определяют свое представление обменов SASL с помощью профиля . Протокол имеет имя службы, например ldap, в реестре, совместно используемом с GSSAPI и Kerberos . [7]
По состоянию на 2012 год [Обновить]протоколы, поддерживающие SASL, включают:
- Протокол доступа к конфигурации приложения
- Расширенный протокол очереди сообщений (AMQP)
- Блокирует расширяемый протокол обмена
- Протокол доступа к сообщениям в Интернете (IMAP)
- Протокол поддержки интернет-сообщений
- Internet Relay Chat (IRC) (с расширением IRCX или IRCv3 SASL )
- Облегченный протокол доступа к каталогам (LDAP)
- libvirt
- ManageSieve (RFC 5804)
- memcached
- Почтовый протокол (POP)
- Протокол удаленного фреймбуфера [8], используемый VNC
- Простой протокол передачи почты (SMTP)
- Subversion svn протокол
- Расширяемый протокол обмена сообщениями и присутствием (XMPP)
См. Также [ править ]
- Безопасность транспортного уровня (TLS)
Ссылки [ править ]
- ^ «Простые механизмы аутентификации и безопасности (SASL)» . iana.org .
- ^ RFC 6331
- ^ Саймон Йозефссон. «Использование механизмов GSS-API в SASL: семейство механизмов GS2» .
- ↑ Люк Ховард. «Механизм SASL и GSS-API для протокола аутентификации BrowserID» .
- ^ Сэм Хартман. «Механизм GSS-API для расширяемого протокола аутентификации» .
- ^ a b Набор механизмов простой аутентификации и уровня безопасности (SASL) для OAuth . IETF . Август 2015 г. doi : 10.17487 / RFC7628 . RFC 7628 . Проверено 7 октября, 2016 . CS1 maint: обескураженный параметр ( ссылка )
- ^ «Общий программный интерфейс приложения службы безопасности (GSSAPI) / Kerberos / Имена служб простого уровня проверки подлинности и безопасности (SASL)» . iana.org .
- ^ "Запрос на выделение нового кода типа безопасности для аутентификации SASL" . realvnc.com .
Внешние ссылки [ править ]
- RFC 4422 - Simple Authentication and Security Layer (SASL) - отменяет RFC 2222
- RFC 4505 - механизм анонимной простой аутентификации и уровня безопасности (SASL) - отменяет RFC 2245
- RFC 4616 - механизм уровня простой аутентификации и безопасности (SASL) PLAIN - обновляет RFC 2595
- Рабочая группа IETF SASL , уполномоченная пересмотреть существующие спецификации SASL, а также разработать семейство механизмов GSSAPI.
- Cyrus SASL , бесплатная и портативная библиотека SASL, обеспечивающая общую безопасность для различных приложений.
- GNU SASL , бесплатная и переносимая утилита и библиотека командной строки SASL, распространяемая под GNU GPLv3 и LGPLv2.1 соответственно.
- Dovecot SASL , реализация SASL
- RFC 2831 (исторический) - использование дайджест-аутентификации в качестве механизма SASL, устарело в RFC 6331
- Руководство по программированию и развертыванию Java SASL API