Уровень простой аутентификации и безопасности

Уровень простой аутентификации и безопасности ( SASL ) - это структура для аутентификации и безопасности данных в интернет- протоколах . Он отделяет механизмы аутентификации от протоколов приложений , теоретически позволяя использовать любой механизм аутентификации, поддерживаемый SASL, в любом протоколе приложения, использующем SASL. Механизмы аутентификации также могут поддерживать авторизацию через прокси - средство, позволяющее одному пользователю принять личность другого. Кроме того, они могут обеспечить уровень защиты данных подношения целостности данных и конфиденциальность данныхСервисы. DIGEST-MD5 предоставляет пример механизмов, которые могут обеспечить уровень безопасности данных. Протоколы приложений, поддерживающие SASL, обычно также поддерживают безопасность транспортного уровня (TLS) в дополнение к услугам, предлагаемым SASL.

Джон Гардинер Майерс написал оригинальную спецификацию SASL (RFC 2222) в 1997 году, работая в Университете Карнеги-Меллона . В 2006 году этот документ был заменен RFC 4422 за авторством Алексея Мельникова и Курта Д. Зейленги. SASL, как определено в RFC 4422, является стандартным протоколом отслеживания IETF и с 2006 г. является предлагаемым стандартом .^{[Обновить]}

Механизмы SASL [ править ]

Механизм SASL реализует серию вызовов и ответов. Определенные механизмы SASL ^[1] включают:

ВНЕШНИЙ , где аутентификация подразумевается в контексте (например, для протоколов, уже использующих IPsec или TLS )
АНОНИМНЫЙ , для гостевого доступа без аутентификации
PLAIN , простой механизм пароля с открытым текстом , определенный в RFC 4616
OTP , механизм одноразового пароля . Устаревший механизм SKEY.
SKEY , механизм S / KEY .
CRAM-MD5 , простая схема запрос-ответ, основанная на HMAC-MD5 .
DIGEST-MD5 (исторический ^[2] ) , частичносовместимая с HTTP Digest схема запрос-ответ, основанная на MD5. DIGEST-MD5 предлагает уровень защиты данных.
SCRAM (RFC 5802), современный механизм на основе схемы запрос-ответ с поддержкой привязки канала
NTLM , механизм аутентификации NT LAN Manager
Семейство механизмов GS2 поддерживает произвольные механизмы GSS-API в SASL. ^[3] Теперь он стандартизирован как RFC 5801.
GSSAPI дляаутентификации Kerberos V5 через GSSAPI . GSSAPI предлагает уровень безопасности данных.
BROWSERID-AES128 , для аутентификации Mozilla Persona ^[4]
EAP-AES128 , для аутентификации GSS EAP ^[5]
GateKeeper (& GateKeeperPassport ), механизм запрос-ответ, разработанный Microsoft для MSN Chat.
OAUTHBEARER ,токены носителя OAuth 2.0 (RFC 6750), передаваемые через TLS^[6]
OAUTH10A ,токены кода аутентификации сообщения OAuth 1.0a (RFC 5849, раздел 3.4.2)^[6]

Протоколы приложений с поддержкой SASL [ править ]

Протоколы приложений определяют свое представление обменов SASL с помощью профиля . Протокол имеет имя службы, например ldap, в реестре, совместно используемом с GSSAPI и Kerberos . ^[7]

По состоянию на 2012 год ^{[Обновить]}протоколы, поддерживающие SASL, включают:

Протокол доступа к конфигурации приложения
Расширенный протокол очереди сообщений (AMQP)
Блокирует расширяемый протокол обмена
Протокол доступа к сообщениям в Интернете (IMAP)
Протокол поддержки интернет-сообщений
Internet Relay Chat (IRC) (с расширением IRCX или IRCv3 SASL )
Облегченный протокол доступа к каталогам (LDAP)
libvirt
ManageSieve (RFC 5804)
memcached
Почтовый протокол (POP)
Протокол удаленного фреймбуфера ^[8], используемый VNC
Простой протокол передачи почты (SMTP)
Subversion svn протокол
Расширяемый протокол обмена сообщениями и присутствием (XMPP)

См. Также [ править ]

Безопасность транспортного уровня (TLS)

Ссылки [ править ]

^ «Простые механизмы аутентификации и безопасности (SASL)» . iana.org .
^ RFC 6331
^ Саймон Йозефссон. «Использование механизмов GSS-API в SASL: семейство механизмов GS2» .
↑ Люк Ховард. «Механизм SASL и GSS-API для протокола аутентификации BrowserID» .
^ Сэм Хартман. «Механизм GSS-API для расширяемого протокола аутентификации» .
^ a b Набор механизмов простой аутентификации и уровня безопасности (SASL) для OAuth . IETF . Август 2015 г. doi : 10.17487 / RFC7628 . RFC 7628 . Проверено 7 октября, 2016 . CS1 maint: обескураженный параметр ( ссылка )
^ «Общий программный интерфейс приложения службы безопасности (GSSAPI) / Kerberos / Имена служб простого уровня проверки подлинности и безопасности (SASL)» . iana.org .
^ "Запрос на выделение нового кода типа безопасности для аутентификации SASL" . realvnc.com .

Внешние ссылки [ править ]

RFC 4422 - Simple Authentication and Security Layer (SASL) - отменяет RFC 2222
RFC 4505 - механизм анонимной простой аутентификации и уровня безопасности (SASL) - отменяет RFC 2245
RFC 4616 - механизм уровня простой аутентификации и безопасности (SASL) PLAIN - обновляет RFC 2595
Рабочая группа IETF SASL , уполномоченная пересмотреть существующие спецификации SASL, а также разработать семейство механизмов GSSAPI.
Cyrus SASL , бесплатная и портативная библиотека SASL, обеспечивающая общую безопасность для различных приложений.
GNU SASL , бесплатная и переносимая утилита и библиотека командной строки SASL, распространяемая под GNU GPLv3 и LGPLv2.1 соответственно.
Dovecot SASL , реализация SASL
RFC 2831 (исторический) - использование дайджест-аутентификации в качестве механизма SASL, устарело в RFC 6331
Руководство по программированию и развертыванию Java SASL API

[1] «Простые механизмы аутентификации и безопасности (SASL)» . iana.org .

[2] RFC 6331

[3] Саймон Йозефссон. «Использование механизмов GSS-API в SASL: семейство механизмов GS2» .

[4] Люк Ховард. «Механизм SASL и GSS-API для протокола аутентификации BrowserID» .

[5] Сэм Хартман. «Механизм GSS-API для расширяемого протокола аутентификации» .

[rfc7628-6] Набор механизмов простой аутентификации и уровня безопасности (SASL) для OAuth . IETF . Август 2015 г. doi : 10.17487 / RFC7628 . RFC 7628 . Проверено 7 октября, 2016 . CS1 maint: обескураженный параметр ( ссылка )

[7] «Общий программный интерфейс приложения службы безопасности (GSSAPI) / Kerberos / Имена служб простого уровня проверки подлинности и безопасности (SASL)» . iana.org .

[8] "Запрос на выделение нового кода типа безопасности для аутентификации SASL" . realvnc.com .

[1]

vтеАутентификация
API аутентификации	Аутентификация BSD (BSD Auth) электронная аутентификация Generic Security Services API (GSSAPI) Служба аутентификации и авторизации Java (JAAS) Подключаемые модули аутентификации (PAM) Уровень простой аутентификации и безопасности (SASL) Интерфейс поставщика поддержки безопасности (SSPI) API универсальной базы данных XCert (XUDA)
Протокол аутентификации	ACF2 AKA CAVE-аутентификация Протокол аутентификации вызов-рукопожатие (CHAP) MS-CHAP Центральная служба аутентификации (CAS) CRAM-MD5 Диаметр Расширяемый протокол аутентификации (EAP) Протокол идентификации хоста (HIP) IndieAuth Kerberos LAN менеджер NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Протоколы согласования ключей с аутентификацией паролем Протокол аутентификации пароля (PAP) Защищенный протокол расширенной аутентификации (PEAP) Служба удаленного доступа для пользователей с телефонным подключением (RADIUS) Средство контроля доступа к ресурсам (RACF) Протокол защищенного удаленного пароля (SRP) TACACS Ву – Лам
Категория Commons