Уровень простой аутентификации и безопасности - Simple Authentication and Security Layer

Уровень простой аутентификации и безопасности ( SASL ) - это структура для аутентификации и безопасности данных в интернет- протоколах . Он отделяет механизмы аутентификации от протоколов приложений , теоретически позволяя использовать любой механизм аутентификации, поддерживаемый SASL, в любом протоколе приложения, использующем SASL. Механизмы аутентификации также могут поддерживать авторизацию через прокси - средство, позволяющее одному пользователю принять личность другого. Они также могут обеспечить уровень безопасности данных, предлагая услуги по обеспечению целостности и конфиденциальности данных. DIGEST-MD5 предоставляет пример механизмов, которые могут обеспечить уровень безопасности данных. Протоколы приложений, поддерживающие SASL, обычно также поддерживают безопасность транспортного уровня (TLS) в дополнение к услугам, предлагаемым SASL.

Джон Гардинер Майерс написал исходную спецификацию SASL (RFC 2222) в 1997 году, работая в Университете Карнеги-Меллона . В 2006 году этот документ был заменен RFC 4422 за авторством Алексея Мельникова и Курта Д. Зейленги. SASL, как определено в RFC 4422, является стандартным протоколом отслеживания IETF и с 2006 г. является предлагаемым стандартом .

Механизмы SASL

Механизм SASL реализует серию вызовов и ответов. Определенные механизмы SASL включают:

  • ВНЕШНИЙ , где аутентификация подразумевается в контексте (например, для протоколов, уже использующих IPsec или TLS )
  • АНОНИМНЫЙ , для гостевого доступа без аутентификации
  • PLAIN , простой механизм пароля с открытым текстом , определенный в RFC 4616
  • OTP , механизм одноразового пароля . Устаревший механизм SKEY.
  • SKEY , механизм S / KEY .
  • CRAM-MD5 , простая схема запрос-ответ, основанная на HMAC-MD5 .
  • DIGEST-MD5 (исторический) , частично совместимая с HTTP Digest схема запрос-ответ, основанная на MD5. DIGEST-MD5 предлагает уровень защиты данных.
  • SCRAM (RFC 5802), современный механизм на основе схемы запрос-ответ с поддержкой привязки канала
  • NTLM , механизм аутентификации NT LAN Manager
  • Семейство механизмов GS2 поддерживает произвольные механизмы GSS-API в SASL. Сейчас он стандартизирован как RFC 5801.
  • GSSAPI для аутентификации Kerberos V5 через GSSAPI . GSSAPI предлагает уровень безопасности данных.
  • BROWSERID-AES128 , для аутентификации Mozilla Persona
  • EAP-AES128 , для аутентификации GSS EAP
  • GateKeeper (& GateKeeperPassport ), механизм запрос-ответ, разработанный Microsoft для MSN Chat.
  • OAUTHBEARER , токены носителя OAuth 2.0 (RFC 6750), передаваемые через TLS
  • OAUTH10A , токены кода аутентификации сообщения OAuth 1.0a (RFC 5849, раздел 3.4.2)

Протоколы приложений с поддержкой SASL

Протоколы приложений определяют свое представление обменов SASL с помощью профиля . Протокол имеет имя службы, например ldap, в реестре, совместно используемом с GSSAPI и Kerberos .

По состоянию на 2012 год протоколы, поддерживающие SASL, включают:

Смотрите также

Рекомендации

Внешние ссылки

  • RFC   4422 - Simple Authentication and Security Layer (SASL) - отменяет RFC   2222
  • RFC   4505 - механизм анонимной простой аутентификации и уровня безопасности (SASL) - отменяет RFC   2245
  • RFC   4616 - механизм уровня простой аутентификации и безопасности (SASL) PLAIN - обновляет RFC   2595
  • Рабочая группа IETF SASL , уполномоченная пересмотреть существующие спецификации SASL, а также разработать семейство механизмов GSSAPI.
  • Cyrus SASL , бесплатная и портативная библиотека SASL, обеспечивающая общую безопасность для различных приложений.
  • GNU SASL , бесплатная и переносимая утилита и библиотека командной строки SASL, распространяемая под GNU GPLv3 и LGPLv2.1 соответственно.
  • Dovecot SASL , реализация SASL
  • RFC   2831 (исторический) - использование дайджест-аутентификации в качестве механизма SASL, устарело в RFC   6331
  • Руководство по программированию и развертыванию Java SASL API