Obecné rozhraní aplikačního programu služby zabezpečení - Generic Security Services Application Program Interface

The Obecné rozhraní aplikačního programu služby zabezpečení (GSSAPI, taky GSS-API) je aplikační programovací rozhraní pro přístup programů bezpečnostní služby.

GSSAPI je IETF standard, který řeší problém mnoha podobných, ale nekompatibilních bezpečnostních služeb používaných v současnosti.

Úkon

GSSAPI samo o sobě neposkytuje žádné zabezpečení. Místo toho poskytovatelé bezpečnostních služeb poskytují GSSAPI implementace - obvykle ve formě knihovny nainstalovány s jejich bezpečnostním softwarem. Tyto knihovny představují rozhraní kompatibilní s GSSAPI pro autory aplikací, kteří mohou psát svou aplikaci pouze pro použití nezávislý na prodejci GSSAPI. Pokud je někdy nutné implementaci zabezpečení nahradit, nemusí být aplikace přepsána.

Definitivní vlastností aplikací GSSAPI je výměna neprůhledných zpráv (žetony), které skryjí podrobnosti implementace z aplikace vyšší úrovně. Klientská a serverová strana aplikace jsou napsány tak, aby zprostředkovávaly tokeny, které jim byly dány jejich příslušnými implementacemi GSSAPI. Tokeny GSSAPI mohou obvykle cestovat přes nezabezpečenou síť, protože mechanismy poskytují inherentní zprávu security.After the exchange of some number of tokens, the GSSAPI implementations at both ends inform their local application that a bezpečnostní kontext Je založena.

Jakmile je vytvořen kontext zabezpečení, mohou být citlivé aplikační zprávy zabaleny (šifrovány) GSSAPI pro zabezpečenou komunikaci mezi klientem a serverem. Typická ochrana zaručená GSSAPI zabalením zahrnuje důvěrnost (tajemství) a integrita (pravost). GSSAPI může také poskytovat místní záruky totožnosti vzdáleného uživatele nebo vzdáleného hostitele.

GSSAPI popisuje asi 45 volání procedur. Mezi významné patří:

GSS_Acquire_cred
Získává důkaz identity uživatele, často tajný kryptografický klíč
GSS_Import_name
Převede uživatelské jméno nebo název hostitele do formuláře, který identifikuje entitu zabezpečení
GSS_Init_sec_context
Vygeneruje token klienta, který se odešle na server, obvykle výzva
GSS_Accept_sec_context
Zpracovává token z GSS_Init_sec_context a může vygenerovat token odpovědi, který se má vrátit
GSS_Wrap
Převádí data aplikace na token zabezpečené zprávy (obvykle šifrovaný)
GSS_Unwrap
Převede token zabezpečené zprávy zpět na data aplikace

GSSAPI je standardizováno pro C (RFC 2744 ) Jazyk. Jáva implementuje GSSAPI[1]jako JGSS,[2]rozhraní aplikačního programu Java Generic Security Services.[3]

Některá omezení GSSAPI jsou:

  1. pouze standardizace ověřování, raději ne oprávnění také;
  2. za předpokladu a klient-server architektura.

Předvídání nových bezpečnostních mechanismů zahrnuje GSSAPI vyjednávání pseudo mechanismus, SPNEGO, které mohou objevovat a používat nové mechanismy, které nejsou k dispozici, když byla vytvořena původní aplikace.

Vztah ke Kerberosu

Používaná dominantní implementace mechanismu GSSAPI je Kerberos Na rozdíl od GSSAPI nebylo rozhraní Kerberos API standardizováno a různé existující implementace používají nekompatibilní rozhraní API. GSSAPI umožňuje, aby implementace Kerberos byly kompatibilní s API.

Související technologie

Klíčové koncepty

název
Binární řetězec, který označuje a jistina zabezpečení (tj. uživatelský nebo servisní program) - viz Řízení přístupu a identita. Například, Kerberos používá jména jako uživatel @ REALM pro uživatele a služba / název hostitele @ REALM pro programy.
Pověření
Informace prokazující totožnost; používá entita k výkonu funkce pojmenovaného jistiny. Pověření obvykle zahrnují tajný kryptografický klíč.
Kontext
Stav jednoho konce ověřování / ověřování protokol. Může poskytovat služby ochrany zpráv, které lze použít k vytvoření a zabezpečený kanál.
Žetony
Neprůhledné zprávy vyměňované buď jako součást počátečního ověřovacího protokolu (tokeny na úrovni kontextu), nebo jako součást chráněné komunikace (tokeny za zprávu)
Mechanismus
Základní implementace GSSAPI, která poskytuje skutečné názvy, tokeny a pověření. Známé mechanismy zahrnují Kerberos, NTLM, Distribuované výpočetní prostředí (DCE), SESAME, SPKM, LIPKEY.
Iniciátor / akceptor
Partner, který odešle první token, je iniciátor; druhý je akceptor. Klientský program je obecně iniciátorem, zatímco server je akceptorem.

Dějiny

  • Červenec 1991: V Atlantě se sešla pracovní skupina IETF Common Authentication Technology (CAT) pod vedením Johna Linna
  • Září 1993: GSSAPI verze 1 (RFC 1508, RFC 1509 )
  • Květen 1995: Vydán Windows NT 3.51, obsahuje SSPI
  • Červen 1996: Mechanismus Kerberos pro GSSAPI (RFC 1964 )
  • Leden 1997: GSSAPI verze 2 (RFC 2078 )
  • Říjen 1997: Publikováno SASL, obsahuje mechanismus GSSAPI (RFC 2222 )
  • Leden 2000: GSSAPI verze 2 aktualizace 1 (RFC 2743, RFC 2744 )
  • Srpen 2004: Setkání pracovní skupiny KITTEN s cílem pokračovat v aktivitách CAT
  • Květen 2006: Secure Shell používá standardizované GSSAPI (RFC 4462 )

Viz také

Reference

  1. ^ „Specifikace JSR-000072 Generic Security Services API 0,1“. 2001-06-15. Citováno 2015-10-07.
  2. ^ Schönefeld, Marc (2010). Refaktorování bezpečnostních vzorů v distribuovaných komponentách Java. Schriften aus der Fakultät Wirtschaftsinformatik und Angewandte Informatik der Otto-Friedrich-Universität Bamberg. 5. University of Bamberg Press. p. 179. ISBN  9783923507689. Citováno 2015-10-07. JGSS je JAVA implementace GSSAPI.
  3. ^ Fisher, Marina; Sharma, Sonu; Lai, Ray; Moroney, Laurence (2006). Interoperabilita prostředí Java EE a .NET: Integrační strategie, vzory a osvědčené postupy. Prentice Hall Professional. ISBN  9780132715706. Citováno 2015-10-07. Rozhraní JGSS (Java Generic Security Services Application Program Interface) pro jednotný přístup k bezpečnostním službám na vrcholu řady základních bezpečnostních mechanismů, včetně protokolu Kerberos, které jsou stavebními kameny pro jednotné přihlášení a šifrování dat.

externí odkazy