Jednoduché ověřování a vrstva zabezpečení - Simple Authentication and Security Layer

Jednoduché ověřování a vrstva zabezpečení (SASL) je rámec pro ověřování a bezpečnost dat v Internetu protokoly. Odděluje mechanismy autentizace od aplikační protokoly, teoreticky umožňující použití jakéhokoli ověřovacího mechanismu podporovaného SASL v jakémkoli aplikačním protokolu, který používá SASL. Mohou také podporovat ověřovací mechanismy proxy zmocnění, zařízení umožňující jednomu uživateli převzít identitu druhého. Mohou také poskytnout a vrstva zabezpečení dat nabídka integrita dat a důvěrnost údajů služby. DIGEST-MD5 poskytuje příklad mechanismů, které mohou poskytnout vrstvu zabezpečení dat. Aplikační protokoly, které podporují SASL, obvykle také podporují Zabezpečení transportní vrstvy (TLS) k doplnění služeb nabízených SASL.

John Gardiner Myers napsal původní specifikaci SASL (RFC 2222 ) v roce 1997, zatímco v Univerzita Carnegie Mellon. V roce 2006 byl tento dokument nahrazen RFC 4422 jejichž autory jsou Alexey Melnikov a Kurt D. Zeilenga. SASL, jak je definováno RFC 4422 je IETF Standardní dráha protokolu a je od roku 2006^{[Aktualizace]}, a Navrhovaný standard.

Mechanismy SASL

Mechanismus SASL implementuje řadu výzev a odpovědí. Definované mechanismy SASL^[1] zahrnout:

EXTERNÍ, kde je autentizace v kontextu implicitní (např. pro již používané protokoly IPsec nebo TLS )
ANONYMNÍ, za neověřený přístup hostů
PROSTÝ, jednoduchý jasný text Heslo mechanismus, definovaný v RFC 4616
OTP, a jednorázové heslo mechanismus. Zastaralý mechanismus SKEY.
SKEY, an S / KLÍČ mechanismus.
CRAM-MD5, jednoduché schéma reakce na výzvu založené na HMAC-MD5.
DIGEST-MD5 (historický^[2]), částečně HTTP Schéma kompatibilní s výzvou a odpovědí založené na MD5. DIGEST-MD5 nabídl vrstvu zabezpečení dat.
SCRAM (RFC 5802 ), moderní mechanismus založený na schématu výzvy a odpovědi s podporou vazby kanálu
NTLM, mechanismus ověřování NT LAN Manager
GS2- rodina mechanismů podporuje libovolné GSS-API mechanismy v SASL.^[3] Nyní je standardizován jako RFC 5801.
GSSAPI, pro Kerberos Ověřování V5 přes GSSAPI. GSSAPI nabízí vrstvu zabezpečení dat.
BROWSERID-AES128, pro Mozilla Persona ověřování^[4]
EAP-AES128, pro ověřování GSS EAP^[5]
Vrátný (& GateKeeperPassport ), mechanismus reakce na výzvu vyvinutý společností Microsoft pro Chat MSN
OAUTHBEARER, OAuth 2.0 nosné žetony (RFC 6750 ), komunikováno prostřednictvím TLS^[6]
OAUTH10A, OAuth 1.0a tokeny ověřovacího kódu zprávy (RFC 5849, Oddíl 3.4.2)^[6]

Aplikační protokoly s vědomím SASL

Aplikační protokoly definují jejich zastoupení výměn SASL s a profil. Protokol má a Název služby například „ldap“ v registru sdíleném s GSSAPI a Kerberos.^[7]

Od roku 2012^{[Aktualizace]} protokoly aktuálně podporující SASL zahrnují:

Konfigurace aplikace Přístupový protokol
Pokročilý protokol front (AMQP)
Blokuje Extensible Exchange Protocol
Protokol pro přístup k internetovým zprávám (IMAP)
Protokol podpory internetových zpráv
Internet Relay Chat (IRC) (s IRCX nebo Rozšíření IRCv3 SASL )
Lightweight Directory Access Protocol (LDAP)
libvirt
Spravovat síto (RFC 5804 )
memcached
Post Office Protocol (POP)
Vzdálený protokol framebufferu^[8] používá VNC
Protokol jednoduchého přenosu pošty (SMTP)
Podvracení svn protokol
Extensible Messaging and Presence Protocol (XMPP)

Viz také

Zabezpečení transportní vrstvy (TLS)

Reference

externí odkazy

RFC 4422 - Simple Authentication and Security Layer (SASL) - obsoletes RFC 2222
RFC 4505 - Anonymous Simple Authentication and Security Layer Mechanism - SASL) Mechanism - zastaralé RFC 2245
RFC 4616 - Mechanismus PLAIN Simple Authentication and Security Layer (SASL) - aktualizace RFC 2595
IETF Pracovní skupina SASL, objednaný k revizi stávajících specifikací SASL, stejně jako k vývoji rodiny mechanismů GSSAPI
Cyrus SASL, bezplatná a přenosná knihovna SASL poskytující obecné zabezpečení pro různé aplikace
GNU SASL, bezplatná a přenosná utilita a knihovna příkazového řádku SASL, distribuovaná pod GNU GPLv3 a LGPLv2.1, resp
Dovecot SASL, implementace SASL
RFC 2831 (historický) - Používání ověřování digestu jako mechanismu SASL, zastaralé v RFC 6331
Java SASL API Průvodce programováním a nasazením

[1] „Mechanismy jednoduché autentizace a bezpečnostní vrstvy (SASL)“. iana.org.

[2] RFC 6331

[3] Simon Josefsson. „Používání mechanismů GSS-API v SASL: Rodina mechanismů GS2“.

[4] Luke Howard. „Mechanismus SASL a GSS-API pro ověřovací protokol BrowserID“.

[5] Sam Hartman. „Mechanismus GSS-API pro protokol Extensible Authentication Protocol“.

[rfc7628-6] A ^b Sada mechanismů jednoduchého ověřování a vrstvy zabezpečení (SASL) pro OAuth. IETF. Srpna 2015. doi:10.17487 / RFC7628. RFC 7628. Citováno 7. října 2016.

[7] „Názvy služeb Generic Security Service Application Program Interface (GSSAPI) / Kerberos / Simple Authentication and Security Layer (SASL)“. iana.org.

[8] "Žádost o přidělení nového kódu typu zabezpečení pro SASL auth". realvnc.com.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Ověření
Ověřovací API	Ověření BSD (BSD Auth) eAuthentication Obecné zabezpečení API služby (GSSAPI) Služba Java Authentication and Authorization Service (JAAS) Zásuvné ověřovací moduly (PAM) Jednoduché ověřování a vrstva zabezpečení (SASL) Rozhraní poskytovatele podpory zabezpečení (SSPI) XCert Universal Database API (XUDA)
Ověřovací protokol	ACF2 AKA Ověřování na základě CAVE Protokol autentizace Challenge-Handshake (CHAP) MS-CHAP Centrální ověřovací služba (CAS) CRAM-MD5 Průměr Extensible Authentication Protocol (EAP) Protokol identity hostitele (BOKY) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Dohoda s klíčem ověřeným heslem protokoly Protokol pro ověření hesla (PAP) Protected Extensible Authentication Protocol (PEAP) Dial Access Dial In User Service (POLOMĚR) Zařízení pro řízení přístupu ke zdrojům (RACF) Zabezpečený protokol vzdáleného hesla (SRP) TACACY Woo – Lam
Kategorie Commons