Simple Authentication and Security Layer, SASL (укр. Прошарок Простої Автентифікації та Безпеки) — фреймворк для надання послуг автентифікації та в орієнтованих на з'єднання протоколах за допомогою змінних механізмів. SASL надає структурований інтерфейс між протоколами та механізмами, а також протокол для убезпечення вкладеного протоколу в межах прошарку безпеки. Прошарок безпеки даних може забезпечувати цілісність даних, , проксі-авторизацію та інші послуги.
Побудова SASL дозволяє:
- новим протоколам — повторно використовувати механізми, що вже існують, без потреби переробки цих механізмів;
- протоколам, що вже існують — використовувати нові механізми без переробки протоколів.
Концептуально SASL є фреймворком, що надає абстрактний прошарок між протоколами і механізмами:
Вважається, що інтерфейси, які надаються цим абстрактним прошарком, дозволяють будь-якому протоколу використовувати будь-який механізм. Хоча цей прошарок й приховує деталі протоколів від механізмів і деталі механізмів від протоколів, проте, реалізації протоколів, в основному, знають про деталі використовуваних механізмів. Це пов'язано з тим, що різні механізми вимагають різної вихідної інформації для виконання своїх функцій: одні з них використовують автентифікацію, основану на паролях, інші використовують квитки Kerberos, сертифікати тощо. Також, для потреб авторизації, реалізації на боці сервера мають реалізувати зв'язок між автентифікаційними сутностями, які, в свою чергу, залежать від протоколу застосунку.
Для використання SASL кожен протокол, крім іншого, надає:
- метод для визначення механізму, який слід застосовувати;
- метод для обміну специфічними для механізму запитами від сервера і відповідями від клієнта;
- метод для перевірки результатів перевірки справжності.
Історія
В 1997 році під час роботи в університеті Карнегі-Мелон створив документ RFC 2222, в якому описав специфікації SASL. У 2004 році специфікації RFC 2222 були замінені новими специфікаціями RFC 4422.
Роботи над протоколом SASL відстежуються організацією IETF і, станом на 2010 рік, SASL є запропонованим стандартом.
Механізми SASL
Назви механізмів SASL представлені у вигляді рядків символів довжиною від 1 до 20 символів, що містять латинські букви в верхньому регістрі, цифри, дефіси і/або знак підкреслення.
SASL визначає наступні стандартні механізми:
Механізм | Стан | Документ / Автор | Опис |
---|---|---|---|
KERBEROS_V4 | Застарілий | RFC 2222 | Kerberos |
GSSAPI | Загальний | RFC 4752 | Механізм автентифікації для Kerberos V5 через GSS-API, який надає прошарок безпеки даних. |
SKEY | Застарілий | RFC 2444 | |
EXTERNAL | Загальний | RFC 4422 | Для випадків, коли автентифікація забезпечується неявно контекстом, наприклад, для протоколів, що вже використовують IPsec або TLS. |
CRAM-MD5 | Обмежений | RFC 2195 | Проста схема запит-відповідь (Challenge-Response Authentication Mechanism), що ґрунтується на . |
ANONYMOUS | Загальний | RFC 4505 | Для доступу неавтентифікованих відвідувачів. |
OTP | Загальний | RFC 2444 | Механізм одноразового паролю , замінив собою застарілий механізм SKEY. |
GSS-SPNEGO | Обмежений | Paul Leach | |
PLAIN | Загальний | RFC 4616 | Простий механізм передачі паролю відкритим текстом, замінив собою застарілий механізм LOGIN. |
SECURID | Загальний | RFC 2808 | |
NTLM | Обмежений | Paul Leach | Механізм автентифікації NT LAN Manager. |
NMAS_LOGIN | Обмежений | Mark G. Gayman | |
NMAS_AUTHEN | Обмежений | Mark G. Gayman | |
Застарілий | RFC 6331 | Схема запит-відповідь, сумісна з дайджестом HTTP, що ґрунтується на MD5 і надає прошарок безпеки даних. | |
9798-U-RSA-SHA1-ENC | Загальний | RFC 3163 | |
9798-M-RSA-SHA1-ENC | Загальний | RFC 3163 | |
9798-U-DSA-SHA1 | Загальний | RFC 3163 | |
9798-M-DSA-SHA1 | Загальний | RFC 3163 | |
9798-U-ECDSA-SHA1 | Загальний | RFC 3163 | |
9798-M-ECDSA-SHA1 | Загальний | RFC 3163 | |
KERBEROS_V5 | Загальний | Simon Josefsson | Kerberos |
NMAS-SAMBA-AUTH | Обмежений | Vince Brimhall | |
SCRAM-* | Загальний | RFC 5802 | |
SCRAM-SHA-1 | Загальний | RFC 5802 | |
SCRAM-SHA-1-PLUS | Загальний | RFC 5802 | |
GS2-* | Загальний | RFC 5801 | Родина механізмів GS2 підтримують довільні механізми GSS-API в SASL. |
GS2-KRB5 | Загальний | RFC 5801 | |
GS2-KRB5-PLUS | Загальний | RFC 5801 | |
SPNEGO | Не можна використовувати | RFC 5801 | |
SPNEGO-PLUS | Не можна використовувати | RFC 5801 | |
SAML20 | Загальний | RFC 6595 | |
OPENID20 | Загальний | RFC 6616 |
IANA вимагає обов'язкову реєстрацію механізмів SASL.
(також ) — механізм запит-відповідь, розроблений Microsoft для , проте не зареєстрований в IANA.
Див. також
Примітки
- [Механізми SASL]. IANA (англійською) . Архів оригіналу за 30 липня 2012. Процитовано 8 липня 2012.
Посилання
- [Механізми SASL]. IANA (англійською) . Архів оригіналу за 30 липня 2012. Процитовано 8 липня 2012.
- RFC 4422 — Simple Authentication and Security Layer (SASL) — замість RFC 2222
- RFC 4505 — Anonymous Simple Authentication and Security Layer (SASL) Mechanism — замість RFC 2245
- RFC 5801 — Using Generic Security Service Application Program Interface (GSS-API) Mechanisms in Simple Authentication and Security Layer (SASL): The GS2 Mechanism Family
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Simple Authentication and Security Layer SASL ukr Prosharok Prostoyi Avtentifikaciyi ta Bezpeki frejmvork dlya nadannya poslug avtentifikaciyi ta v oriyentovanih na z yednannya protokolah za dopomogoyu zminnih mehanizmiv SASL nadaye strukturovanij interfejs mizh protokolami ta mehanizmami a takozh protokol dlya ubezpechennya vkladenogo protokolu v mezhah prosharku bezpeki Prosharok bezpeki danih mozhe zabezpechuvati cilisnist danih proksi avtorizaciyu ta inshi poslugi Pobudova SASL dozvolyaye novim protokolam povtorno vikoristovuvati mehanizmi sho vzhe isnuyut bez potrebi pererobki cih mehanizmiv protokolam sho vzhe isnuyut vikoristovuvati novi mehanizmi bez pererobki protokoliv Konceptualno SASL ye frejmvorkom sho nadaye abstraktnij prosharok mizh protokolami i mehanizmami Abstraktnij prosharok SASL Vvazhayetsya sho interfejsi yaki nadayutsya cim abstraktnim prosharkom dozvolyayut bud yakomu protokolu vikoristovuvati bud yakij mehanizm Hocha cej prosharok j prihovuye detali protokoliv vid mehanizmiv i detali mehanizmiv vid protokoliv prote realizaciyi protokoliv v osnovnomu znayut pro detali vikoristovuvanih mehanizmiv Ce pov yazano z tim sho rizni mehanizmi vimagayut riznoyi vihidnoyi informaciyi dlya vikonannya svoyih funkcij odni z nih vikoristovuyut avtentifikaciyu osnovanu na parolyah inshi vikoristovuyut kvitki Kerberos sertifikati tosho Takozh dlya potreb avtorizaciyi realizaciyi na boci servera mayut realizuvati zv yazok mizh avtentifikacijnimi sutnostyami yaki v svoyu chergu zalezhat vid protokolu zastosunku Dlya vikoristannya SASL kozhen protokol krim inshogo nadaye metod dlya viznachennya mehanizmu yakij slid zastosovuvati metod dlya obminu specifichnimi dlya mehanizmu zapitami vid servera i vidpovidyami vid kliyenta metod dlya perevirki rezultativ perevirki spravzhnosti IstoriyaV 1997 roci pid chas roboti v universiteti Karnegi Melon stvoriv dokument RFC 2222 v yakomu opisav specifikaciyi SASL U 2004 roci specifikaciyi RFC 2222 buli zamineni novimi specifikaciyami RFC 4422 Roboti nad protokolom SASL vidstezhuyutsya organizaciyeyu IETF i stanom na 2010 rik SASL ye zaproponovanim standartom Mehanizmi SASLNazvi mehanizmiv SASL predstavleni u viglyadi ryadkiv simvoliv dovzhinoyu vid 1 do 20 simvoliv sho mistyat latinski bukvi v verhnomu registri cifri defisi i abo znak pidkreslennya SASL viznachaye nastupni standartni mehanizmi Standartni mehanizmi SASL Mehanizm Stan Dokument Avtor Opis KERBEROS V4 Zastarilij RFC 2222 Kerberos GSSAPI Zagalnij RFC 4752 Mehanizm avtentifikaciyi dlya Kerberos V5 cherez GSS API yakij nadaye prosharok bezpeki danih SKEY Zastarilij RFC 2444 EXTERNAL Zagalnij RFC 4422 Dlya vipadkiv koli avtentifikaciya zabezpechuyetsya neyavno kontekstom napriklad dlya protokoliv sho vzhe vikoristovuyut IPsec abo TLS CRAM MD5 Obmezhenij RFC 2195 Prosta shema zapit vidpovid Challenge Response Authentication Mechanism sho gruntuyetsya na ANONYMOUS Zagalnij RFC 4505 Dlya dostupu neavtentifikovanih vidviduvachiv OTP Zagalnij RFC 2444 Mehanizm odnorazovogo parolyu zaminiv soboyu zastarilij mehanizm SKEY GSS SPNEGO Obmezhenij Paul Leach PLAIN Zagalnij RFC 4616 Prostij mehanizm peredachi parolyu vidkritim tekstom zaminiv soboyu zastarilij mehanizm LOGIN SECURID Zagalnij RFC 2808 NTLM Obmezhenij Paul Leach Mehanizm avtentifikaciyi NT LAN Manager NMAS LOGIN Obmezhenij Mark G Gayman NMAS AUTHEN Obmezhenij Mark G Gayman Zastarilij RFC 6331 Shema zapit vidpovid sumisna z dajdzhestom HTTP sho gruntuyetsya na MD5 i nadaye prosharok bezpeki danih 9798 U RSA SHA1 ENC Zagalnij RFC 3163 9798 M RSA SHA1 ENC Zagalnij RFC 3163 9798 U DSA SHA1 Zagalnij RFC 3163 9798 M DSA SHA1 Zagalnij RFC 3163 9798 U ECDSA SHA1 Zagalnij RFC 3163 9798 M ECDSA SHA1 Zagalnij RFC 3163 KERBEROS V5 Zagalnij Simon Josefsson Kerberos NMAS SAMBA AUTH Obmezhenij Vince Brimhall SCRAM Zagalnij RFC 5802 SCRAM SHA 1 Zagalnij RFC 5802 SCRAM SHA 1 PLUS Zagalnij RFC 5802 GS2 Zagalnij RFC 5801 Rodina mehanizmiv GS2 pidtrimuyut dovilni mehanizmi GSS API v SASL GS2 KRB5 Zagalnij RFC 5801 GS2 KRB5 PLUS Zagalnij RFC 5801 SPNEGO Ne mozhna vikoristovuvati RFC 5801 SPNEGO PLUS Ne mozhna vikoristovuvati RFC 5801 SAML20 Zagalnij RFC 6595 OPENID20 Zagalnij RFC 6616 IANA vimagaye obov yazkovu reyestraciyu mehanizmiv SASL takozh mehanizm zapit vidpovid rozroblenij Microsoft dlya prote ne zareyestrovanij v IANA Div takozhSecure Sockets Layer SSL Transport Layer Security TLS Primitki Mehanizmi SASL IANA anglijskoyu Arhiv originalu za 30 lipnya 2012 Procitovano 8 lipnya 2012 Posilannya Mehanizmi SASL IANA anglijskoyu Arhiv originalu za 30 lipnya 2012 Procitovano 8 lipnya 2012 RFC 4422 Simple Authentication and Security Layer SASL zamist RFC 2222 RFC 4505 Anonymous Simple Authentication and Security Layer SASL Mechanism zamist RFC 2245 RFC 5801 Using Generic Security Service Application Program Interface GSS API Mechanisms in Simple Authentication and Security Layer SASL The GS2 Mechanism Family