인증 기능이 추가된 텔넷 기반 프로토콜. 간이 전자 우편 전송 프로토콜(SMTP)에 사용하는 경우 인증된 사용자만이 외부로부터 메일 서버를 통해서 메일을 보낼 수 있도록 하여 스펨 메일 중계를 방어하는 역할을 한다. 

Simple Authentication and Security Layer ( SASL )는 인터넷 프로토콜 의 인증 및 데이터 보안 을위한 프레임 워크 이다. 응용 프로그램 프로토콜에서 인증 메커니즘을 분리하는 것을 허용하고 이론적으로 SASL에서 지원하는 인증 메커니즘을 모든 응용 프로그램 프로토콜에서 사용할 수있다. 사용자가 다른 사람의 신원을 추정할 수있다 "프록시 인증"도 지원할 수있다. 데이터 일관성 / 데이터 기밀성 서비스를 제공하는 "데이터 보안 계층"도 제공할 수있다. 데이터 보안 계층을 제공하는기구의 예로는 DIGEST-MD5가있다. SASL을 지원하는 응용 프로그램 프로토콜은 Transport Layer Security (TLS)을 지원하여 SASL 제공하는 서비스를 보완하는 것이 일반적이다.

SASL은 카네기 멜론 대학 의 John Gardiner Myers가 RFC 2222 로 정리한 것이 최초이다. 이 문서는 Alexey Melnikov와 Kurt Zeilenga 편집한 RFC 4422 에서 이미 치환되어있다.

SASL은 IETF 의 인터넷 표준 의 표준화 과정에 있으며, 현재는 "표준화의 제창"단계이다.

목차

  [ 숨기기 ] 

SASL기구 편집 ]

SASL 메커니즘은 일련의 요청 및 응답 모델화된있다. 미리 정의된 SASL기구 [1] 은 다음과 같다.

  • "EXTERNAL"- 인증 흐름 속에서 암시적으로 수행됩니다 (예를 들어, IPsec 과 TLS 를 이미 사용하고있는 프로토콜).
  • "ANONYMOUS"- 인증하지 게스트가 액세스할 수.
  • "PLAIN"- 간단한 평문 의 암호 메커니즘. LOGIN 메커니즘은 PLAIN로 대체되었다.
  • "OTP"- 일회용 암호 메커니즘. OTP는 SKEY기구로 대체되었다.
  • "SKEY"- S / KEY 기구.
  • CRAM-MD5 "- HMAC-MD5를 기반으로 한 단순한 요청 - 응답 방식.
  • DIGEST-MD5 "- MD5를 기반으로하는 HTTP 다이제스트 호환 요청 - 응답 방식. 데이터 보안 계층을 제공합니다.
  • NTLM "- NT LAN Manager 인증기구.
  • GSSAPI "- GSSAPI 에 따르면 Kerberos V5 인증 데이터 보안 계층을 제공합니다.
  • GateKeeper와 GateKeeperPassport - 마이크로 소프트 가 MSN Chat 용으로 개발 요청 - 응답 메커니즘.

SASL기구로서 모든 GSSAPI 메커니즘을 지원하는 것이 예정되어있다.

SASL 지원 응용 프로그램 프로토콜 편집 ]

SASL 지원 응용 프로그램 프로토콜은 SASL 교환을 "프로필"로 정의하고있다. 또한 "ldap"와 같은 "서비스 이름"을 가지고 GSSAPI 및 Kerberos 레지스트리에서 공유 [2] . SASL을 이미 지원하고있는 프로토콜로 AMQP , BEEP , IMAP , LDAP ,IRCX , POP , SMTP , IMSP , ACAP , ManageSieve, XMPP 등이있다.

관련 항목 편집 ]

외부 링크 편집 ]

  • RFC 4422 - Simple Authentication and Security Layer (SASL) - obsoletes RFC 2222
  • RFC 4505 - Anonymous Simple Authentication and Security Layer (SASL) Mechanism - obsoletes RFC 2245
  • the IETF SASL Working Group - SASL의 개정과 GSSAPI 메커니즘을 개발하고있다.
  • CMU SASL Information
  • Cyrus SASL - 무료 및 이식성 SASL 라이브러리.
  • GNU SASL - 무료 및 이식성 SASL 유틸리티와 라이브러리. GNU GPLv3 (유틸리티)와 LGPLv2.1 (라이브러리)의 라이센스되고있다.
  • Dovecot SASL - 현재 성장하고있는 SASL 구현
  • RFC 2831 - Using Digest Authentication as a SASL Mechanism


Simple Authentication and Security Layer (SASL) is a framework for authentication and data security in Internet protocols. It decouples authentication mechanisms from application protocols, in theory allowing any authentication mechanism supported by SASL to be used in any application protocol that uses SASL. Authentication mechanisms can also support proxy authorization, a facility allowing one user to assume the identity of another. They can also provide a data security layer offering data integrity and data confidentiality services. DIGEST-MD5 provides an example of mechanisms which can provide a data-security layer. Application protocols that support SASL typically also support Transport Layer Security (TLS) to complement the services offered by SASL.

In 1997 John Gardiner Myers wrote the original SASL specification (RFC 2222) while at Carnegie Mellon University. In 2006 that document was made obsolete by RFC 4422, edited by Alexey Melnikov and Kurt Zeilenga.

SASL is an IETF Standard Track protocol and is, as of 2010, a Proposed Standard.

Contents

  [hide

[edit]SASL mechanisms

A SASL mechanism implements a series of challenges and responses. Defined SASL mechanisms[1] include:

  • "EXTERNAL", where authentication is implicit in the context (e.g., for protocols already using IPsec or TLS)
  • "ANONYMOUS", for unauthenticated guest access
  • "PLAIN", a simple cleartext password mechanism. PLAIN obsoleted the LOGIN mechanism.
  • "OTP", a one-time password mechanism. OTP obsoleted the SKEY Mechanism.
  • "SKEY", an S/KEY mechanism.
  • "CRAM-MD5", a simple challenge-response scheme based on HMAC-MD5.
  • "DIGEST-MD5", HTTP Digest compatible challenge-response scheme based upon MD5. DIGEST-MD5 offers a data security layer.
  • "NTLM", an NT LAN Manager authentication mechanism
  • "GSSAPI", for Kerberos V5 authentication via the GSSAPI. GSSAPI offers a data-security layer.
  • GateKeeper (& GateKeeperPassport), a challenge-response mechanism developed by Microsoft for MSN Chat

The GS2 family of mechanisms supports arbitrary GSS-API mechanisms in SASL.[2] It is now standardized as RFC 5801.

[edit]SASL-aware application protocols

Application protocols define their representation of SASL exchanges with a profile. A protocol has a service name such as "ldap" in a registry shared withGSSAPI and Kerberos.[3]

As of 2010 protocols currently supporting SASL include:

[edit]See also

[edit]External links

  • RFC 4422 - Simple Authentication and Security Layer (SASL) - obsoletes RFC 2222
  • RFC 4505 - Anonymous Simple Authentication and Security Layer (SASL) Mechanism - obsoletes RFC 2245
  • The IETF SASL Working Group, chartered to revise existing SASL specifications, as well as to develop a family of GSSAPI mechanisms
  • CMU SASL Information
  • Cyrus SASL, a free and portable SASL library providing generic security for various applications[4]
  • GNU SASL, a free and portable SASL command-line utility and library, distributed under the GNU GPLv3 and LGPLv2.1, respectively
  • Dovecot SASL, an SASL implementation
  • RFC 2831 - Using Digest Authentication as a SASL Mechanism
  • Java SASL API Programming and Deployment Guide

[edit]References

  1. ^ SASL mechanisms
  2. ^ Simon Josefsson. "Using GSS-API Mechanisms in SASL: The GS2 Mechanism Family".
  3. ^ GSSAPI/Kerberos/SASL Service names
  4. ^ Bartlett, Andrew (2005-04-25). "GENSEC - Designing a security subsystem" (PDF). p. 4. Retrieved 2010-03-28. "The idea of a generic security API is not new [...] to implement, by some mechanism or other, a wide variety of these protocols, including SASL, GSS-API, SPNEGO as well as the proprietary NTLMSSP [...] in the wider open source world we see individual applications introduce similar abstraction layers, or adopt the Open Source Cyrus-SASL library to provide one.






'Security > Common' 카테고리의 다른 글

Pass phrase vs. Password  (0) 2012.07.29
패스워드 암호화  (0) 2012.05.24
XSS(Cross-Site Scripting)  (0) 2012.02.29
Implicit FTPS and Explicit FTPS  (0) 2011.11.14
CISSP에서 도구  (0) 2011.11.10
Posted by linuxism
,