La capa de seguridad y autenticación simple ( SASL ) es un marco para la autenticación y la seguridad de los datos en los protocolos de Internet . Desacopla los mecanismos de autenticación de los protocolos de aplicación , lo que en teoría permite que cualquier mecanismo de autenticación compatible con SASL se utilice en cualquier protocolo de aplicación que utilice SASL. Los mecanismos de autenticación también pueden admitir la autorización de proxy , una función que permite a un usuario asumir la identidad de otro. También pueden proporcionar una capa de seguridad de datos que ofrece integridad y confidencialidad de los datos.servicios. DIGEST-MD5 proporciona un ejemplo de mecanismos que pueden proporcionar una capa de seguridad de datos. Los protocolos de aplicación que admiten SASL también suelen admitir Transport Layer Security (TLS) para complementar los servicios ofrecidos por SASL.
John Gardiner Myers escribió la especificación SASL original (RFC 2222) en 1997 mientras estaba en la Universidad Carnegie Mellon . En 2006, ese documento fue reemplazado por el RFC 4422 escrito por Alexey Melnikov y Kurt D. Zeilenga. SASL, como se define en RFC 4422 es un protocolo de seguimiento estándar de IETF y, a partir de 2006 [actualizar], es un estándar propuesto .
Mecanismos SASL
Un mecanismo SASL implementa una serie de desafíos y respuestas. Los mecanismos SASL definidos [1] incluyen:
- EXTERNO , donde la autenticación está implícita en el contexto (por ejemplo, para protocolos que ya usan IPsec o TLS )
- ANÓNIMO , para acceso de invitados no autenticado
- PLAIN , un mecanismo simple de contraseña en texto no cifrado , definido en RFC 4616
- OTP , un mecanismo de contraseña de un solo uso . Obsola el mecanismo SKEY.
- SKEY , un mecanismo S / KEY .
- CRAM-MD5 , un esquema de desafío-respuesta simple basado en HMAC-MD5 .
- DIGEST-MD5 (histórico [2] ) ,esquema de desafío-respuestaparcialmentecompatible con HTTP Digest basado en MD5. DIGEST-MD5 ofreció una capa de seguridad de datos.
- SCRAM (RFC 5802), mecanismo moderno basado en un esquema de desafío-respuesta con soporte de enlace de canal
- NTLM , un mecanismo de autenticación de NT LAN Manager
- La familia de mecanismos GS2 admite mecanismos GSS-API arbitrarios en SASL. [3] Ahora está estandarizado como RFC 5801.
- GSSAPI , para laautenticación Kerberos V5 a través de GSSAPI . GSSAPI ofrece una capa de seguridad de datos.
- BROWSERID-AES128 , para la autenticación de Mozilla Persona [4]
- EAP-AES128 , para autenticación GSS EAP [5]
- GateKeeper (& GateKeeperPassport ), un mecanismo de desafío-respuesta desarrollado por Microsoft para MSN Chat
- OAUTHBEARER ,tokens de portador de OAuth 2.0 (RFC 6750), comunicados a través de TLS [6]
- OAUTH10A ,tokens de código de autenticación de mensaje OAuth 1.0a (RFC 5849, sección 3.4.2) [6]
Protocolos de aplicación compatibles con SASL
Los protocolos de aplicación definen su representación de los intercambios SASL con un perfil . Un protocolo tiene un nombre de servicio como "ldap" en un registro compartido con GSSAPI y Kerberos . [7]
A partir de 2012[actualizar] Los protocolos que actualmente soportan SASL incluyen:
- Protocolo de acceso a la configuración de la aplicación
- Protocolo de cola de mensajes avanzado (AMQP)
- Bloquea el protocolo de intercambio extensible
- Protocolo de acceso a mensajes de Internet (IMAP)
- Protocolo de soporte de mensajes de Internet
- Internet Relay Chat (IRC) (con IRCX o la extensión IRCv3 SASL )
- Protocolo ligero de acceso a directorios (LDAP)
- libvirt
- ManageSieve (RFC 5804)
- memcached
- Protocolo de oficina postal (POP)
- Protocolo de framebuffer remoto [8] utilizado por VNC
- Protocolo simple de transferencia de correo (SMTP)
- Subversiónprotocolo svn
- Protocolo extensible de mensajería y presencia (XMPP)
Ver también
- Seguridad de la capa de transporte (TLS)
Referencias
- ^ "Mecanismos simples de autenticación y capa de seguridad (SASL)" . iana.org .
- ^ RFC 6331
- ^ Simon Josefsson. "Uso de mecanismos GSS-API en SASL: la familia de mecanismos GS2" .
- ^ Luke Howard. "Un mecanismo SASL y GSS-API para el protocolo de autenticación BrowserID" .
- ^ Sam Hartman. "Un mecanismo GSS-API para el protocolo de autenticación extensible" .
- ^ a b Un conjunto de mecanismos de capa de seguridad y autenticación simple (SASL) para OAuth . IETF . Agosto de 2015. doi : 10.17487 / RFC7628 . RFC 7628 . Consultado el 7 de octubre de 2016 .
- ^ "Interfaz de programa de aplicación de servicio de seguridad genérico (GSSAPI) / Kerberos / Nombres de servicio de capa de seguridad y autenticación simple (SASL)" . iana.org .
- ^ "Solicitud de asignación de nuevo código de tipo de seguridad para la autenticación SASL" . realvnc.com .
enlaces externos
- RFC 4422 - Capa de seguridad y autenticación simple (SASL) - obsoletos RFC 2222
- RFC 4505 - Mecanismo anónimo de autenticación simple y capa de seguridad (SASL) - obsoletos RFC 2245
- RFC 4616 - El mecanismo PLAIN Simple Authentication and Security Layer (SASL) - actualizaciones RFC 2595
- El Grupo de Trabajo IETF SASL , autorizado para revisar las especificaciones SASL existentes, así como para desarrollar una familia de mecanismos GSSAPI
- Cyrus SASL , una biblioteca SASL gratuita y portátil que proporciona seguridad genérica para diversas aplicaciones
- GNU SASL , una utilidad y biblioteca de línea de comandos SASL gratuita y portátil, distribuida bajo GNU GPLv3 y LGPLv2.1 , respectivamente
- Dovecot SASL , una implementación de SASL
- RFC 2831 (histórico) : uso de autenticación implícita como mecanismo SASL, obsoleto en RFC 6331
- Guía de implementación y programación de API SASL de Java