Стандартный прикладной программный интерфейс служб безопасности - Generic Security Services Application Program Interface

В Универсальный программный интерфейс приложения службы безопасности (GSSAPI, также GSS-API) является интерфейс прикладного программирования для программ для доступа безопасность Сервисы.

GSSAPI - это IETF стандарт, который решает проблему множества похожих, но несовместимых служб безопасности, используемых сегодня.

Операция

GSSAPI сам по себе не обеспечивает никакой безопасности. Вместо этого поставщики услуг безопасности предоставляют GSSAPI реализации - обычно в виде библиотеки установлены вместе с их программным обеспечением безопасности. Эти библиотеки представляют GSSAPI-совместимый интерфейс для разработчиков приложений, которые могут написать свое приложение для использования только независимый от поставщика GSSAPI. Если реализация защиты когда-либо нуждается в замене, приложение не нужно переписывать.

Отличительной особенностью приложений GSSAPI является обмен непрозрачными сообщениями (жетоны), которые скрывают детали реализации от высокоуровневого приложения. Клиентская и серверная стороны приложения написаны для передачи токенов, предоставленных им их соответствующими реализациями GSSAPI. Токены GSSAPI обычно могут перемещаться по небезопасной сети, поскольку механизмы предоставляют внутреннее сообщение После обмена некоторым количеством токенов реализации GSSAPI на обоих концах сообщают своему локальному приложению, что контекст безопасности Установлено.

После установления контекста безопасности конфиденциальные сообщения приложений могут быть упакованы (зашифрованы) с помощью GSSAPI для безопасной связи между клиентом и сервером. Типичные меры защиты, гарантируемые упаковкой GSSAPI, включают конфиденциальность (секретность) и честность (подлинность). GSSAPI также может предоставлять локальные гарантии идентификации удаленного пользователя или удаленного хоста.

GSSAPI описывает около 45 вызовов процедур. К значимым относятся:

GSS_Acquire_cred
Получает подтверждение личности пользователя, часто секретный криптографический ключ
GSS_Import_name
Преобразует имя пользователя или имя хоста в форму, которая идентифицирует объект безопасности
GSS_Init_sec_context
Генерирует токен клиента для отправки на сервер, обычно это проблема
GSS_Accept_sec_context
Обрабатывает токен из GSS_Init_sec_context и может генерировать токен ответа для возврата
GSS_Wrap
Преобразует данные приложения в токен безопасного сообщения (обычно зашифрованный)
GSS_Unwrap
Преобразует токен защищенного сообщения обратно в данные приложения

GSSAPI стандартизирован для C (RFC 2744 ) язык. Ява реализует GSSAPI[1]как JGSS,[2]прикладной программный интерфейс Java Generic Security Services.[3]

Некоторые ограничения GSSAPI:

  1. только стандартизация аутентификация, а не разрешение тоже;
  2. предполагая клиент – сервер архитектура.

Предвидя новые механизмы безопасности, GSSAPI включает в себя псевдомеханизм, СПНЕГО, который может обнаруживать и использовать новые механизмы, отсутствующие при создании исходного приложения.

Отношение к Kerberos

Основная используемая реализация механизма GSSAPI: Kerberos В отличие от GSSAPI, Kerberos API не стандартизирован, и различные существующие реализации используют несовместимые API. GSSAPI позволяет реализациям Kerberos быть совместимыми с API.

Связанные технологии

Ключевые идеи

Имя
Двоичная строка, обозначающая участник безопасности (т.е. пользовательская или сервисная программа) - см. контроль доступа и личность. Например, Kerberos использует такие имена, как пользователь @ REALM для пользователей и служба / имя хоста @ REALM для программ.
Реквизиты для входа
Информация, удостоверяющая личность; используется организацией, чтобы действовать как названный принципал. Учетные данные обычно включают секретный криптографический ключ.
Контекст
Состояние одного конца аутентифицируемого / аутентифицированного протокол. Может предоставлять услуги защиты сообщений, которые можно использовать для составления безопасный канал.
Токены
Непрозрачные сообщения, которыми обмениваются либо как часть исходного протокола аутентификации (токены уровня контекста), либо как часть защищенного обмена данными (токены каждого сообщения)
Механизм
Базовая реализация GSSAPI, которая предоставляет фактические имена, токены и учетные данные. Известные механизмы включают Kerberos, NTLM, Распределенная вычислительная среда (DCE), СЕЗАМ, СПКМ, ЛИПКЕЙ.
Инициатор / акцептор
Одноранговый узел, который отправляет первый токен, является инициатором; другой - акцептор. Как правило, клиентская программа является инициатором, а сервер - приемником.

История

  • Июль 1991: Встреча рабочей группы IETF Common Authentication Technology (CAT) в Атланте под руководством Джона Линна.
  • Сентябрь 1993 г ​​.: GSSAPI версии 1 (RFC 1508, RFC 1509 )
  • Май 1995: выпущена Windows NT 3.51, включает SSPI
  • Июнь 1996: механизм Kerberos для GSSAPI (RFC 1964 )
  • Январь 1997: GSSAPI версии 2 (RFC 2078 )
  • Октябрь 1997: опубликован протокол SASL, включающий механизм GSSAPI (RFC 2222 )
  • Январь 2000 г .: GSSAPI версии 2, обновление 1 (RFC 2743, RFC 2744 )
  • Август 2004: рабочая группа KITTEN собирается для продолжения работы CAT.
  • Май 2006 г .: Secure Shell использует стандартизированный GSSAPI (RFC 4462 )

Смотрите также

Рекомендации

  1. ^ "JSR-000072 Общая спецификация API служб безопасности 0.1". 2001-06-15. Получено 2015-10-07.
  2. ^ Шенефельд, Марк (2010). Рефакторинг антипаттернов безопасности в распределенных компонентах Java. Schriften aus der Fakultät Wirtschaftsinformatik und Angewandte Informatik der Otto-Friedrich-Universität Bamberg. 5. Университет Бамберга Press. п. 179. ISBN  9783923507689. Получено 2015-10-07. JGSS - это реализация GSSAPI на языке JAVA.
  3. ^ Фишер, Марина; Шарма, Сону; Лай, Рэй; Морони, Лоуренс (2006). Совместимость Java EE и .NET: стратегии, шаблоны и передовые практики интеграции. Prentice Hall Professional. ISBN  9780132715706. Получено 2015-10-07. API Java Generic Security Services Application Program Interface (JGSS) для единообразного доступа к службам безопасности на основе различных базовых механизмов безопасности, включая Kerberos, которые являются строительными блоками для единой регистрации и шифрования данных.

внешняя ссылка