Jump to content

Общий программный интерфейс приложений служб безопасности

(Перенаправлено с GSSAPI )

Общий программный интерфейс службы безопасности ( GSSAPI , также GSS-API ) — это интерфейс прикладного программирования для программ, обеспечивающих доступ к службам безопасности .

GSSAPI — это стандарт IETF , который решает проблему многих похожих, но несовместимых служб безопасности, используемых с 2005 года. .

Операция

[ редактировать ]

GSSAPI сам по себе не обеспечивает никакой безопасности. Вместо этого поставщики услуг безопасности предоставляют реализации GSSAPI — обычно в виде библиотек, устанавливаемых вместе с их программным обеспечением безопасности. Эти библиотеки предоставляют GSSAPI-совместимый интерфейс для разработчиков приложений, которые могут писать свои приложения, используя только GSSAPI, не зависящий от поставщика . Если реализация безопасности когда-либо потребует замены, приложение не нужно переписывать.

Отличительной особенностью приложений GSSAPI является обмен непрозрачными сообщениями ( токенами ), которые скрывают детали реализации от приложения более высокого уровня. Клиентская и серверная части приложения написаны для передачи токенов, предоставленных им их соответствующие реализации GSSAPI. Токены GSSAPI обычно могут передаваться по незащищенной сети, поскольку механизмы обеспечивают внутреннюю безопасность сообщений. После обмена некоторым количеством токенов реализации GSSAPI на обоих концах сообщают своему локальному приложению, что контекст безопасности установлен.

После установления контекста безопасности конфиденциальные сообщения приложений могут быть упакованы (зашифрованы) с помощью GSSAPI для безопасной связи между клиентом и сервером. Типичные средства защиты, гарантированные оболочкой GSSAPI, включают конфиденциальность (секретность) и целостность (подлинность). GSSAPI также может предоставлять локальные гарантии личности удаленного пользователя или удаленного хоста.

GSSAPI описывает около 45 вызовов процедур. К значимым из них относятся:

GSS_Acquire_cred
Получает удостоверение личности пользователя, часто секретный криптографический ключ.
GSS_Импорт_имя
Преобразует имя пользователя или имя хоста в форму, идентифицирующую объект безопасности.
GSS_Init_sec_context
Генерирует клиентский токен для отправки на сервер, обычно это сложная задача.
GSS_Accept_sec_context
Обрабатывает токен из GSS_Init_sec_context и может генерировать токен ответа для возврата.
GSS_Wrap
Преобразует данные приложения в токен безопасного сообщения (обычно зашифрованного).
GSS_Unwrap
Преобразует токен безопасного сообщения обратно в данные приложения.

GSSAPI стандартизирован для языка C (RFC 2744). Java реализует GSSAPI [1] как JGSS, [2] программный интерфейс Java Generic Security Services. [3]

Некоторые ограничения GSSAPI:

  1. стандартизация только аутентификации , а не авторизации ;
  2. предполагая архитектуру клиент-сервер .

Предвидя новые механизмы безопасности, GSSAPI включает в себя псевдомеханизм согласования , который SPNEGO может обнаруживать и использовать новые механизмы, отсутствовавшие при создании исходного приложения.

Связь с Керберосом

[ редактировать ]

Доминирующей реализацией механизма GSSAPI является Kerberos . В отличие от GSSAPI, API Kerberos не стандартизирован. и различные существующие реализации используют несовместимые API. GSSAPI позволяет реализациям Kerberos быть совместимыми с API.

[ редактировать ]

Ключевые понятия

[ редактировать ]
Имя
Двоичная строка, обозначающая субъекта безопасности (т. е. пользователя или служебную программу) — см. раздел «Управление доступом и идентификация» . Например, Kerberos использует такие имена, как user@REALM для пользователей и service/hostname@REALM для программ.
Реквизиты для входа
Информация, удостоверяющая личность; используется сущностью в качестве именованного принципала. Учетные данные обычно включают секретный криптографический ключ.
Контекст
Состояние одного конца протокола аутентификации/аутентификации . Может предоставлять услуги защиты сообщений, которые можно использовать для создания безопасного канала .
Токены
Непрозрачные сообщения, которыми обмениваются либо как часть исходного протокола аутентификации (токены контекстного уровня), либо как часть защищенной связи (токены для каждого сообщения).
Механизм
Базовая реализация GSSAPI, которая предоставляет фактические имена, токены и учетные данные. Известные механизмы включают Kerberos , NTLM , Distributed Computing Environment (DCE), SESAME, SPKM , LIPKEY.
Инициатор/акцептор
Узел, отправляющий первый токен, является инициатором; другой — акцептор. Обычно клиентская программа является инициатором, а сервер — акцептором.
  • Июль 1991 г.: Рабочая группа IETF по общей технологии аутентификации (CAT) встречается в Атланте под руководством Джона Линна.
  • Сентябрь 1993 г.: версия 1 GSSAPI (RFC 1508, RFC 1509).
  • Май 1995 г.: выпущена Windows NT 3.51, включая SSPI.
  • Июнь 1996 г.: механизм Kerberos для GSSAPI (RFC 1964).
  • Январь 1997 г.: GSSAPI версия 2 (RFC 2078).
  • Октябрь 1997 г.: опубликован SASL, включая механизм GSSAPI (RFC 2222).
  • Январь 2000 г.: обновление 1 GSSAPI версии 2 (RFC 2743, RFC 2744).
  • Август 2004 г.: Рабочая группа KITTEN встречается для продолжения деятельности CAT.
  • Май 2006 г.: стандартизировано использование Secure Shell GSSAPI (RFC 4462).

См. также

[ редактировать ]
  1. ^ «JSR-000072 Спецификация API общих служб безопасности 0.1» . 15 июня 2001 г. Проверено 7 октября 2015 г.
  2. ^ Шенефельд, Марк (2010). Рефакторинг антипаттернов безопасности в распределенных компонентах Java . Сочинения факультета бизнес-информатики и прикладной информатики Бамбергского университета Отто Фридриха. Том 5. Издательство Бамбергского университета. п. 179. ИСБН  9783923507689 . Проверено 7 октября 2015 г. JGSS — это JAVA-реализация GSSAPI.
  3. ^ Фишер, Марина; Шарма, Сону; Лай, Рэй; Морони, Лоуренс (2006). Взаимодействие Java EE и .NET: стратегии, шаблоны и лучшие практики интеграции . Прентис Холл Профессионал. ISBN  9780132715706 . Проверено 7 октября 2015 г. API-интерфейс прикладного программного интерфейса Java Generic Security Services (JGSS) для единообразного доступа к службам безопасности на основе различных базовых механизмов безопасности, включая Kerberos, которые являются строительными блоками для единого входа и шифрования данных.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: ee5696206d00e7143303a6f8078eca97__1701774300
URL1:https://arc.ask3.ru/arc/aa/ee/97/ee5696206d00e7143303a6f8078eca97.html
Заголовок, (Title) документа по адресу, URL1:
Generic Security Services Application Program Interface - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)