Capa de seguridad y autenticación simple

Marco para la autenticación y seguridad de datos en protocolos de Internet

Simple Authentication and Security Layer ( SASL ) es un marco para la autenticación y la seguridad de datos en los protocolos de Internet . Desacopla los mecanismos de autenticación de los protocolos de aplicación , lo que en teoría permite que cualquier mecanismo de autenticación compatible con SASL se utilice en cualquier protocolo de aplicación que utilice SASL. Los mecanismos de autenticación también pueden admitir la autorización de proxy , una función que permite a un usuario asumir la identidad de otro. También pueden proporcionar una capa de seguridad de datos que ofrezca servicios de integridad y confidencialidad de datos . DIGEST-MD5 proporciona un ejemplo de mecanismos que pueden proporcionar una capa de seguridad de datos. Los protocolos de aplicación que admiten SASL normalmente también admiten la seguridad de la capa de transporte (TLS) para complementar los servicios ofrecidos por SASL.

John Gardiner Myers escribió la especificación SASL original (RFC 2222) en 1997. En 2006, ese documento fue reemplazado por RFC 4422, escrito por Alexey Melnikov y Kurt D. Zeilenga. SASL, tal como se define en RFC 4422, es un protocolo de la vía estándar de la IETF y, a partir de 2006 , es un estándar propuesto .^[actualizar]

Mecanismos SASL

Un mecanismo SASL implementa una serie de desafíos y respuestas. Los mecanismos SASL definidos ^[1] incluyen:

EXTERNO

donde la autenticación está implícita en el contexto (por ejemplo, para protocolos que ya utilizan IPsec o TLS )

ANÓNIMO

para acceso de invitados no autenticados

PLANO

Un mecanismo de contraseña de texto simple y sin formato, definido en RFC 4616

OTP

Mecanismo de contraseña de un solo uso . Deja obsoleto el mecanismo SKEY.

CLAVE

un mecanismo S/KEY .

CRAM-MD5

un esquema simple de desafío-respuesta basado en HMAC-MD5 .

RESUMEN-MD5

(histórico ^[2] ) , esquema de desafío-respuesta parcialmente compatible con HTTP Digest basado en MD5. DIGEST-MD5 ofrecía una capa de seguridad de datos.

LARGARSE

(RFC 5802), mecanismo moderno basado en esquema de desafío-respuesta con soporte de enlace de canales

NTLM

Un mecanismo de autenticación de NT LAN Manager

GS2-

La familia de mecanismos admite mecanismos GSS-API arbitrarios en SASL. ^[3] Ahora está estandarizado como RFC 5801.

GSSAPI

para la autenticación Kerberos V5 a través de GSSAPI . GSSAPI ofrece una capa de seguridad de datos.

ID DE NAVEGADOR AES128

para la autenticación de Mozilla Persona ^[4]

EAP-AES128

para la autenticación GSS EAP ^[5]

Guardián de la puerta (y Pasaporte Guardián de la puerta )

Un mecanismo de desafío-respuesta desarrollado por Microsoft para MSN Chat.

PORTADOR DE LA AUTORIDAD

Tokens portadores OAuth 2.0 (RFC 6750), comunicados a través de TLS ^[6]

OAUTH10A

Tokens de código de autenticación de mensajes de OAuth 1.0a (RFC 5849, Sección 3.4.2) ^[6]

Protocolos de aplicación compatibles con SASL

Los protocolos de aplicación definen su representación de los intercambios SASL con un perfil . Un protocolo tiene un nombre de servicio como "ldap" en un registro compartido con GSSAPI y Kerberos . ^[7]

A partir de 2012, ^[actualizar]los protocolos que actualmente admiten SASL incluyen:

• Protocolo de acceso a la configuración de aplicaciones
• Protocolo avanzado de colas de mensajes (AMQP)
• Protocolo de intercambio extensible de bloques
• Protocolo de acceso a mensajes de Internet (IMAP)
• Protocolo de soporte de mensajes de Internet
• Internet Relay Chat (IRC) (con IRCX o la extensión IRCv3 SASL)
• Protocolo ligero de acceso a directorios (LDAP)
• libvirt
• ManageSieve (RFC 5804)
• almacenado en caché
• Protocolo de Correos (POP)
• Protocolo de framebuffer remoto ^[8] utilizado por VNC
• Protocolo simple de transferencia de correo (SMTP)
• Protocolo svn de subversión
• Protocolo extensible de mensajería y presencia (XMPP)

Véase también

• Seguridad de la capa de transporte (TLS)

Referencias

1. "Mecanismos de capa simple de autenticación y seguridad (SASL)". iana.org .
2. RFC 6331
3. Simon Josefsson. "Uso de mecanismos GSS-API en SASL: la familia de mecanismos GS2".
4. Luke Howard. "Un mecanismo SASL y GSS-API para el protocolo de autenticación BrowserID".
5. Sam Hartman. "Un mecanismo GSS-API para el protocolo de autenticación extensible".
6. Un conjunto de mecanismos de capa de seguridad y autenticación simple (SASL) para OAuth. IETF . Agosto de 2015. doi : 10.17487/RFC7628 . RFC 7628 . Consultado el 7 de octubre de 2016 .
7. "Nombres de servicios de interfaz de programación de aplicaciones de servicios de seguridad genéricos (GSSAPI)/Kerberos/Capa de seguridad y autenticación simple (SASL)". iana.org .
8. "Solicitud de asignación de nuevo código de tipo de seguridad para autenticación SASL". realvnc.com .

Enlaces externos

• RFC  4422 - Capa de seguridad y autenticación simple (SASL) - deja obsoleto el RFC  2222
• RFC  4505 - Mecanismo de capa de seguridad y autenticación simple (SASL) anónimo: deja obsoleto el RFC  2245
• RFC  4616 - Mecanismo de Capa de Seguridad y Autenticación Simple (SASL) PLAIN - actualiza RFC  2595
• El Grupo de trabajo SASL de la IETF, creado para revisar las especificaciones SASL existentes, así como para desarrollar una familia de mecanismos GSSAPI
• Cyrus SASL, una biblioteca SASL gratuita y portátil que proporciona seguridad genérica para diversas aplicaciones
• GNU SASL, una utilidad y biblioteca de línea de comandos SASL libre y portable, distribuida bajo la GNU GPLv3 y LGPLv2.1 , respectivamente
• Dovecot SASL, una implementación de SASL
• RFC  2831 (histórico) : uso de autenticación Digest como mecanismo SASL, obsoleto en RFC  6331
• Guía de implementación y programación de la API SASL de Java
• Cómo solucionar el error "No se encontró ningún mecanismo SASL" al enviar un correo electrónico