GSS-API

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 22. marraskuuta 2019 tarkistetusta versiosta . vahvistus vaatii 1 muokkauksen .

GSS-API ( GSS , GSSAPI , englanniksi Generic Security Services API , yleinen tietoturvapalveluiden ohjelmointirajapinta ) - API turvapalveluihin pääsyä varten. Kuvattu IETF - standardissa . Suunniteltu ratkaisemaan vastaavien tietoturvapalvelujen yhteensopimattomuusongelmat.

Kuvaus

GSS-API itsessään ei tarjoa tietoturvapalveluita, vaan se tarjoaa rajapinnan sovellusten ja GSSAPI-toteutusten (yleensä kirjastojen) välillä. Nämä kirjastot tarjoavat GSS-API-yhteensopivan käyttöliittymän, jonka avulla voit rakentaa sovelluksia, jotka voivat toimia erilaisten tietoturvakirjastojen kanssa. mahdollistaa kirjastojen korvaamisen ilman, että sovelluksia tarvitsee kirjoittaa uudelleen.

GSSAPI:lla toteutettujen sovellusten erottuva piirre on yksityisten viestien (tokenien) käyttö, jotka piilottavat toteutustiedot korkeamman tason sovelluksista. Sovellusten palvelin- ja asiakaspuoli on suunniteltu toimimaan vuorovaikutuksessa GSSAPI-tunnuksilla. Tokeneita voidaan yleensä siirtää suojaamattoman (julkisen) verkon kautta. Kun osapuolet (asiakas ja palvelin) ovat vaihtaneet tietyn määrän viestejä, GSSAPI-kirjasto ilmoittaa molemmille osapuolille vuorovaikutuksesta suojatun kontekstin muodostamisesta .

Kun suojattu konteksti on luotu, suojatut sovellusviestit voidaan "kääriä" (salata) GSSAPI:n avulla suojattua siirtoa palvelimen ja asiakkaan välillä.

Tyypillisiä GSSAPI:n toteuttavien kirjastojen tarjoamia turvallisuusnäkökohtia:

luottamuksellisuus
eheys
tietojenvaihdon molempien osapuolten aitous

GSSAPI kuvaa noin 45 puhelua. Pääasiallinen:

GSS_Acquire_cred - Käyttäjätodistuksen hankkiminen (useimmiten yksityinen avain, salasana)
GSS_Import_name - muuntaa käyttäjän, isännän nimen lomakkeeksi, jonka avulla voit määrittää suojausobjektin
GSS_Init_sec_context - luo asiakastunnuksen palvelimelle lähetettäväksi (yleensä haaste, haaste-vastaus (todennus) -mallissa )
GSS_Accept_sec_context – Käsittelee GSS_Init_sec_contextilla luotua merkkiä ja palauttaa valinnaisesti vastaustunnuksen
GSS_Wrap - Muuntaa sovellustiedot turvalliseksi viestilomakkeeksi (yleensä salaus)
GSS_Unwrap – poimii sovellustiedot suojatusta viestistä (yleensä salauksen purku)

GSSAPI on standardoitu C :lle ( RFC 2744 ) ja Javalle ( JSR-072 ).

GSSAPI:n rajoituksiin kuuluu, että se standardoi vain todennusta , ei valtuutusta , ja että se olettaa asiakas-palvelin- arkkitehtuurin .

Uusien suojausmekanismien syntymistä ennakoiden GSSAPI sisältää erityisen pseudomekanismin SPNEGO , joka mahdollistaa sellaisten mekanismien löytämisen ja käytön, joita ei ollut olemassa sovelluksen rakentamishetkellä.

Viestintä Kerberoksen kanssa

GSSAPI:ta käytetään usein yhdessä Kerberosin kanssa . Toisin kuin GSSAPI, Kerberos APIa ei ole standardoitu (ja yhteensopimattomia sovellusliittymiä on olemassa). GSSAPI antaa sinun käyttää erilaisia Kerberos-toteutuksia muuttamatta sovelluskoodia.

Aiheeseen liittyvät tekniikat

SÄDE
SASL
TLS
SSPI
SPNEGO

GSSAPI-perustermit

Nimi (nimi) - binäärimerkkijono, joka ilmaisee tunnisteen (käyttäjänimi, sovellus jne.). Esimerkiksi Kerberos käyttää muotoa 'user@REALM käyttäjille ja palvelu/isäntänimi@REALM sovelluksille.
Credential (identiteetti) - tieto, joka todistaa kohteen aitouden (yleensä salasana tai yksityinen avain).
Konteksti (konteksti) - viestintäkanavan tila
Token (tunnus) - läpinäkymätön (sovellukselle) viesti, joka lähetetään yhteydenmuodostusvaiheessa tai suojatun viestin lähetyksen aikana
Mekanismi – taustalla oleva GSSAPI-toteutus, joka tarjoaa todellisen nimen, identiteetin ja tunnukset. Tyypilliset mekanismit: Kerberos, NTLM , DCE , SESAME , SPKM , LIPKEY .
Aloittaja / hyväksyjä (aloittaja / vastaanottaja) - ensimmäisen merkin lähettänyt osapuoli on aloittaja ; vastakkainen puoli on vastaanottaja . Yleensä vastaanottaja on palvelin ja aloittaja on asiakas.

Historia

Heinäkuu 1991: IETF CAT (Common Authentication Technology) -työryhmä kokoontui Atlantassa John Linnin johdolla.
Syyskuu 1993: GSSAPI-versio 1 julkaistu ( RFC 1508 , RFC 1509 )
Toukokuu 1995: SSPI-toteutus julkaistiin Windows NT 3.51:n kanssa
Kesäkuu 1996: Kerberos-mekanismi GSSAPI:lle julkaistiin ( RFC 1964 )
Tammikuu 1997: GSSAPI-versio 2 ( RFC 2078 )
Lokakuu 1997: julkaistu SASL-standardi, mukaan lukien GSSAPI-mekanismi ( RFC 2222 )
Tammikuu 2000: Päivitys 1 GSSAPI-versiolle 2 ( RFC 2743 , RFC 2744 )
Elokuu 2004: KITTEN-työryhmän kokous (jatkoa CAT:lle)
Toukokuu 2006: GSSAPI:n standardoitu käyttö SSH:lle ( RFC 4462 )

Katso myös

PKCS#11

Linkit

RFC 2743 Generic Security Service API Version 2 -päivitys 1
RFC 2744 Generic Security Service API Versio 2: C-Bindings
RFC 1964 Kerberos 5 GSS-API -mekanismi
RFC 4121 Kerberos 5 GSS-API -mekanismi: versio 2
RFC 4178 Yksinkertainen ja suojattu GSS-API Negotiation Mechanism (SPNEGO)
RFC 2025 yksinkertainen julkisen avaimen GSS-API-mekanismi (SPKM)
RFC 2847 LIPKEY – matalan infrastruktuurin julkisen avaimen mekanismi, joka käyttää SPKM:ää
Kissanpentutyöryhmä — seuraavan sukupolven GSS-API
GSS-API-ohjelmointiopas – Sun Solaris 9, 2002
GSS-API:tä käyttävien sovellusten kirjoittaminen - Oracle Solaris 11.4, Tietoturvan kehittäjän opas, 2020