Интернет магазин китайских планшетных компьютеров



Компьютеры - GSS-API

01 июня 2011
Персональными сказками о нем, секция бокса для детей http://www.put-boksera.ru

Оглавление:
1. GSS-API
2. Связь с Kerberos
3. История



GSS-API — API для доступа к сервисам безопасности. Описано в стандарте IETF. Предназначено для решения проблемы несовместимости схожих сервисов безопасности.

Описание

GSS-API сам по себе не обеспечивает сервисов безопасности, вместо этого он обеспечивает интерфейс между приложениями и реализациями GSSAPI. Эти библиотеки обеспечивают совместимый с GSS-API интерфейс, позволяя создавать приложения, способные работать с разными библиотеками безопасности; позволяя заменять библиотеки без необходимости переписывать приложения.

Отличительной особенностью приложений, реализованных с использованием GSSAPI является использование закрытых сообщений, которые скрывают подробности реализации от вышестоящих приложений. Серверная и клиентская часть приложений создаются таким образом, чтобы взаимодействовать с помощью токенов GSSAPI. Токены обычно могут передаваться через незащищённую сеть. После обмена сторонами некоторым количеством сообщений, библиотека GSSAPI информирует обе стороны взаимодействия об установлении безопасного контекста.

После установления безопасного контекста защищаемые сообщения приложения могут быть «завёрнуты» с помощью GSSAPI для безопасной передачи между сервером и клиентом.

Типичные аспекты безопасности, обеспечиваемые библиотеками, реализующими GSSAPI:

  • конфиденциальность
  • целостность
  • подлинность обеих сторон информационного обмена

GSSAPI описывает примерно 45 вызовов. Основные:

  • GSS_Acquire_cred — получение пользовательского доказательства идентичности
  • GSS_Import_name — конвертирование имени пользователя, узла сети в форму, позволяющую определить объект безопасности
  • GSS_Init_sec_context — создаёт клиентский токен для отсылки на сервер)
  • GSS_Accept_sec_context — обрабатывает токен, созданный с помощью GSS_Init_sec_context и, возможно, возвращает токен ответа
  • GSS_Wrap — конвертирует данные приложения в форму защищённого сообщения
  • GSS_Unwrap — извлекает из защищённого сообщения данные приложения

GSSAPI был стандартизирован для языков C и Java.

К ограничениям GSSAPI можно отнести то, что он стандартизирует только аутентификацию, но не авторизацию, и что он предполагает архитектуру клиент–сервер.

Anticipating new security mechanisms, the GSSAPI includes a negotiating pseudo mechanism, SPNEGO, that can discover and use new mechanisms not present when the original application was built.



Просмотров: 2929


<<< ECHO
HMAC >>>