Анализ зарубежной нормативной базы по идентификации и аутентификации
5
cation and Security Layer — простой уровень аутентификации и без-
опасности), основанный на стандартах аутентификации субъекта [4,
5]. Рекомендации [7] являются доработкой подготовленных в 1997 г.
компанией Netscape рекомендаций RFC 2222. Механизм, описанный
в [7], обеспечивает аутентификацию субъекта с использованием сер-
тификатов формата X.509, но не обеспечивает целостность и конфи-
денциальность пользовательских данных. Он может применяться в
тех случаях, когда целостность и конфиденциальность обеспечива-
ются на уровне приложения.
В асимметричных схемах (схемах с открытым ключом) аутенти-
фицируемый субъект снабжается закрытым ключом, и затем он мо-
жет проходить аутентификацию по отношению к любому серверу,
поскольку его открытый ключ доступен во всей системе. Симмет-
ричные механизмы аутентификации (такие парольные механизмы,
как CRAM-MD5, содержащийся в RFC 2195) не имеют такого пре-
имущества, поскольку их использование требует предварительного
распространения общего секрета между сторонами аутентификации.
По сравнению с TLS описываемый механизм обладает следующими
преимуществами:
• простота. Если требуются только функции, обеспечиваемые
SASL (а не все функции, обеспечиваемые TLS), то SASL предпочти-
тельнее, поскольку он проще;
• поддержка уровней. Механизм SASL характеризуется лучшей
совместимостью с большинством протоколов, чем TLS;
• наличие прокси-серверов. В некоторых архитектурах TLS-сеансы
не связывают конечные точки приложений. В таких ситуациях для
обеспечения сквозной аутентификации может использоваться SASL;
• повышение уровня аутентификации. В некоторых приложениях
при инициировании TLS-сеанса может быть еще неизвестен требуе-
мый уровень аутентификации (анонимность, аутентификация серве-
ра, взаимная аутентификация). Механизм SASL позволяет со време-
нем повышать уровень аутентификации.
Механизм SASL предусматривает два режима аутентификации.
Односторонняя аутентификация клиента: клиент формирует элек-
тронную подпись запроса от сервера и тем самым подтверждает сер-
веру свою подлинность. Взаимная аутентификация: клиент формиру-
ет электронную подпись запроса от сервера и сервер формирует
электронную подпись отзыва от клиента. Таким образом, и клиент, и
сервер подтверждают друг другу свою подлинность.
В декабре 2001 г. был опубликован специальный выпуск NIST
[8]. Этот документ является одним из немногих системных исследо-
ваний компьютерной безопасности, основанных на рассмотрении
главных сервисов безопасности (конфиденциальности, целостности,