GSS-API GSSAPI 介绍 通用的安全机制

最新推荐文章于 2024-07-09 11:56:02 发布
最新推荐文章于 2024-07-09 11:56:02 发布
阅读量8.5k 收藏 10
点赞数 2
原文链接:https://blog.csdn.net/whatday/article/details/104427027
版权

通用安全服务应用程序接口(GSSAPI) 是为了让程序能够访问安全服务的一个应用程序接口。

使用 GSS-API,程序员在编写应用程序时,可以应用通用的安全机制。开发者不必针对任何特定的平台、安全机制、保护类型或传输协议来定制安全实现。使用 GSS-API,程序员可忽略保护网络数据方面的细节。使用 GSS-API 编写的程序在网络安全方面具有更高的可移植性。这种可移植性是通用安全服务 API 的一个特点。

GSS-API 是一个以通用方式为调用者提供安全服务的框架。许多底层机制和技术(如 Kerberos v5 或公钥技术)都支持 GSS-API 框架,如下图所示。

图 4-1 GSS-API 层

image:该图显示了应用程序和安全机制之间的 GSS-API 和协议层。

 

从广义上讲,GSS-API 主要具有以下两种功能:

  1. GSS-API 可创建一个安全上下文,应用程序可在该上下文中相互传递数据。上下文是指两个应用程序之间的信任状态。由于共享同一个上下文的应用程序可相互识别,因此可以允许在上下文存在期间进行数据传送。

  2. GSS-API 可向要传送的数据应用一种或多种类型的保护,称为安全服务GSS-API 中的安全服务介绍了安全服务。

此外,GSS-API 还可执行以下功能:

  • 转换数据

  • 检查错误

  • 授予用户特权

  • 显示信息

  • 比较标识

GSS-API 中包括许多支持函数和便利函数。

使用 GSS-API 的应用程序的可移植性

GSS-API 为应用程序提供了以下几种类型的可移植性:

  • 机制无关性。GSS-API 提供了一个用于实现安全性的通用接口。通过指定缺省的安全机制,应用程序无需了解要应用的机制以及该机制的任何详细信息。

  • 协议无关性。GSS-API 与任何通信协议或协议套件均无关。例如,GSS-API 可用于使用套接字、RCP 或 TCP/IP 的应用程序。

    RPCSEC_GSS 是用于将 GSS-API 与 RPC 顺利集成的附加层。有关更多信息,请参见使用 GSS-API 的远程过程调用

  • 平台无关性。GSS-API 与运行应用程序的操作系统的类型无关。

  • 保护质量无关性。保护质量 (Quality of Protection, QOP) 是指一种算法类型,用于加密数据或生成加密标记。通过 GSS-API,程序员可使用 GSS-API 所提供的缺省设置忽略 QOP。另一方面,应用程序可以根据需要指定 QOP。

GSS-API 中的安全服务

GSS-API 提供了三种类型的安全服务:

  • 验证-验证是 GSS-API 提供的基本安全性。验证是指对身份进行验证。如果用户通过了验证,则系统会假设其有权以该用户名进行操作。

  • 完整性-完整性是指对数据的有效性进行验证。即使数据来自有效用户,数据本身也可能会损坏或遭到破坏。完整性可确保消息与预期的一样完整(未增减任何内容)。GSS-API 提供的数据附带有一个名为消息完整性代码 (Message Integrity Code, MIC) 的加密标记。MIC 可用于证明收到的数据与发送者所传送的数据是否相同。

  • 保密性-保密性可确保拦截了消息的第三方难以阅读消息内容。验证和完整性机制都不会修改数据。如果数据由于某种原因而被拦截,则其他人可以阅读该数据。因此,可通过 GSS-API 对数据进行加密,前提是提供了支持加密的基础机制。这种数据加密称为保密性。

GSS-API 中的可用机制

当前的 GSS-API 实现可使用以下机制:Kerberos v5、Diffie-Hellman 和 SPNEGO。有关 Kerberos 实现的更多信息,请参见《系统管理指南:安全性服务》中的第 21  章 "Kerberos 服务介绍"。如果任何系统上运行了能够识别 GSS-API 的程序,则应在该系统上安装和运行 Kerberos v5。

使用 GSS-API 的远程过程调用

针对网络应用程序使用 RPC(Remote Procedure Call,远程过程调用)协议的程序员可以使用 RPCSEC_GSS 来提供安全性。RPCSEC_GSS 是位于 GSS-API 上面的一个独立层。RPCSEC_GSS 可提供 GSS-API 的所有功能,但其方式是针对 RPC 进行了调整的。实际上,RPCSC_GSS 可用于向程序员隐藏 GSS-API 的许多方面,从而使 RPC 安全性具有更强的可访问性和可移植性。有关 RPCSEC_GSS 的更多信息,请参见《ONC+ Developer’s Guide》中的"Authentication Using RPCSEC_GSS"

下图说明了 RPCSEC_GSS 层在应用程序和 GSS-API 之间的位置。

图 4-2 RPCSEC_GSS 和 GSS-API

image:该图显示了为远程过程调用提供安全性的 RPCSEC_GSS 层。

GSS-API 的限制

虽然 GSS-API 使数据保护变得很简单,但是它回避某些任务的做法并不符合 GSS-API 的一般本性。因此,GSS-API 执行以下活动:

  • 为用户或应用程序提供安全凭证。凭证必须由基础安全机制提供。GSS-API 确实允许应用程序自动或显式获取凭证。

  • 在应用程序之间传送数据。应用程序负责处理对等应用程序之间的所有数据传送,无论数据是与安全有关的数据还是明文数据。

  • 区分不同类型的传送数据。例如,GSS-API 无法识别数据包是明文数据还是经过加密的数据。

  • 指示由于异步错误而导致的状态。

  • 缺省情况下保护多进程程序的不同进程之间已发送的信息。

  • 分配要传递到 GSS-API 函数的字符串缓冲区。请参见GSS-API 中的字符串和类似数据

  • 解除分配 GSS-API 数据空间。此内存必须通过 gss_release_buffer() 和 gss_delete_name() 等函数显式解除分配。

GSS-API 的语言绑定

本文档目前仅介绍 GSS-API 的 C 语言绑定,即函数和数据类型。现已推出 Java 绑定版本的 GSS-API。Java GSS-API 包含通用安全服务应用编程接口 (Generic Security Service Application Program Interface, GSS-API) 的 Java 绑定,如 RFC 2853 中所定义。

 

whatday
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全】JAAS/GSS-API/SASL/Kerberos简介
九师兄
06-22 2475
# JAAS/GSS-API/SASL/Kerberos简介 如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。 JAAS JAAS是Java Aut...
gss java_JAVA GSSAPI 实现主要类介绍
weixin_42366200的博客
02-12 750
阅读:383包org.ietf.jgss介绍该JAVA Package提供了一个标准的框架,允许应用程序开发人员使用统一的API从各种底层安全机制(如Kerberos)中利用安全服务,如身份验证,数据完整性和数据机密性。应用程序可以通过唯一的对象标识符标识(object identifier)来选择使用的安全机制,如Kerberos v5 GSS-API机制的对象标识符为1.2.840.11355...
数据库PostrageSQL-GSSAPI 认证
逍遥云恋
11-16 748
20.6. GSSAPI 认证 GSSAPI是用于 RFC 2743 中定义的安全认证的一个工业标准协议。PostgreSQL根据 RFC 1964 支持带Kerberos认证的GSSAPIGSSAPI为支持它的系统提供自动认证(单点登录)。 认证本身是安全的,但通过数据库连接发送的数据将不被加密,除非使用SSL。当编译PostgreSQL时,GSSAPI 支持必须被启用,详见Chapter 16。 当GSSAPI使用Kerberos时, 它会使用格式为 servicename/hostname@real
升级最新版openssh-9.7p1及openssl-1.1.1h详细步骤及常见问题总结
fish332的博客
06-04 3305
近期因为openssh相继被漏洞扫描工具扫出存在漏洞,所以考虑升级操作系统中的openssh和openssl为最新版本,来避免漏洞风险。期间的升级过程及遇到的疑难问题,特此记录下来,供有需要的人参考。
go-gssapi:纯Golang GSSAPI
03-28
go-gssapi:纯Go GSS-API实现 go-gssapiGSS-API版本2规范( )的纯Golang实现。 它使用纯来获取Kerberos票证并执行加密操作。 文档 实现的功能 当前版本实现了Kerberos V5身份验证机制( )。我们计划在将来的版本中支持SPNEGO。 当前提供以下功能: 发起方(客户端)和接受方(服务器) 相互认证 消息完整性和机密性 GSS MIC和Wrap令牌 基本支持检测乱序和重复消息 以下功能当前不可用: GSS-API v1消息令牌( ) 代表团 频道绑定 平台类 当前的Unix平台。 将来将添加对Windows SSPI的支持。 项目状态 go-gssapi尚未被认为可以投入生产,并且该接口尚未被认为是稳定的。 将创建一个新的v1分支,此后我们将遵循常规的。 配置 具有GSS-API功能的Kerberos实现对于调用程序
GSSAPI(Generic Security Services Application Programming Interface)说明
多头注意力探索Now
06-20 582
通信安全认证技术
/etc/crypto-policies/back-ends/openssh.config: line 3: Bad configuration option: gssapikexalgorithms
大唐有趣的小胡.
03-23 3412
/etc/crypto-policies/back-ends/openssh.config: line 3: Bad configuration option: gssapikexalgorithms。
opensshserver.config: line 3: Bad configuration option: GSSAPIKexAlgorithms
qq_44534541的博客
04-22 1024
找到 “GSSAPIKexAlgorithms”这一行,然后注释掉 #GSSAPIKexAlgorithms vim /etc/ssh/sshd_config。
scp失败
林鹤霄
03-29 2135
/etc/crypto-policies/back-ends/openssh.config: line 3: Bad configuration option: gssapikexalgorithms /etc/crypto-policies/back-ends/openssh.config: terminating, 1 bad configuration options lost connection
gss_api.rar_gss-api
09-14
5. **互操作性(Interoperability)**:GSS-API设计的目标之一是支持多种安全机制,允许不同平台和系统的应用间进行安全通信。 `gss_api.c`文件可能包含以下内容: - 安全上下文的建立和释放函数,例如`gss_init_...
kerberos-java-gssapi:MIT Kerberos GSS-API库的Java GSS-API包装器,也可与Android NDK一起使用
05-20
MIT Kerberos GSS-API Java接口该软件包提供了围绕的Java GSS-API包装器。 该包装器通过符合GSS-API Java绑定。 该项目的主要目标之一是将GSS-API功能引入Android平台,而该项目之前的版本既没有Kerberos也没有GSS-...
集成 OpenLDAP 与 Kerberos 实现统一认证 (3):基于 SASL/GSSAPI 深度集成
Laurence的技术博客
06-07 2615
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
数字证书、ssl、sasl(GSSAPI,Kerberos)、jaas简单解释
码农崛起
01-22 2530
数字证书: 由CA(大家都信赖的第三方机构)派发,内容包括: (1).Common Name(证书所有人姓名,简称CN,其实就是证书的名字)    (2).Version(版本,现在一般是V3了)    (3).Issuer(发证机关)    (4).Validity(有效日期)    (5).Subject(证书信息,你会发现它和Issuer里面的内容是一样的)    (6).Subject's Public Key Info(证书所有人的公钥)    (7).Extensio...
认证模式之Spnego模式
zhangxiping
01-19 1943
Spnego模式是一种由微软提出的使用GSS-API接口的认证模式。它扩展了Kerberos协议,在了解Spnego协议之前必须先了解Kerberos协议,Kerberos协议主要解决身份认证及通信密钥协商问题。它大致的工作流程例如以下: ①client依据自己username向密钥分发中心KDC的身份认证服务AS请求TGS票证。 ②AS生成一个TGS票证、查询相应用户的password,然后通过用户password将TGS票证加密,响应给client。 ③client通过用户password解密TGS
Windows下配置浏览器使用Kerberos (SPNEGO)
热门推荐
taisenki的博客
06-22 1万+
Windows下配置浏览器使用Kerberos (SPNEGO) Windows下配置浏览器使用Kerberos (SPNEGO) 适用场景 Windows GSSAPI/KERBEROS环境配置 安装MIT KERBEROS 配置kerberos环境 配置JCE 配置Firefox 后谈 小结 参考链接: 适用场景 本示例适用场景满足以下情况: 1. 访问开启k...
sshd启动提示Bad configuration option: GSSAPIKexAlgorithms
最新发布
weixin_59164654的博客
07-09 342
首先查看/etc/ssh/sshd_config,把文件中关于GSSAPIKexAlgorithms 的行都注释掉了,重启还是一样,然后在/etc/crypto-policies/back-ends/openssh.config ,把相关GSSAPIKexAlgorithms的行也注释掉了,重启还是报错。在/etc/crypto-policies/back-ends/openssh.config 相关GSSAPIKexAlgorithms的行注释。修改完成,检查一下openssh版本,升级成功,收工。
金仓数据库KingbaseES安全指南--6.7. GSSAPI身份验证
arthemis_14的博客
07-29 389
金仓数据库KingbaseES安全指南--6.7. GSSAPI身份验证
JAAS/GSS-API/SASL/Kerberos简介
不见其长,日有所长
07-07 1504
1. 前言 如果将Kerberos引入到一个分布式系统中提供身份认证与服务授权时,还涉及到一系列与安全有关的框架技术与接口协议,包括:如何对认证的对象或访问的资源进行抽象?应用通过什么样的接口进行Kerberos认证?如何保障跨节点通信时的安全传输?Java Security中均提供了现成的实现。 2. JAAS JAAS是Java Authentication and Authorization Service的缩写,提供了认证与授权相关的服务框架与接口定义: 认证:认证主要是验证一个用户的身份。 授权
移植curl但是zlib无法使能,如何解决该问题 Host setup: arm-unknown-linux-gnueabihf Install prefix: /opt/rootfs/curl-7.79.0/curl-7.79.0/_install Compiler: arm-linux-gnueabihf-gcc CFLAGS: -Werror-implicit-function-declaration -O2 -Wno-system-headers -pthread CPPFLAGS: -isystem /opt/rootfs/openssl-1.1.1/openssl-1.1.1/_install/include LDFLAGS: -L/opt/rootfs/openssl-1.1.1/openssl-1.1.1/_install/lib LIBS: -lssl -lcrypto -ldl -lpthread curl version: 7.79.0 SSL: enabled (OpenSSL) SSH: no (--with-{libssh,libssh2}) zlib: no (--with-zlib) brotli: no (--with-brotli) zstd: no (--with-zstd) GSS-API: no (--with-gssapi) GSASL: no (libgsasl not found) TLS-SRP: enabled resolver: POSIX threaded IPv6: enabled Unix sockets: enabled IDN: no (--with-{libidn2,winidn}) Build libcurl: Shared=yes, Static=yes Built-in manual: enabled --libcurl option: enabled (--disable-libcurl-option) Verbose errors: enabled (--disable-verbose) Code coverage: disabled SSPI: no (--enable-sspi) ca cert bundle: no ca cert path: no ca fallback: no LDAP: no (--enable-ldap / --with-ldap-lib / --with-lber-lib) LDAPS: no (--enable-ldaps) RTSP: enabled RTMP: no (--with-librtmp) PSL: no (libpsl not found) Alt-svc: enabled (--disable-alt-svc) HSTS: enabled (--disable-hsts) HTTP1: enabled (internal) HTTP2: no (--with-nghttp2, --with-hyper) HTTP3: no (--with-ngtcp2, --with-quiche) ECH: no (--enable-ech) Protocols: DICT FILE FTP FTPS GOPHER GOPHERS HTTP HTTPS IMAP IMAPS MQTT POP3 POP3S RTSP SMB SMBS SMTP SMTPS TELNET TFTP Features: AsynchDNS HSTS HTTPS-proxy IPv6 Largefile NTLM NTLM_WB SSL TLS-SRP UnixSockets alt-svc
06-13
根据你提供的信息,发现curl编译时未启用zlib支持。可以尝试用以下方式解决该问题: 1. 确认已经安装了zlib库和头文件。 2. 在编译curl时,添加 --with-zlib 选项启用zlib支持。如: ``` ./configure --with-zlib=/path/to/zlib ``` 其中 /path/to/zlib 是 zlib 库的安装路径。 3. 如果上述方法仍然无法解决问题,可以尝试手动设置 CPPFLAGS 和 LDFLAGS 变量,指定 zlib 头文件和库的路径。如: ``` export CPPFLAGS="-I/path/to/zlib/include" export LDFLAGS="-L/path/to/zlib/lib" ./configure ``` 如果仍然无法解决问题,可以尝试升级或重新编译 zlib 库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值