RFC1413 鉴定协议

579次阅读  |  发布于5年以前

组织:中国互动出版网(http://www.china-pub.com) RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) E-mail:ouyang@china-pub.com 译者: shenjianli (shenjianli shenjianli@263.net) 译文发布时间:2001-7-1 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须保留本文档的翻译及版权信息。

Network Working Group                                       M. St. Johns Request for Comments: 1413                      US Department of Defense Obsoletes: 931                                             February 1993

                        

鉴定协议 (Identification Protocol)

此备忘录的状态: 本标准为Internet网详细说明了架构委员会标准轨迹协议,以及需求大家讨论和建议 来进一步提高.敬请关注最新版本标准化陈述和此协议的情况的文件"IAB Official  Protocol Standards".本备忘录的发行无任何限制. 目录 1、介绍 1 2、概述 2 3、约束条件 2 4、询问/响应格式 2 5、响应类型 2 6、安全性考虑 5 7、致谢 6 参考资料 6 作者地址 6

1、介绍 本鉴定协议提供了一种测定用户的特殊的TCP连接身份的手段. 提供了TCP端口对,它 返回的字符串识别出连接在服务器系统上的用户.

此协议以前叫”the Authentication  Server Protocol”(服务器鉴定协议).改名是为了更 好的反映出其功能,本文件是因特网工程任务组的TCP身份协议工作组(TCP Identity Protocol  Working Group )的产品, 2、概述 这是建立在TCP申请的连接,服务器在TCP的113(十进制)端口监测TCP连接,一旦连接建 立,服务器在一线路上读取重要的数据,假如存在,系统重要连接可靠性用户标识符将被发送作为 回答.然后服务器可以断开连接或者读取并回答更多的询问.      在推荐60―180秒内如没有接收到任何信息,那么服务器将断开连接.用户可以随时断开连 接,但是,由于网络的延迟,用户必须等待至少30秒,他(她)的访问方被放弃并断开连接. 3、约束条件 询问仅仅限定在指定的连接.询问包括局部和国外端口对,他们用来详细说明连接是来自局 部或外国的询问连接.这说明关于A与B之间的连接一个用户在A地只能询问B地的服务器. 4、询问/响应格式 服务器只接受如下方式的请求:            <port―on―server>,<port―on―client> <port―on―server>的内容是TCP端口目标,而<port―on―client>是TCP端口来源.      N.B―如果客户主机A在主机B申请局部连接为23, 6191的服务,客户必须访问23,  6191―也就是连接在主机B是如何被指定的. 例:          6191, 23 响应的形式为:

 ,  :  :  其中,和上面一样, 是响应时的身份关键 字,而 是由前后文所决定的.返回信息是被, 识别关联的详细的TCP连接. 和    是局部和国外的询问连接(i.e)IP地址.TCP连接到鉴定协议服务器 (  和 来自询问.         例:             6193, 23 : USERID : UNIX : stjohns             6195, 23 : ERROR : NO-USER

5、响应类型 响应有两种形式:

 USERID        既然如此, 是由操作系统名字(有随意的字符串标识符)组成,随后是 “:",最后是鉴定字符.        字符集 (如果被提出)与操作系统名字之间用"."格开, 字符集标识符是用来显示 字符集的鉴定串. 字符集标识符,如果被忽略,将默认为"US-ASCII"(看下面).        许可的操作系统名字和字符集名字列在清单RFC 1340中, "Assigned Numbers"或它 的继承.         总之, 操作系统和字符集名在"Assigned Numbers"中详细说明,有一专门共开系统 标识符--"OTHER".          除非"OTHER"是被指定的操作系统类型,服务器将返回正常的连接业主的用户鉴定,  "Normal"在这里也许意味着字符串,它们唯一详细说明了连接用户,如这样的用户标识 符,它们被管理人员分配并被用作邮件标识符,或作为用户/口令的一部分来访问系统资 源.当系统资源被指定(e.g.除"OTHER"),此用户标识符将或早或迟被期待为有用的形式 ―e.g..某物可以作为论据用来感觉或作为邮件地址.          "OTHER"显示的无规定的字符串,是由列在表单中的可打印的字符集组成.如果用 户字符串在以前的段落中没有受约束,"OTHER"可以被指定,发送加密代码,或另外返回 无用的电子用户名信息,它们都是"OTHER"将被使用时的用户(如真实的姓名或来自于文 件UNIX的口令)的例子,返回的用户字符串在指定的字符串集中将是可被打印的.          标识符是无格式的八进制串―所有第八位必须除了000 (NUL), 012 (LF)和 015  (CR).      N.B.―空格字符串(040)后紧跟的冒号分隔符是标识符串的一部分,不可以被忽略.响 应字符串通常是被CR/LF终止, N.B.串可以是被打印但不是必须的.  ERROR

         由于某些原因,端口的所有权并不是固定的. 指出了原因,下面是

的形式及其具体的含义:

           INVALID-PORT                  不管是局部或外国的端口都是不可确定的,如果它们的端口号超出 了范围(TCP端口号是1―65535)就必须返回,否则不管是整数,实数还 是其他类型,都不能被验证而作为无用的数据.

NO-USER    被端口对指定的连接,不能被使用或不能确切的实体所承认.

HIDDEN-USER    服务器能够鉴定使用端口的用户,但是用户要求的信息不会被返回.

UNKNOWN-ERROR    不能测定连接的用户:原因不明.如果错误不能在上面掩盖,将返回 错误的代码值,通常,如果可能,此代码在别的场所以明确的代码反映 出来.例如,服务器要求返回的错误信息被隐藏起来.或者由于别的原 因,如果服务器执行这样的任务,它必须是规则的而且它必须认为返回 的特有错误信息是默认的.          余下的值在本文献的最后将被详细的说明和定义,如果某工具有必要说明非规范 的错误代码,那么代码以"X"开头.           另外,服务器可以在没有响应时自动结束询问,任何的突然中断(i.e.,客户没有 接受到EOL),不管是正确或异常的,都必须认为同样的含义: "ERROR :  UNKNOWN-ERROR".

FORMAL SYNTAX           ::=  

       ::=  "," 

       ::=  

       ::= "015 012"  ; CR-LF End of Line Indicator

       ::=  | 

       ::=  ":" "ERROR" ":" 

       ::=  ":" "USERID" ":"                           ":" 

       ::= "INVALID-PORT" | "NO-USER" | "UNKNOWN-ERROR"                     | "HIDDEN-USER" |  

       ::=  [ "," ]

       ::= "OTHER" | "UNIX" |  ...etc.                ;  (See "Assigned Numbers")

       ::= "US-ASCII" | ...etc.                  ;  (See "Assigned Numbers")

       ::= 

        ::= 1*64 ; 1-64 characters

        ::= "X"1*63                      ; 2-64 chars beginning w/X

        ::= 1*5 ; 1-5 digits.

        ::= "0" | "1" ... "8" | "9" ; 0-9

         ::=                             <Any of these ASCII characters: a-z, A-Z,                             - (dash), .!@#$%^&*()_=+.,<>/?"'~`{}[]; >                                            ; upper and lowercase a-z plus                                            ; printables minus the colon ":"                                             ; character.

         ::= 1*512

         ::=                         <any octet from  00 to 377 (octal) except for                         ASCII NUL (000), CR (015) and LF (012)>

对语法的注释:

  1.  为了在不同的执行中促进协同工作,同时考虑到上文中语法空白被表 达"保守发送自由接受"的规则所了解,客户和服务器不能产生不必要的 空白,但是除了没有标志的地方都能够任意的接受空白字符.在分析响应 时,空白可以出现在任何地方,但除了没有标志.通常一些空白出现在行头 或行尾是允许的,它们用来询问或响应.但这不申请容纳用户ID的响应, 因为在操作系统类型之后的冒号之后的直到中止符CR/LF间内容都看作 用户ID的部分. 中止符CR/LF不是用户ID的部分.
  2. 上面的无关紧要,服务器会将发送的空白字符限制在最有效的最合理的 范围内.客户在收到1000个字符而每收到时可以自由的中断连接.
  3. 用户IDs限制在512字节而标志限制在64字节应理解为如下:a)没有  新标志(i.e., OPSYS or ERROR-TYPE)的定义可以超过64字节.b)服务器 不能发送超过512字节用户ID,一客户必须接受最少512字节的用户ID. 由于这局限,服务器必须在开头的512字节返回重要的部分.
  4. 字符集和字符集标识符必须直接指向定义的,被RFC 1340引用的,  "Assigned Numbers"或它的继承. 字符集标识符只能适用于使用者辨认 的范围―别的区域只能以US-ASCII定义和发送.
  5. 虽然在上面被定义为,它必须跟随   约束的格式和字符集:见上面的讨论.
  6. 字符集为客户提供上下文的联系来打印或存储返回的鉴定字符.如果客 户还没有实现或承认返回的字符集,它必须把返回的鉴定字符作为OCTET 来处理,但必须增加存储或汇报字符集. OCTET串必须以16进制(0―9a-f) 被打印,存储或索引,以用来陈述客户的工具―这在不同的执行中提供了 标准的陈述. 6、安全性考虑            协议返回的信息像主人提供的一样的可信或像组织操作着主机.例如, 在研究室有极少的PC机,在上面有设备限制了此协议返回客户所需的信 息.同时,主机接受了有危害的信息,可导致完全的错误和误解.    本协议并非有意成为特许权或访问控制协议,最多,它提供了一些有关 连接的附加审核信息,在最坏的情况下,可能提供令人误解的,不正确的或 相反的错误信息.   此协议返回的信息在除此以外的审核作用是很无效果的,特别的,利用 此协议信息存取控制决议―不管是主要方法(i.e., no other checks)还 是作为附属的方法,都可能削弱正常主机的安全.   鉴定服务器应能展现关于用户的信息,实体,对象或过程都被认为是私 有的, 鉴定服务器提供的服务与一些电话公司提供的CallerID服务是大 致相同的, CallerID服务的许多的秘密事项和见解同样适用于鉴定服务 器.假如你不想正常的运行"finger"服务器,你就不可能运行本协议. 7、致谢 在这里特别感谢Dan Bernstein,他在本协议中做出了重要的补充, 并且在RFC 931中 指出了一些错误.

参考资料

   [1] St. Johns, M., "Authentication Server", RFC 931, TPSC, January        1985.

   [2] Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC 1340,        USC/Information Sciences Institute, July 1992.

作者地址

       Michael C. St. Johns        DARPA/CSTO        3701 N. Fairfax Dr        Arlington, VA 22203

       Phone: (703) 696-2271        EMail: stjohns@DARPA.MIL RFC1413――Identification Protocol                                               鉴定协议

1 RFC文档中文翻译计划

Copyright© 2013-2020

All Rights Reserved 京ICP备2023019179号-8