SASLlà một khung để xác kèo bóng đá pháp trong các giao thức định hướng kết nối. Ngay bây giờ,kèo bóng đá phápThực hiện hai cơ chế kèo bóng đá pháp, Scram-Sha-256 và Scram-Sha-256-Plus. Nhiều hơn có thể được thêm vào trong tương lai.
Lưu lượng thông báo kèo bóng đá pháp
Để bắt đầu trao đổi kèo bóng đá pháp, máy chủ sẽ gửi một thông báo xác thực. Nó bao gồm một danh sách các cơ chế kèo bóng đá pháp mà máy chủ có thể chấp nhận, theo thứ tự ưa thích của máy chủ.
Khách hàng chọn một trong các cơ chế được hỗ trợ từ danh sách và gửi tin nhắn Saslinitialresponse đến máy chủ. Thông báo bao gồm tên của cơ chế đã chọn và phản hồi máy khách ban đầu tùy chọn, nếu cơ chế được chọn sử dụng đó.
Một hoặc nhiều tin nhắn-Challenge và phản hồi của máy khách sẽ theo sau. Mỗi thử thách máy chủ được gửi trong một thông báo xác thựcaSlContinue, sau đó là phản hồi từ máy khách trong một thông báo SASLResponse.
10069_10522
Khi lỗi, máy chủ có thể hủy bỏ xác kèo bóng đá pháp ở bất kỳ giai đoạn nào và gửi errormessage.
Các cơ chế SASL đã triển khai tại thời điểm này làScram-Sha-256và biến thể của nó với liên kết kênhScram-sha-256-plus. Chúng được mô tả chi tiết trong RFC 7677 và RFC 5802.
Khi Scram-Sha-256 được sử dụng trong kèo bóng đá pháp, máy chủ sẽ bỏ qua tên người dùng mà máy khách gửi trongmáy khách-đầu-Message. Tên người dùng đã được gửi trong thông báo khởi động được sử dụng thay thế.kèo bóng đá pháp11402_11574
Thông số kỹ thuật Scram chỉ ra rằng mật khẩu cũng có trong UTF-8 và được xử lý vớiSASLPREPThuật toán.kèo bóng đá phápTuy nhiên, không yêu cầu UTF-8 được sử dụng cho mật khẩu. Khi mật khẩu của người dùng được đặt, nó được xử lý với SASLPREP như thể nó ở UTF-8, bất kể mã hóa kèo bóng đá pháp tế được sử dụng.
liên kết kênhđược hỗ trợ trong các bản dựng kèo bóng đá pháp với hỗ trợ SSL. Tên cơ chế SASL cho scram với liên kết kênh làScram-Sha-256-Plus. Loại liên kết kênh được sử dụng bởi kèo bóng đá pháp làTLS-server-end-point.
inScramKhông liên kết kênh, máy chủ chọn một số ngẫu nhiên được truyền đến máy khách để trộn với mật khẩu do người dùng cung cấp trong băm mật khẩu truyền. Mặc dù điều này ngăn không cho băm mật khẩu được truyền lại thành công trong một phiên sau đó, nhưng nó không ngăn được máy chủ giả giữa máy chủ kèo bóng đá pháp và máy khách đi qua giá trị ngẫu nhiên của máy chủ và xác kèo bóng đá pháp thành công.
Scramvới ràng buộc kênh ngăn chặn các cuộc tấn công giữa các trung bình như vậy bằng cách trộn chữ ký của chứng chỉ của máy chủ vào hàm băm mật khẩu truyền. Mặc dù máy chủ giả có thể truyền lại chứng chỉ của máy chủ thật, nhưng nó không có quyền truy cập vào khóa riêng phù hợp với chứng chỉ đó và do đó không thể chứng minh đó là chủ sở hữu, gây ra lỗi kết nối SSL.
Ví dụ
Máy chủ gửi tin nhắn xác thực. Nó bao gồm một danh sách các cơ chế kèo bóng đá pháp mà máy chủ có thể chấp nhận.Scram-sha-256-plusvàScram-Sha-256Nếu máy chủ được xây dựng với hỗ trợ SSL, hoặc nếu không thì chỉ sau này.
Khách hàng trả lời bằng cách gửi tin nhắn Saslinitialresponse, cho biết cơ chế đã chọn,Scram-Sha-256hoặcSCRAM-SHA-256-PLUS. .máy khách-đầu-Message. Thekhách hàng-đầu-MessageCũng chứa loại liên kết kênh được khách hàng chọn.
Máy chủ gửi tin nhắn xác thựcaSlContinue, với scramMáy chủ-First-Messagelàm nội dung.
Máy khách gửi tin nhắn SASLresponse, với Scram-Kết hợp khách hànglàm nội dung.
Máy chủ gửi một thông báo xác thựcaSlfinal, với scram-Final-Message, theo dõi ngay là một thông báo xác kèo bóng đá pháp.