|
数据挖掘论坛
数据挖掘实验室
Network Working Group J. Franks
Request for Comments: 2617 Northwestern University
Obsoletes: 2069 P. Hallam-Baker 数据挖掘实验室
Category: Standards Track Verisign, Inc. 数据挖掘工具
J. Hostetler 数据挖掘研究院
AbiSource, Inc. 数据挖掘研究院
S. Lawrence 数据挖掘工具
Agranat Systems, Inc. 数据挖掘研究院
P. Leach 数据挖掘实验室
Microsoft Corporation 数据挖掘研究院
A. Luotonen 数据挖掘工具
Netscape Communications Corporation 数据挖掘工具
L. Stewart 数据挖掘工具
Open Market, Inc. 数据挖掘交友
June 1999
数据挖掘交友
数据挖掘工具
HTTP Authentication: Basic and Digest Access Authentication 数据挖掘实验室
数据挖掘实验室
备忘(Status of this Memo) 数据挖掘工具
本文档跟踪记录Internet团体为完善协议而进行的讨论、建议。详情请参见官方文件(STD1)。本文可任意分发。
数据挖掘工具
版权声明(Copyright Notice)
数据挖掘研究院
Copyright (C) The Internet Society (1999). All Rights Reserved. 数据挖掘论坛
数据挖掘交友
摘要(Abstract)
数据挖掘交友
“HTTP/1.0”中包括基本访问鉴别方案(Basic Access Authentication scheme)。该方案不是安全的用户授权方法(除非与其它安全方法联合使用,如SSL[5]),因为其用户名和口令在网络上是以明文方式传送的。 数据挖掘实验室
本文档还提供了HTTP鉴别框架的规范,有关原始的基本鉴别方案和基于哈希加密的方案的内容,请参见分类访问鉴别(Digest Acccess Authentication)。从RFC2069公布以来,其中涉及的一些可选元素因为出现问题而被移出;而还有一些新的元素因为兼容性的原因而被加入,这些新元素虽然是可选的,但还是强烈建议使用的,因而,RFC2069[6]最终可能会被本规范所替代。 数据挖掘研究院
数据挖掘交友
数据挖掘交友
Franks, et al. Standards Track [Page 1]
与基本方式类似的是,分类鉴别授权对通讯双方都知道的秘密(如口令)进行校验;而与基本方式不同的是,该校验方式中的口令不以明文方式传输,而这正是基本方式的最大弱点。正象其它大多数授权协议那样,该协议最大的风险不在于其协议本身,而是它周边的应用程序。
数据挖掘论坛
目录(Table of Contents) 数据挖掘工具
1 访问鉴别(Access Authentication)..................... ..................... ................................ 3 数据挖掘研究院
1.1 对HTTP/1.1规范的依赖(Reliance on the HTTP/1.1 Specification)............ 3 数据挖掘研究院
1.2 访问鉴别框架(Access Authentication Framework)................. ..................... 3 数据挖掘交友
2 基本鉴别方案(Basic Authentication Scheme)........................ ............... ............... 5
3 分类访问鉴别方案(Digest Access Authentication Scheme)............. ..................... 6 数据挖掘研究院
3.1 介绍(Introduction)................................. ..................... ..................... ......... 6 数据挖掘论坛
3.1.1 目的(Purpose)...................................... ..................... ....................... 6 数据挖掘实验室
3.1.2 操作概述(Overall Operation)........................ ..................... ... ......... 6 数据挖掘工具
3.1.3 分类值表示(Representation of digest values)............ ...................... 7 数据挖掘交友
3.1.4 局限性(Limitations)................................... ..................... ................. 7 数据挖掘研究院
3.2 分类标题规范(Specification of Digest Headers)................. ..................….. 7 数据挖掘论坛
3.2.1 WWW-鉴别回应标题(The WWW-Authenticate Response Header).. 8 数据挖掘交友
3.2.2 授权请求标题(The Authorization Request Header)....... ................... 11 数据挖掘工具
3.2.3 鉴别信息标题(The Authentication-Info Header)....... ...................…. 15 数据挖掘研究院
3.3 分类操作(Digest Operation)........................... ..................... ..................... 17 数据挖掘实验室
3.4 安全协议商议(Security Protocol Negotiation).. ........................................ 18 数据挖掘论坛
3.5 例子(Example)...................................... ..................... ..................... ......…. 18 数据挖掘工具
3.6 代理鉴别和代理授权(Proxy-Authentication and Proxy-Authorization).... 19 数据挖掘实验室
4 安全考虑(Security Considerations)............................ ..................... ...................….. 19 数据挖掘工具
4.1 使用基本鉴别方式的客户端鉴别(Authentication of Clients using Basic 数据挖掘工具
Authentication).............................. ..................... ..................... ..................... 19 数据挖掘交友
4.2 使用分类鉴别方式的客户端鉴别(Authentication of Clients using Digest 数据挖掘论坛
Authentication).............................. ..................... ..................... ..................... 20
4.3 使用有限制的nonce值(Limited Use Nonce Values)..................... .............. 21 数据挖掘实验室
4.4 用基本鉴别方式来进行分类比较(Comparison 数据挖掘研究院
of Digest with Basic Authentication).. ..................... ..................... .............. 22 数据挖掘论坛
4.5 攻击回放(Replay Attacks).............................. ..................... ........................ 22 数据挖掘研究院
4.5 由多方鉴别方案产生的弱点(Weakness 数据挖掘工具
Created by Multiple Authentication Schemes).................................. ............ 23
4.7 在线字典攻击(Online dictionary attacks)...................... ..................... ....... 23 数据挖掘交友
4.8 中间人(Man in the Middle).............................. ..................... ..................... 24 数据挖掘实验室
4.9 选择纯文本攻击(Chosen plaintext attacks)............... ..................... ............ 24 数据挖掘交友
4.10 用预先计算的字典攻击(Precomputed dictionary attacks)............... .......... 25
4.11 批方式暴力攻击(Batch brute force attacks)...................... ........ .............. 25 数据挖掘交友
4.12 假冒服务器欺骗(Spoofing by Counterfeit Servers)............... ................... 25 数据挖掘论坛
4.13 存储口令(Storing passwords)........................ ..................... ..................... 26 数据挖掘工具
4.14 摘要(Summary)................................ ..................... ..................... ............. 26 数据挖掘研究院
5 例子实现(Sample implementation)....................... ..................... .......................... 27 数据挖掘实验室
6 感谢(Acknowledgments).............................. ..................... ..................... .. ............. 31 数据挖掘论坛
Franks, et al. Standards Track [Page 2]
数据挖掘交友
7 参考书目(References)....................................... ..................... .............. ................ 31 数据挖掘论坛
8 作者地址(Authors" Addresses)............................ ..................... ............................ 32
9 完整版权状况(Full Copyright Statement)........................ ..................... .................. 34 数据挖掘工具 |
