RFC2617- HTTP Authentication自譯本-(1) (轉)

RFC2617- HTTP Authentication自譯本-(1) (轉)[@more@] 

 :namespace prefix = o ns = "urn:schemas--com::office" />

 

.NETwork Working Group  J. Franks

Request for Comments: 2617  Northwestern University

Obsoletes: 2069  P. Hallam-Baker

Category: Standards Track   Verisign, Inc.

  J. Hostetler

  Abi, Inc.

  S. Lawrence

  Agranat Systems, Inc.

  P. Leach

  Microsoft Corporation

   A. Luotonen

  Communications Corporation

  L. Stewart

  Open Market, Inc.

  June 1999

 

 

   HTTP Authentication: Basic and Digest Access Authentication

 

備忘（Status of this Memo）

  本文件跟蹤記錄Internet團體為完善而進行的討論、建議。詳情請參見官方（STD1）。本文可任意分發。

 

版權宣告（Copyright Notice）

 

  Copyright (C) The Internet Society (1999).  All Rights Reserved.

 

摘要（Abstract）

 

  “HTTP/1.0”中包括基本訪問鑑別方案（Basic Access Authentication scheme）。該方案不是的授權方法（除非與其它安全方法聯合使用，如[5]），因為其使用者名稱和口令在上是以明文方式傳送的。

  本文件還提供了HTTP鑑別的規範，有關原始的基本鑑別方案和基於雜湊的方案的內容，請參見分類訪問鑑別（Digest Acccess Authentication）。從2069公佈以來，其中涉及的一些可選元素因為出現問題而被移出；而還有一些新的元素因為相容性的原因而被加入，這些新元素雖然是可選的，但還是強烈建議使用的，因而，RFC2069[6]最終可能會被本規範所替代。

 

 

 

Franks, et al.  Standards Track  [Page 1]

  與基本方式類似的是，分類鑑別授權對通訊雙方都知道的秘密（如口令）進行校驗；而與基本方式不同的是，該校驗方式中的口令不以明文方式傳輸，而這正是基本方式的最大弱點。正象其它大多數授權協議那樣，該協議最大的風險不在於其協議本身，而是它周邊的應用。

 

目錄（Table of Contents）

1　訪問鑑別（Access Authentication）..................... ..................... ................................  3

1.1  對HTTP/1.1規範的依賴（Reliance on the HTTP/1.1 Specification）............  3

1.2　訪問鑑別框架（Access Authentication ）................. .....................  3

2　基本鑑別方案（Basic Authentication Scheme）........................ ............... ...............  5

3　分類訪問鑑別方案（Digest Access Authentication Scheme）............. .....................  6

3.1　介紹（Introduction）................................. ..................... ..................... .........  6

3.1.1  目的（Purpose）...................................... ..................... .......................  6

3.1.2  操作概述（Overall Operation）........................ ..................... ... ......... 6

3.1.3  分類值表示（Representation of digest values）............ ......................  7

3.1.4  侷限性（Limitations）................................... ..................... .................  7

3.2　分類標題規範（Specification of Digest Headers）................. ..................…..  7

    3.2.1　WWW-鑑別回應標題（The WWW-Authenticate Response Header）..  8

3.2.2  授權請求標題（The Authorization Request Header）....... ...................  11

3.2.3  鑑別資訊標題（The Authentication-Info Header）....... ...................….  15

3.3  分類操作（Digest Operation）........................... ..................... .....................  17

3.4  安全協議商議（Security Protocol Negotiation）.. ........................................  18

3.5  例子（Example）...................................... ..................... ..................... ......….  18

3.6  鑑別和代理授權（-Authentication and Proxy-Authorization）.... 19

4 安全考慮（Security Consrations）............................ ..................... ...................…..  19

4.1　使用基本鑑別方式的客戶端鑑別（Authentication of Clients using Basic

  Authentication）.............................. ..................... ..................... .....................  19

4.2　使用分類鑑別方式的客戶端鑑別（Authentication of Clients using Digest

  Authentication）.............................. ..................... ..................... .....................  20

4.3　使用有限制的nonce值（Limited Use Nonce Values）..................... ..............  21

4.4  用基本鑑別方式來進行分類比較（Comparison

of Digest with Basic Authentication）.. ..................... ..................... ..............  22

4.5　回放（Replay Attacks）.............................. ..................... ........................  22

4.5  由多方鑑別方案產生的弱點（Weakness

Created by Multiple Authentication Schemes）.................................. ............  23

4.7　線上字典攻擊（Online dictionary attacks）...................... ..................... .......  23

4.8　中間人（Man in the Middle）.............................. ..................... .....................  24

4.9　選擇純文字攻擊（Chosen plaintext attacks）............... ..................... ............  24

4.10　用預先計算的字典攻擊（Precomputed dictionary attacks）............... ..........  25

4.11　批方式暴力攻擊（Batch brute force attacks）...................... ........ ..............  25

4.12　假冒欺騙（Spoofing by Counterfeit Servers）............... ...................  25

4.13　口令（Storing passs）........................ ..................... .....................  26

4.14　摘要（Summary）................................ ..................... ..................... .............  26

5　例子實現（Sample implementation）....................... ..................... ..........................  27

6　感謝（Acknowledgments）.............................. ..................... ..................... .. .............  31

Franks, et al.  Standards Track  [Page 2]

7　參考書目（References）....................................... ..................... .............. ................  31

8　作者地址（Authors' Addresses）............................ ..................... ............................  32

9　完整版權狀況（Full Copyright Statement）........................ ..................... ..................  34