맨위로가기

SASL

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

SASL(Simple Authentication and Security Layer)은 클라이언트와 서버 간의 인증을 수행하는 프레임워크이다. SASL은 다양한 메커니즘을 통해 챌린지-응답 방식으로 인증을 처리하며, 각 메커니즘은 서로 다른 보안 수준과 복잡성을 제공한다. 주요 메커니즘으로는 EXTERNAL, ANONYMOUS, PLAIN, OTP, CRAM-MD5, DIGEST-MD5, SCRAM, NTLM, GS2-, GSSAPI 등이 있으며, 이 외에도 여러 메커니즘이 존재한다. SASL은 응용 프로토콜에서 프로파일을 사용하여 교환 방식을 정의하며, LDAP, SMTP, IMAP, XMPP 등 다양한 통신 프로토콜에서 사용된다.

더 읽어볼만한 페이지

  • 컴퓨터 접근 제어 프로토콜 - RADIUS
    RADIUS는 네트워크 접근 관리에 사용되는 AAA 프로토콜로, 클라이언트-서버 모델을 기반으로 사용자 인증 및 권한 부여를 수행하며 다양한 환경에서 활용된다.
  • 컴퓨터 접근 제어 프로토콜 - OAuth
    OAuth는 웹/앱 환경에서 사용자 인증 및 API 접근 권한 위임을 위한 개방형 표준 프로토콜로, 버전 1.0과 2.0을 거쳐 2.1 초안이 진행 중이며, 널리 사용되지만 복잡성과 보안 문제에 대한 논쟁도 있다.
  • 암호 프로토콜 - HTTPS
    HTTPS는 HTTP에 보안 기능이 더해진 통신 규약으로, 웹 브라우저와 서버 간 통신을 암호화하여 보안을 강화하지만, 인증서 비용, 서버 부하, 혼합 콘텐츠 문제 등의 단점도 존재한다.
  • 암호 프로토콜 - IPsec
    IPsec은 IP 네트워크에서 보안 통신을 제공하기 위한 프로토콜 스위트로서, 전송 모드와 터널 모드를 지원하며, AH, ESP 등의 프로토콜을 사용하여 데이터 무결성, 인증, 기밀성을 제공하고, IKE 프로토콜을 통해 보안 연결을 설정 및 키를 교환하는 개방형 표준이다.
  • 인터넷 표준 - DNSSEC
    DNSSEC는 DNS의 보안 취약점을 개선하기 위해 도메인 정보에 디지털 서명을 추가하여 응답 레코드의 무결성을 보장하고 DNS 위장 공격을 막는 기술로, RRSIG, DNSKEY 등 다양한 리소스 레코드 유형을 사용하여 인증 체인을 구성하며 공개 키 암호 방식을 활용한다.
  • 인터넷 표준 - IPv6
    IPv6는 IPv4 주소 고갈 문제를 해결하고자 개발된 차세대 인터넷 프로토콜로, 128비트 주소 체계를 통해 사실상 무한대에 가까운 IP 주소를 제공하며, 주소 자동 설정, 패킷 처리 효율성 향상, 보안 기능 강화 등의 특징을 갖는다.
SASL
개요
유형인증 프레임워크
개발IETF
RFCRFC 2222
RFC 4422
상태표준
설명인터넷 프로토콜에서 인증 및 데이터 보안을 위한 프레임워크
상세 정보
기능인증 메커니즘 협상 및 사용
데이터 보안 계층 제공 (선택 사항)
메커니즘케르베로스
디피-헬만
CRAM-MD5
DIGEST-MD5
NTLM
GSSAPI
EXTERNAL (TLS 인증서 기반)
보안인증
무결성 보호
기밀성 보호 (암호화)
기술
프로토콜 독립성다양한 애플리케이션 프로토콜과 함께 사용 가능
확장성새로운 인증 메커니즘 쉽게 추가 가능
응용 프로토콜IMAP
POP3
SMTP
LDAP
XMPP
AMQP
RDP
HTTP
관련 프로토콜GSSAPI
TLS

2. SASL 메커니즘

SASL 메커니즘은 클라이언트와 서버 간의 일련의 '''챌린지'''(challenge)와 '''응답'''(response)을 통해 인증을 수행하는 방식으로 모델링된다.[1] 정의된 SASL 메커니즘은 다양하며, 각각 다른 보안 수준과 기능을 제공한다.

2. 1. 주요 메커니즘

SASL 메커니즘은 일련의 챌린지(challenge)와 응답(response)을 구현한다.[1] 주로 사용되는 SASL 메커니즘은 다음과 같다.

  • EXTERNAL: 컨텍스트 내에서 암묵적으로 인증 (예: IPsec, TLS)
  • ANONYMOUS: 비인증 게스트 접근
  • PLAIN: 간단한 평문 패스워드 메커니즘 (RFC 4616)[1]
  • OTP: 일회용 패스워드 메커니즘 (SKEY 대체)
  • SKEY: S/KEY 메커니즘[1]
  • CRAM-MD5: HMAC-MD5 기반 챌린지-응답 방식
  • DIGEST-MD5: (역사적[2]) MD5 기반, 부분적 HTTP 다이제스트 호환 챌린지-응답 방식
  • SCRAM: (RFC 5802) 채널 바인딩 지원 챌린지-응답 방식[1]
  • NTLM: NT LAN Manager 인증 메커니즘
  • GS2-: 임의의 GSS-API 메커니즘 지원[3] (RFC 5801)
  • GSSAPI: GSSAPI를 통한 Kerberos V5 인증
  • BROWSERID-AES128: 모질라 페르소나 인증용[4]
  • EAP-AES128: GSS EAP 인증용[5]
  • GateKeeper (& GateKeeperPassport): MSN 채팅용 챌린지-응답 메커니즘
  • OAUTHBEARER: OAuth 2.0 베어러 토큰 (RFC 6750)[6]
  • OAUTH10A: OAuth 1.0a 메시지 인증 코드 토큰 (RFC 5849)[6]

2. 1. 1. EXTERNAL

인증이 컨텍스트 내에서 암묵적으로 이루어지는 경우에 사용된다. 예를 들어, 이미 IPsec이나 TLS를 사용하고 있는 프로토콜에서 활용될 수 있다.

2. 1. 2. ANONYMOUS

별도의 인증 과정 없이 익명으로 접근하는 것을 허용하는 메커니즘이다.

2. 1. 3. PLAIN

RFC 4616에 정의된 간단한 평문 패스워드 메커니즘이다.[1] 기존의 LOGIN 메커니즘은 PLAIN으로 대체되었다.

2. 1. 4. OTP

OTP는 일회용 비밀번호 메커니즘이다. SKEY 메커니즘을 대체한다.

2. 1. 5. SKEY

S/KEY 메커니즘이다.[1]

2. 1. 6. CRAM-MD5

HMAC-MD5를 기반으로 하는 간단한 챌린지-응답 방식이다.

2. 1. 7. DIGEST-MD5

역사적[2] MD5를 기반으로 하는, 부분적으로 HTTP 다이제스트와 호환되는 챌린지-응답 방식이다. DIGEST-MD5는 데이터 보안 계층을 제공했다.

2. 1. 8. SCRAM

SCRAM은 RFC 5802에 정의된 메커니즘으로, 채널 바인딩을 지원하는 최신 챌린지-응답 방식이다.[1]

2. 1. 9. NTLM

NTLM은 NT LAN Manager 인증 메커니즘이다.

2. 1. 10. GS2-

SASL에서 임의의 GSS-API 메커니즘을 지원하는 메커니즘 제품군이다.[3] 현재 RFC 5801로 표준화되었다.

2. 1. 11. GSSAPI

GSSAPI(Generic Security Services Application Program Interface)는 Kerberos V5 인증을 위한 SASL 메커니즘이다. GSSAPI는 데이터 보안 계층을 제공한다.

2. 1. 12. 기타 메커니즘


  • '''BROWSERID-AES128''': 모질라 페르소나 인증용으로 사용된다.[4]
  • '''EAP-AES128''': GSS EAP 인증용으로 사용된다.[5]
  • '''GateKeeper''' (& '''GateKeeperPassport'''): 마이크로소프트가 MSN 채팅을 위해 개발한 챌린지-응답(challenge-response) 메커니즘이다.
  • '''OAUTHBEARER''': OAuth 2.0 베어러 토큰(RFC 6750)을 사용하며, TLS를 통해 통신한다.[6]
  • '''OAUTH10A''': OAuth 1.0a 메시지 인증 코드 토큰(RFC 5849, 섹션 3.4.2)을 사용한다.[6]

3. SASL 지원 애플리케이션 프로토콜

응용 프로토콜은 SASL 인증 교환 방식을 정의하기 위해 '프로파일'이라는 규칙을 사용한다. 각 프로토콜은 GSSAPI(Generic Security Services Application Program Interface)나 Kerberos 프로토콜과 공유하는 레지스트리에 "ldap"과 같은 고유한 '서비스 이름'을 등록하여 사용한다.[7] 다양한 인터넷 표준 프로토콜과 기타 응용 프로그램들이 SASL 인증 방식을 지원하고 있다.

3. 1. 주요 프로토콜

SASL을 사용하는 응용 프로토콜은 '프로파일'이라는 규칙을 통해 SASL 인증 교환 방식을 정의한다. 각 프로토콜은 GSSAPI(Generic Security Services Application Program Interface)나 Kerberos 프로토콜과 공유하는 레지스트리에 'ldap'과 같은 고유한 '서비스 이름'을 등록하여 사용한다.[7] 다양한 통신 프로토콜과 기타 프로토콜들이 SASL 인증 방식을 지원하고 있다.

3. 1. 1. 통신 프로토콜

응용 프로토콜은 ''프로파일''을 사용하여 SASL 교환의 표현을 정의한다. 프로토콜은 GSSAPI(Generic Security Services Application Program Interface) 및 Kerberos 프로토콜과 공유되는 레지스트리에 "ldap"와 같은 ''서비스 이름''을 가진다.[7]

2012년 기준으로 SASL을 지원하는 프로토콜은 다음과 같다.

  • 응용 프로그램 구성 액세스 프로토콜 (ACAP)
  • AMQP (Advanced Message Queuing Protocol)
  • 블록 확장 교환 프로토콜 (BEEP)
  • IMAP (Internet Message Access Protocol)
  • IMSP (Internet Message Support Protocol)
  • IRC (Internet Relay Chat) ([http://ircv3.net/specs/extensions/sasl-3.1.html IRCv3 SASL 확장] 또는 IRCX 사용)
  • LDAP (Lightweight Directory Access Protocol)
  • libvirt
  • ManageSieve (RFC 5804)
  • memcached
  • POP (Post Office Protocol)
  • RFB 프로토콜 (Remote framebuffer protocol)[8] (VNC에서 사용됨)
  • SMTP (Simple Mail Transfer Protocol)
  • Subversion svn 프로토콜
  • XMPP (Extensible Messaging and Presence Protocol)

3. 1. 2. 기타 프로토콜


  • libvirt
  • memcached
  • POP
  • RFB 프로토콜[8] (VNC에서 사용됨)
  • Subversion의 svn 프로토콜

참조

[1] 웹사이트 Simple Authentication and Security Layer (SASL) Mechanisms https://www.iana.org[...]
[2] 문서 RFC 6331
[3] 웹사이트 Using GSS-API Mechanisms in SASL: The GS2 Mechanism Family http://josefsson.org[...]
[4] 웹사이트 A SASL and GSS-API Mechanism for the BrowserID Authentication Protocol http://tools.ietf.or[...]
[5] 웹사이트 A GSS-API Mechanism for the Extensible Authentication Protocol http://tools.ietf.or[...]
[6] 간행물 A Set of Simple Authentication and Security Layer (SASL) Mechanisms for OAuth Internet Engineering Task Force 2015-08
[7] 웹사이트 Generic Security Service Application Program Interface (GSSAPI)/Kerberos/Simple Authentication and Security Layer (SASL) Service Names https://www.iana.org[...]
[8] 웹사이트 Request for allocation of new security type code for SASL auth http://realvnc.com/p[...]


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com