资源描述
外文文献原文 to of () of of is C) 1999). 1. an to an is a of 2. in n C: S: by in to be as 3. 1) of (2) (3) as a a of of (4) a is 5) an is to of 00 (6) is 4. a a an no be in a a a 503 is a an to If it an to it a If is a 504 of a of to A as a is a 334 a of a a If to an it a a *. If an by a 501 to is to a to no in is a is to in as if it in to a to a 334 a is as a =). If an to a in a 535 If it a 501 If a 535 a as in , is a 235 by s If a is it of a s is to a a 220 as to as a AY of in to an as a in of a is to to If by If as if in be be to as as by of or in of S: 220 : : : 250 : : 504 C: : 334 C: S: 235 5. to An to or of is OT as by If to is is an by AY s in in to If of or if is as if or to in to to it C: e+3: 250 . he be to as 432 A is to to to by 534 is to is 538 to be is 454 to to a 530 be by It in to 7. he as as of or to is in a %; %; ; %; % ; + % % % +, =, TL *( - / _ 1*20 =)*( of be an or an an an to up of A to a is it be a to a of no is to or be of ; it (1) it is a 2) it of a s (3) it of 4) it to in an in 译文 扩展的认证机制 这个文档详细说明了因特网团体的一个标准的协议的发展,以及对其改进和建议提出了要求。说到这,为了标准化这个协议的状态和地位,就必须提及目前最新的“ 方协议的标准” (发送这个文档是不受限制的。 版权须知 版权所有 1999年 体。所有权利将得到保留。 1 简介 这个文档定义了 务的扩展( 且说明了一个 户端可以为服务器指定一种用来执行与认证协议的交换,并且随意地穿越并发的协议之间交互的安全层的认证机制。这个扩展是“简单认证和安全层” 一个侧面。 2 这个文档用到的协定 在以下的这些例子中, 分别表示客户端和服务器。 诸如 些关键性的单词被可以看作和“用在 同的解释。 3 认证服务的扩展 联合这个扩展的 (3)是一个有空格间隔的被 (4)一个新的 义完成。 (5)用在关键字“ 一个可选的参数被附加到 来指定 00个字符。 (6) 此扩展和委托协议兼容。 4 初始化响应 观点: 用来标识 可选的 响应 约束: 再成功发出了一个 令之后,在同一时间段里不能再执行其他的 令。在成功执行了一个 令之后,服务器必须拒绝后来的 令并且返回一个 503响应码。 在处理一个邮件事务期间,服务器不会再接受 讨论: 令显示了一种和邮件服务器间的安全认证机制 。如果邮件服务器支持这种认证机制,它就会执行一个认证协议交互来认证并识别邮件用户。作为可选的情况,他也会忽略这以后后协议交互的一个安全层。如果服务器并不支持所需要的认证协议,就会用 504的回答来拒绝这个 这种认证机制的交互由一些列的服务器的响应和对认证机制来说的一些特殊的回答来组成。服务器的正确响应,不同于其他的响应的是针对文本部分采用 码以 334 做为回应的。客户端的回应是一个包含 码的字符串的队列。如果客户端想取消与服务器的认证交互,就执行一个单个的“ *”。如果服务器接到这样一个回应,就通过发送一个 501的响应来拒绝执行 对 选的初始化响应建议是用来在使用认证机制时保持一个往 返的回程 ,认证机制的定义中此建议不发送任何数据。当初始化响应部分 用在这种机制时, 开始的空的发起命令不被送到客户端,并且服务器端使用的数据也好象是发送来 响应一个空的命令。它发送一个零长度的初始化回答作为一个 =符号。如果客户端 在认证机制的 户端就在初始化命令中发送响应的 数据,服务器端用 535回答来拒绝 如果服务器不能对发送来的命令采用 拒绝执行 返回 501响应。如果服务器拒绝认证的数据,服务器应该拒绝执行并返回一个 535响应码 除非有更详细的错误代码,例如在 列出来的那个。如果客户端和服务器进行了正确的交互的操作的话, 35响应码。 详细说明这个 如果 证交互穿越了一个安全层,将会通过一个有用来中止认证交互的产生效果,而服务器也通过一个 服务器的安全层生效之前, 议被重置到初始状态( 的状态是服务器发出了一个 220 服务的问候之后)。服务器 如 不是通过 身而获得认知的 令的论点。客户端的 令将抛弃所有的从服务器获得的认知,例如不是通过 户端的 出一个 令做为第一个命令,这些将使得安全层得到授权。 服务器不一定要求支持任何的认证机制,而认证机制也不一定要支持所有的安全层。如果一个 户端将试图执行另一个认证机制的 一个 码的字符串通常来说是没有长度限制的。只要由认证机制产生的受客户端和服务器支持 的命令和响应,客户端和服务器端必须支持,而不依赖于服务器或者客户端的、可能存在于协议实现的某些方面的行长度的限制。 例如: S: 220 : : : 250 : : 504 C: : 334 C: S: 235 5. 数: 一个包含标志的被提交给传送系统的 者是两 个字符组成的序列 e+3: 250 错误代码 以下的错误代码常常用来描述和标识各种情况。 432 需要进行密码的转换 这个响应码表示,对于服务器的认证机制来讲,用户必须进行一个转换。比较由代表性的就是一旦你使用了 必须进行转换。 534 认证机过于简单 这个响应码表示的是选择的认证机制相对于服务器所允许的认证机制来说显得太弱了。 538 请求的认证机制需要加密 这个响应码表示的是所选的认证机制只有在 接是需要加密的情况下才用的着 454 暂时的认证失败 这个响 应码表示的是认证失败的原因是由于服务器暂时出现问题 530 认证是必须的 除了 将返回这个响应码。这表示服务器需要为了执行被请求的操作,需要一个认证。 7 正规的语法 以下的用在扩展的 除了那些被标注的以外,所有的按字母顺序排列的特征都是适合于固定场合的。排在上面的或者下面的被用来定义为有象征意义的字符串的用处仅仅是为了编辑时的便利以及清晰。执行这些必须在以固定的格 式在一定的场合来接受这些字符串。 %; %; ; %; % ; + % % %; +, =, TL *( - / _ 1*20 =) *( ; of be ; an or ( 1*(4) + / / ; (2=) / (3=) 334 R = %; R, F % %; F = %; F, %; P, 安全问题考虑 如果客户端使用这个扩展得到不加密的渠道但是通过一个不安全的网络连接到协同工作的服务器的话,客户端将被阻断而永远不能发送邮件到服务器,当服务器不能够互助地进行验证和加密的时候。否则,攻击者将会通过截断 者假装服务器不支持认证,从而导致所有的 在 何协议之间的交互都可以畅通无阻的进行,但也有可能被活动着的攻击者修改。因此客户端和服务器都必须抛弃在 认 证机制并不保护 口,攻击者就会通过修改中转的连接而试图连接( 一个消息子服务客户端可能会要求用户通过验证,在任何它得到一个合适的 因此,对于一个声明 说并不是合算的,在使用一个同意匿名子任务的客户端而没有任何利益的机制的时候。 这个扩展并不是有意的取代或者被用来取代端到端的消息签名在加密系统 S/扩展和端到端的系统有一些细微的差别,主要是以下的部分。 ( 1)它通常只在一个被信任的范围里 有效 ( 2)它保护整个消息的封装替,而不仅仅是正文 ( 3)它鉴证消息的子任务而不是消息的内容 ( 4)在发信者协同验证下一个中转点并且穿越一个合理的安全层的情况下,它可以给发信者一个保证,那就是可以把消息安全地传递到下一个地点。 另外需要说明的是,安全问题的考虑在
展开阅读全文