组织:中国互动出版网(http://www.china-pub.com) RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm) E-mail:ouyang@china-pub.com 译者: shenjianli (shenjianli shenjianli@263.net) 译文发布时间:2001-7-1 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须保留本文档的翻译及版权信息。 Network Working Group M. St. Johns Request for Comments: 1413 US Department of Defense Obsoletes: 931 February 1993 鉴定协议 (Identification Protocol) 此备忘录的状态: 本标准为Internet网详细说明了架构委员会标准轨迹协议,以及需求大家讨论和建议 来进一步提高.敬请关注最新版本标准化陈述和此协议的情况的文件"IAB Official Protocol Standards".本备忘录的发行无任何限制. 目录 1、介绍 1 2、概述 2 3、约束条件 2 4、询问/响应格式 2 5、响应类型 2 6、安全性考虑 5 7、致谢 6 参考资料 6 作者地址 6 1、介绍 本鉴定协议提供了一种测定用户的特殊的TCP连接身份的手段. 提供了TCP端口对,它 返回的字符串识别出连接在服务器系统上的用户. 此协议以前叫”the Authentication Server Protocol”(服务器鉴定协议).改名是为了更 好的反映出其功能,本文件是因特网工程任务组的TCP身份协议工作组(TCP Identity Protocol Working Group )的产品, 2、概述 这是建立在TCP申请的连接,服务器在TCP的113(十进制)端口监测TCP连接,一旦连接建 立,服务器在一线路上读取重要的数据,假如存在,系统重要连接可靠性用户标识符将被发送作为 回答.然后服务器可以断开连接或者读取并回答更多的询问. 在推荐60—180秒内如没有接收到任何信息,那么服务器将断开连接.用户可以随时断开连 接,但是,由于网络的延迟,用户必须等待至少30秒,他(她)的访问方被放弃并断开连接. 3、约束条件 询问仅仅限定在指定的连接.询问包括局部和国外端口对,他们用来详细说明连接是来自局 部或外国的询问连接.这说明关于A与B之间的连接一个用户在A地只能询问B地的服务器. 4、询问/响应格式 服务器只接受如下方式的请求: , 的内容是TCP端口目标,而是TCP端口来源. N.B—如果客户主机A在主机B申请局部连接为23, 6191的服务,客户必须访问23, 6191—也就是连接在主机B是如何被指定的. 例: 6191, 23 响应的形式为: , : : 其中,和上面一样, 是响应时的身份关键 字,而 是由前后文所决定的.返回信息是被, , , 识别关联的详细的TCP连接. 是局部和国外的询问连接(i.e)IP地址.TCP连接到鉴定协议服务器 ( 来自询问. 例: 6193, 23 : USERID : UNIX : stjohns 6195, 23 : ERROR : NO-USER 5、响应类型 响应有两种形式: USERID 既然如此, 是由操作系统名字(有随意的字符串标识符)组成,随后是 “:",最后是鉴定字符. 字符集 (如果被提出)与操作系统名字之间用"."格开, 字符集标识符是用来显示 字符集的鉴定串. 字符集标识符,如果被忽略,将默认为"US-ASCII"(看下面). 许可的操作系统名字和字符集名字列在清单RFC 1340中, "Assigned Numbers"或它 的继承. 总之, 操作系统和字符集名在"Assigned Numbers"中详细说明,有一专门共开系统 标识符--"OTHER". 除非"OTHER"是被指定的操作系统类型,服务器将返回正常的连接业主的用户鉴定, "Normal"在这里也许意味着字符串,它们唯一详细说明了连接用户,如这样的用户标识 符,它们被管理人员分配并被用作邮件标识符,或作为用户/口令的一部分来访问系统资 源.当系统资源被指定(e.g.除"OTHER"),此用户标识符将或早或迟被期待为有用的形式 —e.g..某物可以作为论据用来感觉或作为邮件地址. "OTHER"显示的无规定的字符串,是由列在表单中的可打印的字符集组成.如果用 户字符串在以前的段落中没有受约束,"OTHER"可以被指定,发送加密代码,或另外返回 无用的电子用户名信息,它们都是"OTHER"将被使用时的用户(如真实的姓名或来自于文 件UNIX的口令)的例子,返回的用户字符串在指定的字符串集中将是可被打印的. 标识符是无格式的八进制串—所有第八位必须除了000 (NUL), 012 (LF)和 015 (CR). N.B.—空格字符串(040)后紧跟的冒号分隔符是标识符串的一部分,不可以被忽略.响 应字符串通常是被CR/LF终止, N.B.串可以是被打印但不是必须的. ERROR 由于某些原因,端口的所有权并不是固定的. 指出了原因,下面是 的形式及其具体的含义: INVALID-PORT 不管是局部或外国的端口都是不可确定的,如果它们的端口号超出 了范围(TCP端口号是1—65535)就必须返回,否则不管是整数,实数还 是其他类型,都不能被验证而作为无用的数据. NO-USER 被端口对指定的连接,不能被使用或不能确切的实体所承认. HIDDEN-USER 服务器能够鉴定使用端口的用户,但是用户要求的信息不会被返回. UNKNOWN-ERROR 不能测定连接的用户:原因不明.如果错误不能在上面掩盖,将返回 错误的代码值,通常,如果可能,此代码在别的场所以明确的代码反映 出来.例如,服务器要求返回的错误信息被隐藏起来.或者由于别的原 因,如果服务器执行这样的任务,它必须是规则的而且它必须认为返回 的特有错误信息是默认的. 余下的值在本文献的最后将被详细的说明和定义,如果某工具有必要说明非规范 的错误代码,那么代码以"X"开头. 另外,服务器可以在没有响应时自动结束询问,任何的突然中断(i.e.,客户没有 接受到EOL),不管是正确或异常的,都必须认为同样的含义: "ERROR : UNKNOWN-ERROR". FORMAL SYNTAX ::= ::= "," ::= ::= "015 012" ; CR-LF End of Line Indicator ::= | ::= ":" "ERROR" ":" ::= ":" "USERID" ":" ":" ::= "INVALID-PORT" | "NO-USER" | "UNKNOWN-ERROR" | "HIDDEN-USER" | ::= [ "," ] ::= "OTHER" | "UNIX" | ...etc. ; (See "Assigned Numbers") ::= "US-ASCII" | ...etc. ; (See "Assigned Numbers") ::= ::= 1*64 ; 1-64 characters ::= "X"1*63 ; 2-64 chars beginning w/X ::= 1*5 ; 1-5 digits. ::= "0" | "1" ... "8" | "9" ; 0-9 ::= /?"'~`{}[]; > ; upper and lowercase a-z plus ; printables minus the colon ":" ; character. ::= 1*512 ::= 对语法的注释: 1) 为了在不同的执行中促进协同工作,同时考虑到上文中语法空白被表 达"保守发送自由接受"的规则所了解,客户和服务器不能产生不必要的 空白,但是除了没有标志的地方都能够任意的接受空白字符.在分析响应 时,空白可以出现在任何地方,但除了没有标志.通常一些空白出现在行头 或行尾是允许的,它们用来询问或响应.但这不申请容纳用户ID的响应, 因为在操作系统类型之后的冒号之后的直到中止符CR/LF间内容都看作 用户ID的部分. 中止符CR/LF不是用户ID的部分. 2) 上面的无关紧要,服务器会将发送的空白字符限制在最有效的最合理的 范围内.客户在收到1000个字符而每收到时可以自由的中断连接. 3) 用户IDs限制在512字节而标志限制在64字节应理解为如下:a)没有 新标志(i.e., OPSYS or ERROR-TYPE)的定义可以超过64字节.b)服务器 不能发送超过512字节用户ID,一客户必须接受最少512字节的用户ID. 由于这局限,服务器必须在开头的512字节返回重要的部分. 4) 字符集和字符集标识符必须直接指向定义的,被RFC 1340引用的, "Assigned Numbers"或它的继承. 字符集标识符只能适用于使用者辨认 的范围—别的区域只能以US-ASCII定义和发送. 5) 虽然在上面被定义为,它必须跟随 约束的格式和字符集:见上面的讨论. 6) 字符集为客户提供上下文的联系来打印或存储返回的鉴定字符.如果客 户还没有实现或承认返回的字符集,它必须把返回的鉴定字符作为OCTET 来处理,但必须增加存储或汇报字符集. OCTET串必须以16进制(0—9a-f) 被打印,存储或索引,以用来陈述客户的工具—这在不同的执行中提供了 标准的陈述. 6、安全性考虑 协议返回的信息像主人提供的一样的可信或像组织操作着主机.例如, 在研究室有极少的PC机,在上面有设备限制了此协议返回客户所需的信 息.同时,主机接受了有危害的信息,可导致完全的错误和误解. 本协议并非有意成为特许权或访问控制协议,最多,它提供了一些有关 连接的附加审核信息,在最坏的情况下,可能提供令人误解的,不正确的或 相反的错误信息. 此协议返回的信息在除此以外的审核作用是很无效果的,特别的,利用 此协议信息存取控制决议—不管是主要方法(i.e., no other checks)还 是作为附属的方法,都可能削弱正常主机的安全. 鉴定服务器应能展现关于用户的信息,实体,对象或过程都被认为是私 有的, 鉴定服务器提供的服务与一些电话公司提供的CallerID服务是大 致相同的, CallerID服务的许多的秘密事项和见解同样适用于鉴定服务 器.假如你不想正常的运行"finger"服务器,你就不可能运行本协议. 7、致谢 在这里特别感谢Dan Bernstein,他在本协议中做出了重要的补充, 并且在RFC 931中 指出了一些错误. 参考资料 [1] St. Johns, M., "Authentication Server", RFC 931, TPSC, January 1985. [2] Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC 1340, USC/Information Sciences Institute, July 1992. 作者地址 Michael C. St. Johns DARPA/CSTO 3701 N. Fairfax Dr Arlington, VA 22203 Phone: (703) 696-2271 EMail: stjohns@DARPA.MIL RFC1413——Identification Protocol 鉴定协议 1 RFC文档中文翻译计划