RFC2617-cn.pdf_2617列车资源-CSDN下载

5星 · 超过95%的资源需积分: 50 77 浏览量 2010-01-27 15:19:42 上传评论收藏 374KB PDF 举报

### 相关知识点 #### 一、HTTP 认证机制：基本认证与摘要认证 **文档背景** RFC2617-cn.pdf 是一个中文版本的文档，主要讲述了 HTTP 认证机制中的两种方法：基本认证 (Basic Access Authentication) 和摘要认证 (Digest Access Authentication)。这份文档是针对互联网团体在完善 HTTP 协议方面所做的讨论和建议，适用于 HTTP/1.1 版本。 **版权信息** 该文档遵循 Internet Society 的版权规定，并明确指出版权属于 1999 年的 Internet Society。 #### 二、基本认证基本认证是一种简单的认证方式，它要求客户端提供用户名和密码，这些信息通过 Base64 编码后以明文形式在网络上传输。这种方式的安全性较低，因为它不提供任何加密保护措施，容易受到中间人攻击或嗅探工具的威胁。为了提高安全性，基本认证通常会与其他安全措施结合使用，例如 SSL/TLS 加密。 **局限性** 基本认证的主要问题是它将用户的凭据以明文形式发送，这在安全性上存在重大缺陷。因此，在未采取其他加密手段的情况下，不应单独使用基本认证。 #### 三、摘要认证与基本认证相比，摘要认证是一种更安全的方法，它采用了一种称为“摘要”的算法来确保密码不会以明文形式在网络上传输。摘要认证使用了哈希函数来生成一个不可逆的哈希值，这样即使有人截获了数据包也无法从中推断出原始密码。 **操作原理** 1. **服务器发起认证**：服务器向客户端发送一个挑战（challenge），包含一些参数，如 realm、nonce 等。 2. **客户端响应**：客户端使用哈希函数根据服务器提供的挑战信息和用户输入的凭据生成摘要值，并将其发送回服务器。 3. **服务器验证**：服务器根据相同的算法重新计算摘要值，并与客户端发送的摘要值进行比较。如果两者匹配，则认证成功。 **具体步骤** - **摘要报头规范**： - **WWW-Authenticate 报头**：用于服务器向客户端发起挑战。 - **Authorization 报头**：客户端用来响应服务器的挑战。 - **Authentication-Info 报头**：用于增强安全性，允许服务器和客户端在后续请求中交换额外信息。 - **摘要操作**：定义了如何计算摘要值以及各种参数的作用。 - **安全性讨论**： - **基本认证对比**：与基本认证相比，摘要认证提供了更好的安全性，因为它避免了明文传输密码的问题。 - **回放攻击**：尽管摘要认证比基本认证更安全，但仍可能受到回放攻击，尤其是当 nonce 值使用不当时。 - **多重认证方案的弱点**：使用多种认证机制时可能会引入新的漏洞。 - **中间人攻击**：摘要认证本身无法完全防御中间人攻击，但可以通过安全连接（如 HTTPS）进一步加强安全性。 - **选择纯文本攻击**：摘要认证通过使用哈希函数降低了这种攻击的风险，但仍然需要适当的设计来防止此类攻击。 **总结** RFC2617-cn.pdf 提供了关于 HTTP 认证机制中两种常见认证方式——基本认证和摘要认证——的详细描述。基本认证简单但不够安全，而摘要认证虽然更复杂一些，但在安全性方面有了显著提升。然而，即使是摘要认证也需要正确实施才能确保安全性。为了最大程度地提高安全性，建议在传输敏感信息时使用 SSL/TLS 等加密技术。

资源推荐

资源详情

资源评论

HTTP Authentication: Basic and Digest Access Authentication

备忘（ Status of this Memo ）

本文档跟踪记录 Internet 团体为完善协议而进行的讨论

、建

议

。

详情请参见官

方文件（ STD1 ）。本文可任意分发。

摘要（ Abstract ）

“ HTTP/1.0 ” 中包括基本访问鉴别方案（ Basic Access Authentication scheme

）

。

该方案不是安全的用户授权方法（除非与其它安全方法联合使用，如 SSL[5] ），因

为其用户名和口令在网络上是以明文方式传送的。

本文档还提供了 HTTP 鉴别框架的规范，有关原始的基本鉴别方案和基于哈

希加密的方案的内容，请参见摘要访问鉴别（ Digest Acccess Authentication ）。从

RFC2069 公布以来，其中涉及的一些可选元素因为出现问题而被移出；而还有一

些新的元素因为兼容性的原因而被加入，这些新元素虽然是可选的，但还是强烈

建议使用的，因而， RFC2069[6] 最终可能会被本规范所替代。

与基本方式类似的是，摘要鉴别授权对通讯双方都知道的秘密（如口令）进行

校验；而与基本方式不同的是，该校验方式中的口令不以明文方式传输，而这正是

基本方式的最大弱点。正象其它大多数授权协议那样，该协议最大的风险不在于

其协议本身，而是它周边的应用程序。

目录（ Table of Contents ）

1 授权鉴别（ Access Authentication ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.1 对 HTTP/1.1 规范的依赖（ Reliance on the HTTP/1.1 Specification ） . . . . . . . . . . . . . . . . . 3

1.2 访问鉴别框架（ Access Authentication Framework ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 基本鉴别方案（ Basic Authentication Scheme ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 摘要访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

访问鉴别方案（ Digest Access Authentication Scheme ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1 介绍（ Introduction ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1.1 目的（ Purpose ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1.2 操作概述（ Overall Operation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.1.3 摘要值的表示（ Representation of digest values ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.1.4 局限性（ Limitations ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3.2 摘要报头的规范（ Specification of Digest Headers ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3.2.1 WWW- 鉴别回应报头（ The WWW-Authenticate Response Header ） . . . . . . . . . . . . . 9

3.2.2 授权求报头（ The Authorization Request Header ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.2.2.1 请求－摘要（ Request-Digest ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3.2.2.2 A1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3.2.2.3 A2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3.2.2.5 多样性考虑（ Various considerations ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.3 鉴别信息报头（ The Authentication-Info Header ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.3 摘要操作（ Digest Operation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.4 安全协议讨论（ Security Protocol Negotiation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.5 例子（ Example ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.6 代理鉴别和代理授权（ Proxy-Authentication and Proxy-Authorization ） . . . . . . . 28

4 安全考虑（ Security Considerations ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4.1 客户使用基本鉴别（ Authentication of Clients using Basic Authentication ） 29

4.2 客户使用摘要鉴别（ Authentication of Clients using Digest Authentication ） 30

4.3 受限的 nonce 值使用（ Limited Use Nonce Values ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4.4 基本鉴别与分摘要鉴别的比较（ Comparison of Digest with Basic

Authentication ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.5 回放式攻击（ Replay Attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4.6 由多方鉴别方案产生的弱点（ Weakness Created by Multiple Authentication

Schemes ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.8 中间人（ Man in the Middle ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.9 选择纯文本攻击（ Chosen plaintext attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.10 预先计算的字典攻击（ Precomputed dictionary attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.11 批方式暴力攻击（ Batch brute force attacks ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.12 假冒服务器欺骗（ Spoofing by Counterfeit Servers ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.13 存储口令（ Storing passwords ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.14 摘要（ Summary ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

5 例子实现（ Sample implementation ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

7 参考书目（ References ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

8 作者地址（ Authors' Addresses ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

感谢（ Acknowledgement ） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

1 授权鉴别（ Access Authentication ）

1.1 对 HTTP/1.1 规范的依赖（ Reliance on the HTTP/1.1 Specification ）

本规范和 HTTP/1.1 规范 [2] 一起使用，它使用 HTTP/1.1 文档 2.1 节的补充反

馈方式（ Augmented BNF ），并依赖于该文档对非终端（ non-terminals ）的定义及对

其它方面的描述。

1.2 访问鉴别框架（ Access Authentication Framework ）

HTTP 提供了简单的挑战－回应鉴别机制，它可能被服务器用来质询客户端

请求，也可能被客户端用来提供鉴别信息。授权方案用可扩展的、大小写敏感的符

号来标识，后跟获取证明所需要的以逗号分隔的 ‘ 属性－值 ’ 对。

auth-scheme = token

auth-param = token "=" ( token | quoted-string )

401

（未授权

）回

应消息被原始服务器端用来质询用户代理的授权

。

该回应必须

包括含有至少一个被请求资源质询（ challenge ）的 WWW －鉴别报头

域。

407

（需要鉴

别代理）回应消息被代理用来质询客户端的授权，它的代理鉴别报头域（ Proxy-

Authenticate header field ）必须包括至少一个代理方（ proxy ）对被请求资源的质询

。

challenge = auth-scheme 1*SP 1#auth-param

注意：用户代理（ agent ）解析 WWW- 鉴别（ WWW-Authenticate ）或代理 - 鉴别

（ Proxy-Authenticate ）的报头域，在碰到含有多个质询（）或多个 WWW- 鉴别报头域

时，要特别小心，因为这些质询本身可能就包含了以逗号分隔的鉴别参数对。

鉴别参数 realm 的定义在所有的鉴别方案中使用：

realm = "realm" "=" realm-value

realm-value = quoted-string

Realm 项（大小写敏感）在所有涉及质询（ challenge ）的鉴别方案中都要用到。

Realm 值（大小写敏感）要与被访问服务器的 ‘ 根 ’ URL 的规范用法（即绝对路径为

空的服务器的绝对 URI － absoluteURI ，见 5.1.2 节 [2] ）联合使用，以定义受保护的

区间

。

这些 realm 参数允许将服务器上受保护资源分成若干个区间

，

每个区间都有

其自己的鉴别方案和（或）授权数据库。 Realm 值是字符串，通常由原始服务器分

配，针对某些鉴别方案可能还有附加的语法问题。注意，可能存在多个质询

（ challenge ）， auth-scheme 相同，而 realm 不同的情况。

通常，用户代理（ agent ）在收到 401 （未授权）回应时，可能（也可能不会）希望

服务器对其授权。如果希望授权，用户代理将在请求中加入授权请求报头

（ Authorization request-header ）域。授权域值由信任证书组成，其中有对用户代理

所请求资源领域的授权信息。客户端在收到

407

（需要代理鉴别

）回

应时，如希望通

过代理进行自身的鉴别，可在请求中加入代理授权请求报头域（ Proxy-

Authorization request-header ）。授权域值和代理授权域值都是由信任组成，这些

信任包括被请求资源的客户端鉴别信息 realm 的值

。用

户代理（ user agent ）必须选

用它所能理解的最强的 auth-scheme 及用户回应质询（ challenge ）的请求信任。

剩余53页未读，继续阅读

评论收藏

内容反馈

竹妖

2023-05-11

#完美解决问题
cn_zhanghui

2016-06-22

翻译的不错，多谢了

空心泡桐

粉丝: 8

RFC2617-cn.pdf

RFC2617中文文档

RFC2617中文版

RFC2617-中文版

RFC 2617中文版（HTTP Digest Authentication）

UPS-RFC1628-MIB.mib

rfc1213.mib

UPS-MIB[rfc1628].rar_SNMP RFC1628_drew15s_objects_snmp ups_ups M

RFC2617-cn 中文版

REST_cn.pdf

DAC1220EG4-cn.pdf

01083a_cn.pdf

AD7606B_cn.pdf

StartupGuideSelectionum0c_cn.pdf

At89c52_cn.pdf

StartupGuideWiringum0c_cn.pdf

ADL5387_cn.pdf

ADIS16460_cn.pdf

ATmega16_cn.pdf

DS1302_cn.pdf

MAX31865_cn.pdf

AD5767_cn.pdf

xv6_cn .pdf

AD7173-8_cn.pdf

mqtt-cn.pdf

AccessDatabaseEngine数据库引擎大全

Access密码查看器，Acess密码破解工具

HWSD2-LAYERS-字段中文说明

Access 2010数据库引擎

最新资源