XMPP使用tls 和sasl登录

转载:http://sffqtbl.ycool.com/post.3664101.html


名词解释

TLS:安全传输层协议 TLS:Transport Layer Security
名词:
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议(例如 TCP)上面。


SASL全称Simple Authentication and Security Layer,是一种用来扩充C/S模式验证能力的机制。在Postfix可以利用SASL来判断用户是否有权使用转发服务,或是辨认谁在使用你的服务器。

-----------------------------------------------------------------

XMPP使用tls 和sasl登录

 

 

步骤 1: 客户端初始化流给服务器:

       xmlns='jabber:client'

       xmlns:stream='http://etherx.jabber.org/streams'

       to='example.com'

       version='1.0'>

 

步骤 2: 服务器向客户端发送流标签作为应答:

       xmlns='jabber:client'

       xmlns:stream='http://etherx.jabber.org/streams'

       id='c2s_234'

       from='example.com'

       version='1.0'>

 

步骤 3: 服务器发送 STARTTLS 范围给客户端(包括验证机制和任何其他流特性):

PLAIN

CRAM-MD5

ANONYMOUS

DIGEST-MD5

JIVE-SHAREDSECRET

zlib

 

说明:

1、  DIGEST-MD5:如果帐号和密码都在Client对象中提供了,这种机制是首选,即使没有TLS加密也是安全的。

2、  PLAIN:如果DIGEST-MD5无效,就使用此种机制。在没有TLS加密时是不安全的。

3、  ANONYMOUS:此种机制在没有提供帐号和密码时使用。服务器将随机产生临时帐号和资源,提供限制的有效服务。

4、  EXTERNAL:此种机制目前只对客户端提供了证书和保密关键字(private key)而有效,服务器试图通过外部计算出客户端。举例来说,使用提供的证书或IP地址

 

步骤 4: 客户端发送 STARTTLS 命令给服务器:

 

步骤 5: 服务器通知客户端可以继续进行:

 

Tls握手完成,进行SASL 握手

 

 

步骤 6: TLS 握手成功, 客户端初始化一个新的流给服务器:

       xmlns='jabber:client'

       xmlns:stream='http://etherx.jabber.org/streams'

       to='example.com'

       version='1.0'>

 

步骤 7: 服务器通知客户端可用的验证机制:

PLAIN

CRAM-MD5

ANONYMOUS

DIGEST-MD5

JIVE-SHAREDSECRET

zlib

 

步骤 8: 客户端选择一个验证机制:

 

步骤 9: 服务器发送一个 [BASE64] 编码的挑战给客户端:

cmVhbG09InNvbWVyZWFsbSIsbm9uY2U9Ik9BNk1HOXRFUUdtMmhoIixxb3A9ImF1dGgi

   LGNoYXJzZXQ9dXRmLTgsYWxnb3JpdGhtPW1kNS1zZXNzCg==

  

 

解码后的挑战信息是:

realm="somerealm",nonce="OA6MG9tEQGm2hh",

   qop="auth",charset=utf-8,algorithm=md5-sess

 

步骤 10: 客户端发送一个[BASE64]编码的回应这个挑战:

   dXNlcm5hbWU9InNvbWVub2RlIixyZWFsbT0ic29tZXJlYWxtIixub25jZT0i

   T0E2TUc5dEVRR20yaGgiLGNub25jZT0iT0E2TUhYaDZWcVRyUmsiLG5jPTAw

   MDAwMDAxLHFvcD1hdXRoLGRpZ2VzdC11cmk9InhtcHAvZXhhbXBsZS5jb20i

   LHJlc3BvbnNlPWQzODhkYWQ5MGQ0YmJkNzYwYTE1MjMyMWYyMTQzYWY3LGNo

   YXJzZXQ9dXRmLTgK

  

 

解码后的回应信息是:

username="somenode",realm="somerealm",

   nonce="OA6MG9tEQGm2hh",cnonce="OA6MHXh6VqTrRk",

   nc=00000001,qop=auth,digest-uri="xmpp/example.com",

   response=d388dad90d4bbd760a152321f2143af7,charset=utf-8

 

步骤 11: 服务器发送另一个[BASE64]编码的挑战给客户端:

   cnNwYXV0aD1lYTQwZjYwMzM1YzQyN2I1NTI3Yjg0ZGJhYmNkZmZmZAo=

  

 

步骤 12: 客户端应答这个挑战:

步骤 13: 服务器通知客户端验证成功:


你可能感兴趣的:(IM)