3.6. GSS-API-интерфейс
Прикладной программный интерфейс единой службы безопасности (Generic Security Service Application Program Interface — GSS-API, RFC-2744) представляет собой программное средство в интересах прикладных служб, когда им понадобится использовать процедуры аутентификации, обеспечения целостности и/или конфиденциальности. В отличие от SASL-интерфейса, GSS-API-интерфейс может также легко использоваться прикладными службами, базирующимися на UDP-протоколе. GSS-API-интерфейс позволяет генерировать кодовые метки в интересах процедуры аутентификации, которые могут размещаться в протокольных сообщениях.
Замечание. Уровень защищенности, обеспечиваемый протоколами безопасности, которые предоставляет GSS-API-интерфейс, зависит от базового способа обеспечения ИБ, причем последний должен оцениваться независимо. С таких же позиций должна рассматриваться и функциональная совместимость этих протоколов.
3.7. DNSSEC-протокол
Основное предназначение DNSSEC-протокола (RFC-2535) — защита DNS-записей с помощью электронной цифровой подписи (ЭЦП). ЭЦП защищает DNS-записи, хранящиеся в кэш-памяти DNS-сервера, от атак типа «загрязнение кэш-памяти». Эти записи, в свою очередь, могут использоваться для нарушения процедуры аутентификации на основе DNS-имени, а также для перенаправления трафика на или минуя нарушителя. Последнее делает DNS-систему очень критичным компонентом некоторых других способов обеспечения ИБ, особенно это касается IPsec-архитектуры.
DNSSEC-протокол, в принципе, позволяет обеспечить защиту данных при отображении DNS-имен в IP-адреса. Он также может использоваться для защиты и других DNS-данных, связанных с конкретным DNS-именем.
Такие данные могут быть просто служебными, которые необходимы для нормального функционирования DNS-сервера, хранящего их, или это может быть ключ, используемый протоколами безопасности IPsec-архитектуры при согласовании защищенного виртуального соединения.
Замечание. Концепция хранения прикладных ключей общего назначения в DNS-системе была «опротестована» в стандарте RFC-3445, но, тем не менее, стандартизация процедур хранения ключей в интересах некоторых прикладных служб (и в частности для IPsec-архитектуры) продолжается.