home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_ietf_a_c / draft-ietf-cat-snego-05.txt

< prev

next >

Wrap

Text File  |  1997-05-15  |  33KB  |  822 lines

---

1.  
2.  
3. Internet-Draft                                 Eric Baize, Denis Pinkas
4. IETF Common Authentication Technology WG                           Bull
5. <draft-ietf-cat-snego-05.txt>                               16 May 1997
6.  
7.  
8.  
9.            The Simple and Protected GSS-API Negotiation Mechanism
10.  
11.  
12.  
13. STATUS OF THIS MEMO
14.  
15. This document is an Internet-Draft. Internet-Drafts are working
16. documents of the Internet Engineering Task Force (IETF), its areas,
17. and its working groups. Note that other groups may also distribute 
18. working documents as Internet-Drafts.
19.  
20. Internet-Drafts are draft documents valid for a maximum of six months
21. and may be updated, replaced, or obsoleted by other documents at any 
22. time. It is inappropriate to use Internet-Drafts as reference 
23. material or to cite them other than as ``work in progress.''
24.  
25. To learn the current status of any Internet-Draft, please check the 
26. ``1id-abstracts.txt'' listing contained in the Internet-Drafts Shadow
27. Directories on ftp.is.co.za (Africa), nic.nordu.net (Europe),
28. munnari.oz.au (Pacific Rim), ds.internic.net (US East Coast), or 
29. ftp.isi.edu (US West Coast).
30.  
31. Comments on this document should be sent to "cat-ietf@mit.edu", the
32. IETF Common Authentication Technology WG discussion list. Distribution
33. of this document is unlimited.
34.  
35.  
36. 2.  ABSTRACT
37.  
38. This draft document specifies a Security Negotiation Mechanism for the
39. Generic Security Service Application Program Interface (GSS-API) which
40. is described in [1].
41.  
42. The GSS-API provides a generic interface which can be layered atop
43. different security mechanisms such that if communicating peers acquire
44. GSS-API credentials for the same security mechanism, then a security
45. context may be established between them (subject to policy). However,
46. GSS-API doesn't prescribe the method by which GSS-API peers can
47. establish whether they have a common security mechanism. 
48.  
49. The Simple and Protected GSS-API Negotiation Mechanism defined here 
50. is a pseudo-security mechanism, represented by the object identifier 
51. iso.org.dod.internet.security.mechanism.snego (1.3.6.1.5.5.2) which 
52. enables GSS-API peers to determine in-band whether their credentials 
53. share common GSS-API security mechanism(s), and if so, to invoke 
54. normal security context establishment for a selected common security 
55. mechanism. This is most useful for applications that are based on 
56. GSS-API implementations which support multiple security mechanisms. 
57.  
58.  
59. Baize, Pinkas        Document Expiration:  16 November  1997   [Page 1]
60. Internet-Draft                                            May 16, 1997
61.  
62.  
63. As most existing GSS-API security mechanisms can support different
64. options (such as differing cryptographic algorithms due to policy or
65. legislative constraints), the Simple and Protected GSS-API Negotiation 
66. Mechanism allows to negotiate security mechanisms including their 
67. options (i.e. variants). Mechanism options can be considered as 
68. providing a type of "quality of protection" for security contexts.
69.  
70. To facilitate mechanism negotiation, the OID which currently defines a
71. security mechanism is "extended" to be able to specify options within a
72. security mechanism rather than simply the basic mechanism. When the OID
73. specifies the mechanism only and no explicit option, then this means
74. that the default option is used. The default option and the specific
75. options for a given mechanism are as defined in the IETF GSS-API 
76. specification(s) for the mechanism. 
77.  
78. This allows to negotiate basic security mechanisms, different options
79. within a given security mechanism or different options from several
80. basic security mechanisms.
81.  
82. In addition, a given security mechanism may still negotiate mechanism-
83. specific options during the context establishment for that mechanism,
84. i.e. after the mechanism has been selected by the negotiation process.
85.  
86. The simple and protected GSS-API mechanism negotiation is based on the 
87. following negotiation model : the initiator proposes one or several 
88. security mechanisms, the target either accepts the proposed security 
89. mechanism, or chooses one from an offered set, or rejects the proposed 
90. value(s). The target informs the initiator of its choice and may also 
91. return mechanism specific information related to the chosen mechanism. 
92.  
93. In its basic form this protocol requires an extra-round trip. Network 
94. connection setup is a critical performance characteristic of any 
95. network infrastructure and extra round trips over WAN links, packet 
96. radio networks, etc. really make a difference. In order to avoid such 
97. an extra round trip the initial security token of the preferred 
98. mechanism for the initiator may be embedded in the initial token. 
99. If the target preferred mechanism matches the initiator's preferred 
100. mechanism, no additional round trips are incurred by using the 
101. negotiation protocol.
102.  
103. The simple and protected GSS-API mechanism negotiation provides a 
104. technique to protect the negotiation that must be used when the 
105. underlying mechanism selected by the target is capable of integrity 
106. protection. 
107.  
108. When all the mechanisms proposed by the initiator support integrity 
109. protection or when the selected mechanism supports integrity 
110. protection, then the negotiation mechanism becomes protected since 
111. this guarantees that the appropriate mechanism supported by both 
112. peers has been selected.
113.  
114.  
115.  
116.  
117. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 2]
118. Internet-Draft                                           May 16, 1997
119.  
120. The Simple and Protected GSS-API Negotiation Mechanism uses the 
121. concepts developed in GSS-API specification [1], and requires the use 
122. of new GSS-API context-level tokens : negotiation tokens. Callers 
123. of the GSS-API do not need to be aware of the existence of the 
124. negotiation tokens but only of the new pseudo-security mechanism. 
125. A failure in the negotiation phase causes a major status code to be 
126. returned: GSS_S_BAD_MECH.
127.  
128. 3.  NEGOTIATION MODEL
129.  
130. 3.1.  Negotiation description
131.  
132. The model for security mechanism negotiation reuses a subset of the
133. concepts specified in [2].
134.  
135. Each security mechanism represents one basic security mechanism along
136. with one option for this security mechanism (when no option is present
137. the default option is assumed).
138.  
139.  -  When one security mechanism is proposed by the initiator, it
140.     represents the only security mechanism option supported or
141.     selected (when the additional APIs defined in the Annex A
142.     are used) by the initiator.
143.  
144.  -  When several security mechanisms are proposed by the initiator,
145.     they represent a set of security mechanisms supported or selected
146.     (when the additional APIs defined in the Annex A are used) by the
147.     initiator.
148.  
149. The first negotiation token sent by the initiator contains an ordered 
150. list of mechanisms and optionally the initial security token for the 
151. desired mechanism of the initiator (i.e. the first of the list).
152.  
153. The first negotiation token sent by the target contains the result of 
154. the negotiation (accept_completed, accept_incomplete or reject) and, 
155. in case of accept, the agreed security mechanism along with optional 
156. mechanism specific information. It may also include the response to 
157. the initial security token for the desired mechanism of the initiator, 
158. when the first proposed mechanism has been selected. Not all targets 
159. must be able to respond to the initial security token for the desired 
160. mechanism when it is present. The target can simply ignore it and 
161. complete the negotiation without it. Implementations that can piggyback
162. the initial token will be rewarded by faster connection setup.
163.  
164. In case of a successful negotiation, the security mechanism represents
165. the value suitable for the target, and picked up from the list offered
166. by the initiator. The target selects the value according to a simple
167. selection criteria: it checks if the first entry from its own list is
168. present in the set offered by the initiator. If the entry is present,
169. then it is the agreed mechanism, if not then the second entry from its
170. own ordered list is checked and the process continues until all
171. entries have been checked. Thus, the target's mechanism preferences
172. have precedence when more than one common mechanism is available
173. between the target and initiator. The service flags that are requested 
174.  
175. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 3]
176. Internet-Draft                                           May 16, 1997
177.  
178. by the initiator are not taken into consideration to make the selection
179. but are used to select the appropriate options, should these options be 
180. supported by the mechanism. It is up to the initiator to verify that the 
181. requested options are indeed supported when the context is established.
182.  
183. 3.2.  Negotiation procedure
184.  
185. The negotiation procedure is summarised as follows:
186.  
187. (a) the GSS-API initiator invokes GSS_Init_sec_context as normal, but
188. requests (either explicitly, with the negotiation mechanism, or
189. through accepting a default, when the default is the negotiation
190. mechanism) that the Simple and Protected GSS-API Negotiation Mechanism 
191. be used; 
192.  
193. (b) the initiator GSS-API implementation emits a negotiation token
194. containing the set of supported security mechanism for the credentials
195. used for this context establishment, and optionally the initial
196. security token for the preferred mechanism, and indicates
197. GSS_CONTINUE_NEEDED status;
198.  
199. (c) The GSS-API initiator sends the token to the target application;
200.  
201. (d) The GSS-API target deposits the token through invoking
202. GSS_Accept_sec_context. The target GSS-API implementation emits a
203. negotiation token containing which if any of the proposed mechanisms
204. it supports (or has selected).
205.  
206. If the preferred mechanism selected by the target matches the preferred
207. mechanism identified by the initiator and the initiator provides a
208. preferredToken, the negotiation token response may contain also the 
209. initial security token from that mechanism.
210.  
211. If the preferred mechanism is accepted, GSS_Accept_sec_context()
212. indicates GSS_COMPLETE when unilateral or mutual authentication has 
213. been performed and involves a single token in either direction.
214.  
215. If a proposed mechanism other than the preferred mechanism is accepted,
216. or the preferred mechanism is accepted but involves multiple exchanges 
217. (e.g. challenge-response authentication), then GSS_Accept_sec_context() 
218. indicates GSS_CONTINUE_NEEDED status. 
219.  
220. If the proposed mechanism(s) are rejected, GSS_Accept_sec_context()
221. indicates GSS_S_BAD_MECH status. The security context initialisation
222. has failed. 
223.  
224. (e) The GSS-API target returns the token to the initiator application;
225.  
226. (f) The GSS-API initiator deposits the token through invoking
227. GSS_Init_sec_context.
228.  
229. GSS_Init_sec_context() may then indicate GSS_CONTINUE_NEEDED, 
230. GSS_COMPLETE or GSS_S_BAD_MECH status. 
231.  
232.  
233. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 4]
234. Internet-Draft                                           May 16, 1997
235.  
236.      The GSS_S_BAD_MECH status is returned when the negotiation token 
237.      carries a reject result or when the negotiation token carries an 
238.      accept result and the mechanism selected by the target is not 
239.      included in the initial list sent by the initiator or the 
240.      selected mechanism supports a MIC token but the MIC computed over 
241.      the list of mechanisms sent by the initiator is missing or 
242.      incorrect. If the negotiation token carries a reject result, the 
243.      context establishment is impossible. For example, a rejection 
244.      will occur if the target doesn't support the initiator's proposed
245.      mechanism type(s) and/or mechanism option(s). Upon failure of the 
246.      mechanism negotiation procedure, the mech_type output parameter 
247.      value is the negotiation mechanism type. 
248.  
249.      The GSS_CONTINUE_NEEDED status is returned when the negotiation 
250.      token carries an accept result and further tokens must be 
251.      transferred in order to complete context establishment for the
252.      selected mechanism. In that case GSS_Init_sec_context() returns 
253.      an initial context token as output_token (with the selected 
254.      mechanism's context token encapsulated within that output_token). 
255.      The initiator then sends the output_token to the target. The 
256.      security context initialisation is then continued according to 
257.      the standard GSS-API conventions for the selected mechanism, 
258.      where the tokens of the selected mechanism are encapsulated until 
259.      the GSS_COMPLETE is returned for both the initiator and the 
260.      target. When GSS_CONTINUE_NEEDED is returned, the mech_type 
261.      output parameter is not yet valid.
262.  
263.      When GSS_COMPLETE is returned, the mech_type output parameter 
264.      indicates the selected mechanism. When the final negotiation token
265.      does not contain a MIC, the initiator GSS-API implementation must 
266.      check the returned/selected mechanism options with its originally
267.      submitted list of mechanism options and also verify that the 
268.      selected mechanism is not able to support a MIC. When the final 
269.      negotiation token contains a MIC over the initial mechanisms list 
270.      sent by the initiator, the MIC must be verified.
271.  
272. Note that the *_req_flag input parameters for context establishment
273. are relative to the selected mechanism, as are the *_state output
274. parameters. i.e., these parameters are not applicable to the
275. negotiation process per se.
276.  
277. The initiator GSS-API calling application may need to know when the 
278. negotiation exchanges were protected or not. For this, when 
279. GSS_COMPLETE is returned, it can simply test the integ_avail flag. 
280. When this flag is set it indicates that the negotiation was protected.
281.  
282. On receipt of a negotiation token on the target side, a GSS-API
283. implementation that does not support negotiation would indicate the
284. GSS_FAILURE status as if a particular basic security mechanism had
285. been requested but was not supported.
286.  
287. When GSS_Acquire_cred is invoked with the negotiation mechanism as 
288. desired_mechs, an implementation-specific default credential is used 
289. to carry on the negotiation. A set of mechanisms as specified locally 
290.  
291. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 5]
292.  
293. Internet-Draft                                           May 16, 1997
294.  
295.  
296. by the system administrator is then available for negotiation. If there
297. is a desire for the caller to make its own choice, then an additional 
298. API has to be used (see Appendix A).
299.  
300. 4.  DATA ELEMENTS
301.  
302. 4.1.  Mechanism Type
303.  
304. MechType::= OBJECT IDENTIFIER
305.  
306. mechType
307.      The concept of mechType is extended to specify a basic security
308.      mechanism including its options. Each basic security mechanism
309.      is as defined in [1], and must provide a single default option
310.      which fully specifies the mechanism. The default option is
311.      represented by the OID of the mechanism itself (i.e. without any
312.      extension). 
313.  
314.      The options are specified by extending the OID. This extension 
315.      is defined in the same IETF GSS-API mechanism specification as 
316.      the security mechanism context token specification. 
317.  
318. 4.2.  Negotiation Tokens
319.  
320. The syntax of the negotiation tokens follows the InitialContextToken 
321. syntax defined in [1]. The security mechanism of the initial 
322. negotiation token is identified by the Object Identifier 
323. iso.org.dod.internet.security.mechanism.snego (1.3.6.1.5.5.2). 
324.  
325. 4.2.1. Syntax
326.  
327. This section specifies the syntax of the corresponding
328. "innerContextToken" field for the first token and subsequent 
329. negotiation tokens. 
330.  
331. NegotiationToken ::= CHOICE { 
332.                               negTokenInit  [0]  NegTokenInit, 
333.                               negTokenTarg  [1]  NegTokenTarg }
334.  
335. MechType ::= OBJECT IDENTIFIER
336.  
337. MechTypeList ::= SEQUENCE OF MechType
338.  
339. NegTokenInit ::= SEQUENCE {
340.                             mechTypes       [0] MechTypeList  OPTIONAL
341.                             reqFlags        [1] ContextFlags  OPTIONAL,
342.                             preferredToken  [2] OCTET STRING  OPTIONAL
343.                          }
344.  
345.  
346.  
347.  
348.  
349.  
350. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 6]
351.  
352. Internet-Draft                                           May 16, 1997
353.  
354.  
355. ContextFlags ::= BIT STRING {
356.         delegFlag       (0),
357.         mutualFlag      (1),
358.         replayFlag      (2),
359.         sequenceFlag    (3),
360.         anonFlag        (4),
361. }
362.  
363. negTokenInit
364.      Negotiation token sent by the initiator to the target, which 
365.      contains, for the first token sent, one or more security 
366.      mechanisms supported by the initiator and the service options 
367.      (reqFlags) that are requested to establish the the context. 
368.      The preferredToken is an optional field of the first token sent 
369.      that all target implementations would not have to support. However
370.      for those targets that do support piggybacking the initial 
371.      preferredToken, an optimistic negotiation response is possible.
372.  
373.      Further tokens, when needed, contain only the preferredToken 
374.      which is a token specific to the selected mechanism.
375.  
376.  
377.      The context flags should be filled in from the req_flags parameter
378.      of init_sec_context()
379.  
380. NegTokenTarg ::= SEQUENCE {
381.     negResult      [0] ENUMERATED { 
382.                             accept_completed    (0), 
383.                             accept_incomplete   (1), 
384.                             reject              (2) }          OPTIONAL
385.     supportedMech  [1] MechType                                OPTIONAL
386.     MechSpecInfo   [2] OCTET STRING                            OPTIONAL
387.     preferredToken [3] OCTET STRING                            OPTIONAL
388.     mechListMIC    [4] OCTET STRING                            OPTIONAL
389. }
390.  
391. negTokenTarg
392.      Negotiation token returned by the target to the initiator which 
393.      contains, for the first token returned, a global negotiation 
394.      result, the security mechanism selected (if any) and optional 
395.      information specific to the security mechanism selected by the 
396.      target. The result accept_completed indicates that a context 
397.      has been successfully established using the preferredToken that 
398.      was initially sent by the initiator, while the result 
399.      accept_incomplete indicates that additional token exchanges are 
400.      needed. 
401.  
402.           Note: For the case where (a) a single-token context setup 
403.           is used and (b) the preferred mechanism does not support 
404.           the integrity facility which would cause a mechListMIC to be
405.           generated and enclosed, this feature allows to make a 
406.           difference between a preferredToken sent by the initiator 
407.           but not processed by the target (accept_incomplete) and 
408.  
409. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 7]
410.  
411. Internet-Draft                                           May 16, 1997
412.  
413.  
414.           a preferredToken sent by the initiator and processed by 
415.           the target (accept_completed).
416.  
417.      For those targets that support piggybacking the initial
418.      preferredToken, an optimistic negotiation response is possible 
419.      and includes in that case a preferredToken which may continue 
420.      the authentication exchange (e.g. when mutual authentication has 
421.      been requested or when unilateral authentication requires several 
422.      round trips). Otherwise the preferredToken is used to carry the 
423.      tokens specific to the mechanism selected. 
424.  
425.      For subsequent tokens (if any) returned by the target, negResult, 
426.      supportedMech and MechSpecInfo are not present.
427.  
428.      For the last token returned by the target, the mechListMIC, when 
429.      present, is a MIC computed over the MechTypes using the selected 
430.      mechanism.
431.  
432. negResult
433.      Result of the negotiation exchange, specified by the target.
434.      This can be either : 
435.           accept_completed
436.                The target accepts the preferred security mechanism,
437.                 and the context is established for the target or, 
438.           accept_incomplete
439.                The target accepts one of the proposed security 
440.                mechanisms and further exchanges are necessary, or, 
441.           reject
442.                The target rejects all the proposed security
443.                mechanisms. 
444.  
445. supportedMech
446.      This field has to be present when negResult is "accept_completed"
447.      or "accept_incomplete". It is a choice from the mechanisms offered
448.      by the initiator.
449.  
450. MechSpecInfo
451.      This field may be used to transmit mechanism specific
452.      information relative to the security mechanism selected 
453.      by the target. 
454.  
455. preferredToken
456.      This field may be used either to transmit the response to the 
457.      preferredToken when sent by the initiator and when the first 
458.      mechanism from the list has been selected by the target or 
459.      to carry the tokens specific to the selected security mechanism. 
460.  
461. mechListMIC
462.      If the selected mechanism is capable of integrity protection,
463.      this field must be present in the last message of the negotiation,
464.      (i.e., when the underlying mechanism returns a non-empty token
465.      and a major status of GSS_COMPLETE); it contains the result of a 
466.      GetMIC of the MechTypes field in the initial NegTokenInit.
467.  
468. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 8]
469.  
470. Internet-Draft                                           May 16, 1997
471.  
472.  
473.     It allows to verify that the list initially sent by the initiator 
474.     has been received unmodified by the target.
475.  
476. 4.2.2. Processing of mechListMIC.
477.  
478. When the mechanism selected by the negotiation supports integrity
479. protection as a service, the mechListMIC must be used and validated.
480.  
481. In particular, the target that sends the last context establishment 
482. token must also include the result of a gss_get_mic() of the 
483. mechTypeList sent by the initiator in the first token; in addition, 
484. the initiator that receives the last token must require that the 
485. mechListMIC field be present and valid. In the absence of a valid 
486. mechListMIC, the negotiation must fail as if the last context 
487. establishment token was invalid.
488.  
489.  
490. 5.  EXAMPLES : SECURITY MECHANISM NEGOTIATION
491.  
492. Follow some examples of security mechanism options negotiation between
493. an initiator (I) and a target (T). 
494.  
495. 5.1.  Initial steps
496.  
497. (I) supports two security mechanism types (GSS-MECH1 and GSS-MECH2),
498. and two options for GSS-MECH2 : OPTION1, identified by GSS-MECH2-
499. OPTION1 and OPTION2, identified by GSS-MECH2-OPTION2. 
500.  
501. (I) invokes GSS_Init_sec_context() with :
502.  
503. Input
504.      mech_type = OID for negotiation mechanism or NULL, if the
505.      negotiation mechanism is the default mechanism.
506.  
507. Output
508.      major_status = GSS_CONTINUE_NEEDED
509.      output_token = negTokenInit
510.  
511. The negotiation token (negTokenInit) contains three security mechanisms
512. with : 
513.      mechType = GSS-MECH1 or
514.      mechType = GSS-MECH2-OPTION1 or
515.      mechType = GSS-MECH2-OPTION2
516.  
517. (I) sends to (T) the negotiation token.
518.  
519.  
520. 5.2     Successful negotiation steps
521.  
522. (T) supports GSS-MECH2-OPTION1.
523. (T) receives the negotiation token (negTokenInit) from (I)
524. (T) invokes GSS_Accept_sec_context() with :
525.  
526.  
527. Baize, Pinkas        Document Expiration:  16 November 1997    [Page 9]
528.  
529. Internet-Draft                                           May 16, 1997
530.  
531.  
532. Input
533.      input_token = negTokenInit 
534.  
535. Output
536.      major_status = GSS_CONTINUE_NEEDED
537.      output_token = negTokenTarg
538.  
539. The negotiation token (negTokenTarg) contains : 
540.      negResult = accept (the negotiation result) 
541.      supportedMech : mechType = GSS-MECH2-OPTION1
542.  
543. (T) returns the negotiation token (negTokenTarg) to (I)
544. (I) invokes GSS_Init_sec_context() with : 
545.  
546. Input
547.      input_token = negTokenTarg 
548.  
549. Output
550.      major_status = GSS_COMPLETE     
551.      output_token = initialContextToken (initial context token
552.                                          for GSS-MECH2-OPTION1)  
553.      mech_type = GSS-MECH2-OPTION1
554.  
555. The subsequent steps are security mechanism specific, and work as
556. specified in [1].  The output tokens from the security mechanism are
557. encapsulated in a NegTokenTarg message (with the supportedMech and
558. MechSpecInfo fields omitted, and the mechListMIC included with the
559. last token).
560.  
561. 5.3.  Failed negotiation steps
562.  
563. (T) supports GSS-MECH3.
564. (T) receives the negotiation token (negTokenInit) from (I)
565. (T) invokes GSS_Accept_sec_context() with : 
566.  
567. Input
568.      input_token = negTokenInit
569.  
570. Output
571.      major_status = GSS_S_BAD_MECH
572.      output_token = negTokenTarg
573.  
574. The negotiation token (negTokenTarg) contains : 
575.  
576.      negResult = reject (the negotiation result)
577.  
578. (T) returns the negotiation token (negTokenTarg) to (I)
579. (I) invokes GSS_Init_sec_context() with :
580.  
581. Input
582.      input_token = negTokenTarg 
583.  
584.  
585.  
586. Baize, Pinkas        Document Expiration:  16 November 1997   [Page 10]
587.  
588. Internet-Draft                                           May 16, 1997
589.  
590.  
591. Output
592.      major_status = GSS_S_BAD_MECH
593.  
594. The security context establishment has failed.
595.  
596. 5.4 Successful Negotiation with preferred mechanism info
597.  
598. (I) supports two security mechanism types (GSS-MECH1 and GSS-MECH2),
599. and two options for GSS-MECH2 : OPTION1, identified by GSS-MECH2-
600. OPTION1 and OPTION2, identified by GSS-MECH2-OPTION2. 
601.  
602. (I) invokes GSS_Init_sec_context() with :
603.  
604. Input
605.      mech_type = OID for negotiation mechanism or NULL, if the
606.      negotiation mechanism is the default mechanism.
607.  
608. Output
609.      major_status = GSS_CONTINUE_NEEDED
610.      output_token = negTokenInit
611.  
612. The negotiation token (negTokenInit) contains three security mechanisms
613. with : 
614.      mechType = GSS-MECH1 or
615.      mechType = GSS-MECH2-OPTION1 or
616.      mechType = GSS-MECH2-OPTION2
617.  
618.      preferredToken = output_token from GSS_Init_sec_context
619.     ( first mechType) as described in [1]
620.  
621. (I) sends to (T) the negotiation token.
622.  
623. (T) supports GSS-MECH1.
624. (T) receives the negotiation token (negTokenInit) from (I)
625. (T) invokes GSS_Accept_sec_context() with :
626.  
627. Input
628.      input_token = negTokenInit 
629.  
630. Output
631.      major_status = GSS_CONTINUE_NEEDED
632.      output_token = negTokenTarg
633.  
634. The negotiation token (negTokenTarg) contains : 
635.      negResult = accept (the negotiation result) 
636.      supportedMech : mechType = GSS-MECH1
637.      MechSpecInfo = mechanism specific information for 
638.                     the preferred mechanism
639.      preferredToken = output_token from 
640.                       GSS_Accept_sec_context(preferredToken )
641.  
642. (T) returns the negotiation token (negTokenTarg) to (I)
643. (I) invokes GSS_Init_sec_context() with : 
644.  
645. Baize, Pinkas        Document Expiration:  16 November 1997   [Page 11]
646.  
647. Internet-Draft                                            May 16, 1997
648.  
649.  
650. Input
651.      input_token = negTokenTarg 
652.  
653. Output
654.      major_status = GSS_COMPLETE or GSS_CONTINUE_NEEDED as needed
655.      output_token = ContextToken (initial or subsequent context token
656.                     for GSS-MECH1)  
657.      mech_type = GSS-MECH1
658.  
659. Specific implementations of the protocol can support the optimistic
660. negotiation by completing the security context establishment using the
661. agreed upon mechanism as described in [1].  As described above in
662. section 5.2, the output tokens from the security mechanism are
663. encapsulated in a NegTokenTarg message (with the negResult, 
664. supportedMech and MechSpecInfo fields omitted, and the mechListMIC 
665. included with the last token).
666.  
667. 6.  ACKNOWLEDGMENTS
668.  
669. Acknowledgments are due to Piers McMahon and Tom Parker of ICL,
670. Stephen Farrell of SSE, Doug Rosenthal of EINet and John Linn of 
671. Openvision for reviewing earlier versions of this document and for
672. providing useful inputs. Acknowledgments are also due to Peter Brundrett
673. of Microsoft for his proposal for an optimistic negotiation, and for
674. Bill Sommerfeld of Hewlett-Packard for his proposal for protecting 
675. the negotiation.
676.  
677. 7.  SECURITY CONSIDERATIONS
678.  
679. The purpose of the generic simple GSS-API mechanism negotiation
680. mechanism is to enable peers to agree on the value for a security
681. mechanism and security related options required for initialising
682. security services. 
683.  
684. When the mechanism selected by the target from the list supplied by 
685. the initiator supports integrity protection, then the negotiation is 
686. protected.
687.  
688. When one of the mechanisms proposed by the initiator does not support 
689. integrity protection, then the negotiation is exposed to all threats a non 
690. secured service is exposed. In particular, an active attacker can force to 
691. use a security mechanism which is not the common preferred one (when 
692. multiple security mechanisms are shared between peers) but which is 
693. acceptable anyway to the target. 
694.  
695. In any case, the communicating peers may be exposed to the denial of 
696. service threat.
697.  
698.  
699.  
700.  
701.  
702.  
703.  
704. Baize, Pinkas        Document Expiration:  16 November 1997   [Page 12]
705.  
706. Internet-Draft                                            May 16, 1997
707.  
708. APPENDIX A
709.  
710.  
711. GSS-API NEGOTIATION SUPPORT API
712.  
713. In order to provide to a GSS-API caller (either the initiator or the
714. target or both) the ability to choose among the set of supported
715. mechanisms a reduced set of mechanisms for negotiation, two
716. additional APIs are defined: 
717.  
718. GSS_Get_neg_mechs() indicates the set of security mechanisms available
719. on the local system to the caller for negotiation. 
720.  
721. GSS_Set_neg_mechs() specifies the set of security mechanisms to be
722. used on the local system by the caller for negotiation. 
723.  
724.  
725. A.1.  GSS_Get_neg_mechs call 
726.  
727. Input:
728.      cred_handle     OCTET STRING - NULL specifies default credentials
729.  
730. Outputs:
731.      major_status INTEGER,
732.      minor_status INTEGER,
733.      mech_option_set SET OF OBJECT IDENTIFIER
734.  
735. Return major_status codes :
736.      GSS_COMPLETE indicates that the set of security mechanism
737.      options available for negotiation has been returned in
738.      mech_option_set. 
739.      GSS_FAILURE indicates that the requested operation could not
740.      be performed for reasons unspecified at the GSS-API level. 
741.  
742. Allows callers to determine the set of security mechanism options
743. available for negotiation. This call is intended for support of
744. specialised callers who need to reduce the set of negotiable security
745. mechanism options from the set of supported security mechanisms
746. available to the caller (based on available credentials). 
747.  
748. Note: The GSS_Indicate_mechs() function indicates the full set of mechanism 
749. types available on the local system. Since this call does not use a 
750. credential handle as an input parameter, the returned set is not 
751. necessarily available for all credentials.
752.  
753.  
754.  
755.  
756.  
757.  
758.  
759.  
760. Baize, Pinkas        Document Expiration:  16 November 1997   [Page 13]
761.  
762. Internet-Draft                                            May 16, 1997
763.  
764.  
765. A.2.  GSS_Set_neg_mechs call 
766.  
767. Input:
768.      cred_handle     OCTET STRING - NULL specifies default credentials
769.      mech_option_set SET OF OBJECT IDENTIFIER
770.  
771. Outputs:
772.      major_status INTEGER,
773.      minor_status INTEGER,
774.  
775. Return major_status codes :
776.      GSS_COMPLETE indicates that the set of security mechanisms
777.      available for negotiation has been set to mech_option_set. 
778.      GSS_FAILURE indicates that the requested operation could not be
779.      performed for reasons unspecified at the GSS-API level. 
780.  
781. Allows callers to specify the set of security mechanism options that
782. may be negotiated with a particular credential: A NULL mech_option_set 
783. specifies that only the default mech_type with the default option is 
784. available for the GSS-API implementation. This call is intended for 
785. support of specialised callers who need to restrict the set of 
786. negotiable security mechanism options from the set of all security 
787. mechanism options available to the caller (based on available 
788. credentials). Note that if more than one mechanism is specified in 
789. mech_option_set, the order in which those mechanisms are specified 
790. implies a relative mechanism preference for the target. 
791.  
792.  
793. REFERENCES
794.  
795.        [1] Linn, J., "Generic Security Service Application Program
796.            Interface", RFC 2078, OpenVision, January 1997. Available on
797.            ftp://ds.internic.net/rfc/rfc2078.txt
798.  
799.        [2] Standard ECMA-206, "Association Context Management including
800.            Security Context Management", December 1993.  Available on
801.            http://www.ecma.ch 
802.  
803.  
804. AUTHORS'S ADDRESSES
805.  
806.    Eric Baize                     Internet email: E.Baize@ma02.bull.com
807.    Bull HN - MA02/211S                          Phone: +1 508 294 61 37
808.    Technology Park                                Fax: +1 508 294 61 09
809.    Billerica, MA 01821 - USA
810.  
811.    Denis Pinkas                   Internet email: D.Pinkas@frcl.bull.fr
812.    Bull                                        Phone: +33 1 30 80 34 87
813.    Rue Jean-Jaures                               Fax: +33 1 30 80 33 21
814.    BP 68
815.    78340 Les Clayes-sous-Bois - FRANCE
816.  
817.  
818.  
819. Baize, Pinkas       Document Expiration:  16 November 1997    [Page 14]
820.  
821.  
822.