GSS-API を使用すると、プログラマはセキュリティーの点で汎用的なアプリケーションを記述できます。開発者は、特定のプラットフォーム、セキュリティーメカニズム、保護の種類、または転送プロトコル向けにセキュリティー実装をカスタマイズする必要はありません。GSS-API を使用すれば、プログラマはネットワークデータを保護する方法の詳細を知る必要がありません。GSS-API を使用するプログラムは、ネットワークセキュリティーに関する移植性が高くなります。この移植性が、Generic Security Service API の優れた特徴を示します。
GSS-API は、セキュリティーサービスを汎用的な方法で呼び出し元に提供するフレームワークです。次の図に示すように、GSS-API フレームワークは、Kerberos v5 や公開鍵技術など、基盤となるさまざまなメカニズムや技術によって支えられています。
図 4-1 GSS-API の層
GSS-API の主な機能は、簡単に言うと次の 2 つです。
GSS–API は、セキュリティーコンテキストを作成し、アプリケーション間でのデータの送受信は、このコンテキスト内で行うことができます。コンテキストは、2 つのアプリケーションが互いに信頼している状態を表します。コンテキストを共有するアプリケーションは、相手がだれであるかを知っており、したがって、そのコンテキストが継続する限り、互いにデータを転送できます。
GSS–API は、セキュリティーサービスとして知られる 1 種類以上の保護機能を、転送データに対して適用します。セキュリティーサービスについては、Security Services in GSS-APIを参照してください。
さらに、GSS-API は次の機能を実行します。
データ変換
エラーの検査
ユーザー特権の委託
情報の表示
識別情報の比較
GSS-API にはさまざまな補助関数や簡易関数が含まれています。