อ่าน 3 นาที
อินเทอร์เฟซผู้ให้บริการสนับสนุนด้านความปลอดภัย
Security Support Provider Interface ( SSPI ) เป็นส่วนประกอบหนึ่งของ Windows API ที่ทำหน้าที่เกี่ยวกับการดำเนินการด้านความปลอดภัย เช่น การตรวจสอบ สิทธิ์
อินเทอร์เฟซผู้ให้บริการสนับสนุนด้านความปลอดภัย
Security Support Provider Interface ( SSPI ) เป็นส่วนประกอบหนึ่งของWindows APIที่ทำหน้าที่เกี่ยวกับการดำเนินการด้านความปลอดภัย เช่นการตรวจสอบสิทธิ์
SSPI ทำหน้าที่เป็นอินเทอร์เฟซทั่วไปสำหรับผู้ให้บริการสนับสนุนความปลอดภัย (SSP) หลายราย: [ 1 ]ผู้ให้บริการสนับสนุนความปลอดภัยคือไลบรารีการเชื่อมโยงแบบไดนามิก (DLL) ที่ทำให้แพ็คเกจความปลอดภัยอย่างน้อยหนึ่งรายการพร้อมใช้งานสำหรับแอป
ผู้ให้บริการ
โปรแกรม SSP ต่อไปนี้มีอยู่ในระบบปฏิบัติการ Windows:
- NTLMSSP (msv1_0.dll) – เปิดตัวในWindows NT 3.51ให้ การตรวจสอบสิทธิ์แบบท้าทาย/ตอบสนอง NTLMสำหรับโดเมน Windowsก่อนWindows 2000และสำหรับระบบที่ไม่ได้เป็นส่วนหนึ่งของโดเมน[ 2 ]
- Kerberos (kerberos.dll) – เปิดตัวในWindows 2000และได้รับการอัปเดตในWindows Vistaเพื่อรองรับAES [ 3 ]ทำหน้าที่ตรวจสอบสิทธิ์สำหรับโดเมน Windows ใน Windows 2000 และรุ่นต่อมา[ 4 ]
- NegotiateSSP (secur32.dll) – เปิดตัวใน Windows 2000 ให้ ความสามารถ ในการลงชื่อเข้าใช้ครั้งเดียวซึ่งบางครั้งเรียกว่าการตรวจสอบสิทธิ์ Windows แบบบูรณาการ (โดยเฉพาะในบริบทของ IIS) [ 5 ]ก่อนWindows 7จะลองใช้ Kerberos ก่อนที่จะเปลี่ยนไปใช้ NTLM ใน Windows 7 และเวอร์ชันต่อมา มีการแนะนำ NEGOExts ซึ่งเจรจาการใช้ SSP แบบกำหนดเองที่ติดตั้งไว้ ซึ่งได้รับการสนับสนุนบนไคลเอ็นต์และเซิร์ฟเวอร์สำหรับการตรวจสอบสิทธิ์
- Secure Channel (schannel.dll) – เปิดตัวใน Windows 2000 และได้รับการอัปเดตใน Windows Vista เพื่อรองรับการเข้ารหัส AES และECC ที่แข็งแกร่งยิ่งขึ้น [ 6 ]ผู้ให้บริการนี้ใช้ระเบียน SSL/TLS เพื่อเข้ารหัสข้อมูลเพย์โหลด
- TLS/SSL – การเข้ารหัสแบบกุญแจสาธารณะ SSP ที่ให้การเข้ารหัสและการสื่อสารที่ปลอดภัยสำหรับการตรวจสอบความถูกต้องของไคลเอนต์และเซิร์ฟเวอร์ผ่านทางอินเทอร์เน็ต[ 7 ]อัปเดตใน Windows 7 เพื่อรองรับ TLS 1.2
- Digest SSP (wdigest.dll) – เปิดตัวในWindows XP ให้การตรวจสอบสิทธิ์ HTTP และ SASLแบบอิงตามความท้าทาย/การตอบสนองระหว่างระบบ Windows และระบบที่ไม่ใช่ Windows ในกรณีที่ไม่มี Kerberos [ 8 ]
- CredSSP (credssp.dll) – เปิดตัวในWindows Vistaและมีให้ใช้งานใน Windows XP SP3 ให้การลงชื่อเข้าใช้ครั้งเดียวและการตรวจสอบสิทธิ์ระดับเครือข่ายสำหรับบริการเดสก์ท็อประยะไกล[ 9 ]
- การตรวจสอบรหัสผ่านแบบกระจาย (DPA, msapsspc.dll) – เปิดตัวใน Windows 2000 ให้การตรวจสอบสิทธิ์อินเทอร์เน็ตโดยใช้ใบรับรองดิจิทัล[ 10 ]
- การเข้ารหัสแบบกุญแจสาธารณะระหว่างผู้ใช้ (PKU2U, pku2u.dll) – เปิดตัวครั้งแรกในWindows 7ช่วยให้สามารถตรวจสอบสิทธิ์แบบ peer-to-peer โดยใช้ใบรับรองดิจิทัลระหว่างระบบที่ไม่ใช่ส่วนหนึ่งของโดเมน
การเปรียบเทียบ
SSPI เป็นรูปแบบเฉพาะของGeneric Security Services Application Program Interface (GSSAPI) ที่มีส่วนขยายและชนิดข้อมูลเฉพาะของ Windows โดยมาพร้อมกับWindows NT 3.51และWindows 95พร้อมกับNTLMSSPสำหรับ Windows 2000 ได้มีการเพิ่มการใช้งาน Kerberos 5 โดยใช้รูปแบบโทเค็นที่สอดคล้องกับมาตรฐานโปรโตคอลอย่างเป็นทางการ RFC 1964 (กลไก Kerberos 5 GSSAPI) และให้ความสามารถในการทำงานร่วมกันในระดับเครือข่ายกับ Kerberos 5 เวอร์ชันจากผู้จำหน่ายรายอื่น
โทเค็นที่สร้างและยอมรับโดย SSPI ส่วนใหญ่เข้ากันได้กับ GSS-API ดังนั้นไคลเอนต์ SSPI บน Windows อาจสามารถตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ GSS-API บน Unix ได้ ขึ้นอยู่กับสถานการณ์เฉพาะ
ข้อเสียเปรียบที่สำคัญอย่างหนึ่งของ SSPI คือการขาดการเชื่อมโยงช่องสัญญาณซึ่งทำให้ไม่สามารถใช้งานร่วมกับ GSSAPI ได้ในบางกรณี
ความแตกต่างพื้นฐานอีกประการหนึ่งระหว่าง GSSAPI ที่กำหนดโดย IETFและ SSPI ของ Microsoft คือแนวคิดของ " การปลอมตัว " ในแบบจำลองนี้ เซิร์ฟเวอร์สามารถทำงานได้ด้วย สิทธิ์ เต็มรูปแบบของไคลเอนต์ที่ได้รับการรับรองความถูกต้อง ดังนั้นระบบปฏิบัติการจึงทำการ ตรวจสอบ การควบคุมการเข้าถึง ทั้งหมด เช่น เมื่อเปิดไฟล์ใหม่ ไม่ว่าสิทธิ์เหล่านี้จะน้อยกว่าหรือมากกว่าสิทธิ์ของบัญชีบริการดั้งเดิมนั้นขึ้นอยู่กับไคลเอนต์โดยสิ้นเชิง ในแบบจำลองดั้งเดิม (GSSAPI) เมื่อเซิร์ฟเวอร์ทำงานภายใต้บัญชีบริการ เซิร์ฟเวอร์จะไม่สามารถยกระดับสิทธิ์ของตนได้ และต้องดำเนินการควบคุมการเข้าถึงในลักษณะเฉพาะของไคลเอนต์และเฉพาะแอปพลิเคชัน ผลกระทบด้านความปลอดภัยเชิงลบที่เห็นได้ชัดของแนวคิดการปลอมตัวนั้นถูกป้องกันใน Windows Vista โดยการจำกัดการปลอมตัวไว้เฉพาะบัญชีบริการที่เลือก[ 11 ]การปลอมตัวสามารถนำไปใช้ในแบบจำลอง Unix/Linux ได้โดยใช้seteuidการเรียกใช้ระบบที่เกี่ยวข้อง ในขณะที่สิ่งนี้หมายความว่ากระบวนการที่ไม่มีสิทธิ์ไม่สามารถยกระดับสิทธิ์ของตนได้ แต่ก็หมายความว่าในการใช้ประโยชน์จากการปลอมตัว กระบวนการจะต้องทำงานในบริบทของบัญชีผู้ใช้ root
ลิงก์ภายนอก
- เอกสารอ้างอิง SSPI บน MSDN
- ข้อมูล SSPI และตัวอย่าง Win32
- ตัวอย่างการใช้งาน SSPI สำหรับการตรวจสอบสิทธิ์ HTTP
สรุปเนื้อหา
ข้อมูลสำคัญจากบทความ
ข้อมูลสำคัญเกี่ยวกับ อินเทอร์เฟซผู้ให้บริการสนับสนุนด้านความปลอดภัย
Security Support Provider Interface ( SSPI ) เป็นส่วนประกอบหนึ่งของ Windows API ที่ทำหน้าที่เกี่ยวกับการดำเนินการด้านความปลอดภัย เช่น การตรวจสอบ สิทธิ์
ผู้ให้บริการ
โปรแกรม SSP ต่อไปนี้มีอยู่ในระบบปฏิบัติการ Windows:
การเปรียบเทียบ
SSPI เป็นรูปแบบเฉพาะของ Generic Security Services Application Program Interface (GSSAPI) ที่มีส่วนขยายและชนิดข้อมูลเฉพาะของ Windows โดยมาพร้อมกับ Windows NT 3.
ลิงก์ภายนอก
เอกสารอ้างอิง SSPI บน MSDN ข้อมูล SSPI และตัวอย่าง Win32 ตัวอย่างการใช้งาน SSPI สำหรับการตรวจสอบสิทธิ์ HTTP ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=Security_Support_Provider_Interface&oldid=1281053447 "