Security Support Provider Interface

Security Support Provider Interface (SSPI) は、Microsoft Windowsにおいてセキュリティに関かんする様々さまざまな機能きのうを提供ていきょうするAPIである。

WindowsではSecurity Support Provider (SSP) と呼よばれるアプリケーションにセキュリティ機能きのうを提供ていきょうするダイナミックリンクライブラリ (DLL) が実装じっそうされており、SSPIはこれらSecurity Support Providerの共通きょうつうインタフェースとして機能きのうする^[1]。

Security Support Provider

Windowsでは以下いかのSecurity Support Providerが提供ていきょうされている。

NTLMSSP（英語えいご版ばん）（Windows NT 3.51より） (msv1_0.dll) - Windows 2000以前いぜんにおけるクライアント-サーバドメインでのNTLM チャレンジアンドレスポンス認証にんしょうと、非ひドメイン認証にんしょう (SMB/CIFS)^[2]
Kerberos（Windows 2000より。Windows VistaでAESに対応たいおう^[3]） (kerberos.dll) - Windows 2000以降いこうで推奨すいしょうされるクライアント-サーバドメイン相互そうご認証にんしょう^[4]
Negotiate（英語えいご版ばん）（Windows 2000より）(secur32.dll) - ケルベロス認証にんしょうとNTLM認証にんしょうを選択せんたくする。Negotiate SSPによってシングルサインオン（統合とうごうWindows認証にんしょう（英語えいご版ばん））が提供ていきょうされる^[5]。Windows 7以降いこうでは、クライアント・サーバの双方そうほうで利用りよう可能かのうなカスタムSSPを認証にんしょうに利用りようできるようにするNEGOExtsが導入どうにゅうされた。
Secure Channel (SChannel) (schannel.dll) - Windows 2000より導入どうにゅうされ、Windows VistaからAESおよび楕円だえん曲線きょくせん暗号あんごうに対応たいおうした^[6]。TLS/SSLでの暗号あんごう化か機能きのうを提供ていきょうする。
PCT（英語えいご版ばん）（廃止はいし済ずみ）およびMicrosoft TLS/SSL実装じっそう - TLS/SSLにおける公開こうかい鍵かぎ暗号あんごう機能きのうを提供ていきょう^[7]。Windows 7以降いこうでTLS 1.2に対応たいおう
Digest SSP（Windows 2000より）(wdigest.dll) - HTTP認証にんしょうおよびSASLを提供ていきょう^[8]
Credential (CredSSP)（Windows XP SP3より）(credssp.dll) - リモートデスクトップサービスのための認証にんしょう機能きのうを提供ていきょう^[9]
Distributed Password Authentication (DPA) （Windows 2000より）(msapsspc.dll) - 公開こうかい鍵かぎ証明しょうめい書しょによる認証にんしょう機能きのうを提供ていきょう^[10]
Public Key Cryptography User-to-User (PKU2U)（Windows 7より）(pku2u.dll) - ドメイン外がいのシステム間あいだでのピアツーピア認証にんしょうを提供ていきょう

GSSAPIとの比較ひかく

SSPIは、GSSAPI（英語えいご版ばん）のプロプライエタリな変種へんしゅであり、Windows独自どくじのデータタイプや拡張かくちょうが追加ついかされている。

Windows NT 3.51およびWindows 95におけるNTLMSSPがその始はじまりであり、Windows 2000では、ケルベロス認証にんしょう (RFC 1964) が追加ついかされた。SSPIでのケルベロス認証にんしょうで用もちいられるトークンはGSSAPIのものとほぼ互換ごかん性せいがあり、WindowsのSSPIクライアントはWindows以外いがいのGSSAPIクライアントと相互そうごに認証にんしょうを行おこなうことが可能かのうである。

IETFによって定義ていぎされたGSSAPIとWindowsのSSPIの間あいだには、アクセストークンの "impersonation" に関かんして大おおきな違ちがいが存在そんざいする。このモデルでは、クライアントが「完全かんぜんな」特権とっけんを持もっていれば、サーバはその特権とっけんにより操作そうさを行おこなうことが可能かのうである。すなわち、サービスアカウントの特権とっけんレベルは接続せつぞく/認証にんしょうされたクライアントに依存いぞんする。GSSAPIモデルでは、サーバがサービスアカウントで実行じっこうされている場合ばあい、アカウントの特権とっけんを上昇じょうしょうさせることができず、すべてのアクセス制御せいぎょを有効ゆうこうにする必要ひつようがある。このようなセキュリティ上じょう問題もんだいのある実装じっそうは、WindowsのSSPIではVista以降いこうで解消かいしょうされている^[11]。

脚注きゃくちゅう

^ “SSP Packages Provided by Microsoft”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “Kerberos Enhancements in Windows Vista: MSDN”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “Windows 2000 Kerberos Authentication”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “Windows Authentication”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “TLS/SSL Cryptographic Enhancements in Windows Vista”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “Secure Channel: SSP Packages Provided by Microsoft”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “Microsoft Digest SSP: SSP Packages provided by Microsoft”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “Credential Security Service Provider and SSO for Terminal Services Logon”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “DCOM Technical Overview: Security on the Internet”. 2014年ねん10月がつ5日にち閲覧えつらん。
^ “Windows Service Hardening: AskPerf blog”. 2014年ねん10月がつ5日にち閲覧えつらん。

外部がいぶリンク

[1] “SSP Packages Provided by Microsoft”. 2014年ねん10月がつ5日にち閲覧えつらん。

[2] “User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN”. 2014年ねん10月がつ5日にち閲覧えつらん。

[3] “Kerberos Enhancements in Windows Vista: MSDN”. 2014年ねん10月がつ5日にち閲覧えつらん。

[4] “Windows 2000 Kerberos Authentication”. 2014年ねん10月がつ5日にち閲覧えつらん。

[5] “Windows Authentication”. 2014年ねん10月がつ5日にち閲覧えつらん。

[6] “TLS/SSL Cryptographic Enhancements in Windows Vista”. 2014年ねん10月がつ5日にち閲覧えつらん。

[7] “Secure Channel: SSP Packages Provided by Microsoft”. 2014年ねん10月がつ5日にち閲覧えつらん。

[8] “Microsoft Digest SSP: SSP Packages provided by Microsoft”. 2014年ねん10月がつ5日にち閲覧えつらん。

[9] “Credential Security Service Provider and SSO for Terminal Services Logon”. 2014年ねん10月がつ5日にち閲覧えつらん。

[10] “DCOM Technical Overview: Security on the Internet”. 2014年ねん10月がつ5日にち閲覧えつらん。

[11] “Windows Service Hardening: AskPerf blog”. 2014年ねん10月がつ5日にち閲覧えつらん。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

表ひょう話はなし編へん歴れきマイクロソフトのAPIとフレームワーク
グラフィック	Desktop Window Manager Direct2D Direct3D (拡張かくちょう) GDI / GDI+ WPF Silverlight WinUI Windows Color System Windows Image Acquisition Windows Imaging Component
オーディオ	DirectMusic DirectSound DirectX plugin XACT Speech API
マルチメディア	DirectX (Media Objects Video Acceleration) DirectInput DirectPlay DirectShow Image Mastering API Managed DirectX Media Foundation XNA Windows Media Video for Windows
ウェブ	MSHTML EdgeHTML RSS Platform JScript VBScript BHO XDR SideBar Gadgets
データアクセス	Data Access Components Extensible Storage Engine ADO.NET ADO.NET Entity Framework Sync Framework Jet Engine MSXML OLE DB OPC
ネットワーク	Winsock (LSP) Winsock Kernel Filtering Platform Network Driver Interface Specification Windows Rally BITS P2P API MSMQ MS MPI
コミュニケーション	Messaging API Telephony API WCF
管理かんり	Win32 console Windows Script Host WMI PowerShell Task Scheduler Offline Files Shadow Copy Windows Installer Error Reporting Event Log Common Log File System
コンポーネントモデル	COM COM+ ActiveX Distributed Component Object Model .NET Framework
ライブラリ	Base Class Library (BCL) Microsoft Foundation Classes (MFC) Active Template Library (ATL) Windows Template Library (WTL)
デバイスドライバ	Windows Driver Model Windows Driver Foundation KMDF UMDF WDDM NDIS UAA Broadcast Driver Architecture VxD
セキュリティ	Crypto API (CAPICOM) Windows CardSpace Data Protection API Security Support Provider Interface (SSPI)
.NET	ASP.NET ADO.NET Base Class Library (BCL) Remoting Silverlight TPL WCF WCS WPF WF
ソフトウェアファクトリー	EFx Factory Enterprise Library Composite UI CCF CSF
IPC	MSRPC Dynamic Data Exchange (DDE) Remoting WCF
アクセシビリティ	Active Accessibility UI Automation
テキストと多言たげん語ごサポート	DirectWrite Text Services Framework Text Object Model Input method editor Language Interface Pack Multilingual User Interface Uniscribe
一覧いちらんカテゴリ:マイクロソフトのAPI