AcceptSecurityContext(Digest) 함수
AcceptSecurityContext(다이제스트) 함수를 사용하면 전송 애플리케이션의 서버 구성 요소가 서버와 원격 클라이언트 간에 보안 컨텍스트를 설정할 수 있습니다. 원격 클라이언트는 InitializeSecurityContext(Digest) 함수를 사용하여 보안 컨텍스트를 설정하는 프로세스를 시작합니다. 서버는 보안 컨텍스트 설정을 완료하기 위해 원격 클라이언트에서 하나 이상의 회신 토큰을 요구할 수 있습니다.
구문
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_Inout_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsExpiry
);
매개 변수
phCredential [in, optional]
서버의 자격 증명에 대한 핸들입니다. 서버는 이 핸들을 검색하기 위해 SECPKG_CRED_INBOUND 또는 SECPKG_CRED_BOTH 플래그가 설정된 AcquireCredentialsHandle(Digest) 함수를 호출합니다.
phContext [in, out, optional]
CtxtHandle 구조체에 대한 포인터입니다. AcceptSecurityContext(다이제스트)에 대한 첫 번째 호출에서 이 포인터는 NULL. 후속 호출 에서 phContext 는 첫 번째 호출에 의해 phNewContext 매개 변수에 반환된 부분적으로 구성된 컨텍스트에 대한 핸들입니다.
Warning
AcceptSecurityContext(다이제스트)에 대한 동시 호출에서 동일한 컨텍스트 핸들을 사용하지 마세요. 보안 서비스 공급자의 API 구현은 스레드로부터 안전하지 않습니다.
pInput [in, optional]
입력 버퍼 설명자를 포함하는 InitializeSecurityContext(Digest)에 대한 클라이언트 호출에 의해 생성된 SecBufferDesc 구조체에 대한 포인터입니다.
다음 표에서는 다이제스트 HTTP에 대한 버퍼 구성을 보여줍니다. 첫 번째 버퍼는 SECBUFFER_TOKEN 형식이어야 하며 나머지는 SECBUFFER_PKG_PARAMS 형식이어야 합니다. SASL에는 버퍼 0만 필요합니다.
| 버퍼 #/버퍼 유형 | 의미 |
|---|---|
| 0 SECBUFFER_TOKEN |
첫 번째 호출 및 두 번째 호출에 대해 클라이언트로부터 받은 챌린지 응답에 대해 비어 있습니다. |
| 1 SECBUFFER_PKG_PARAMS |
메서드. 문자는 요청 줄의 유선 형식입니다. US ASCII 싱글 바이트 문자입니다. |
| 2 SECBUFFER_PKG_PARAMS |
예약되었습니다. |
| 3 SECBUFFER_PKG_PARAMS |
HEntity. H(entity-body)의 16진수 표현입니다. US ASCII 싱글 바이트 문자입니다. |
| 4 SECBUFFER_PKG_PARAMS |
영역. 챌린지에 대한 영역 문자열입니다. 미국 ASCII에서 나타낼 수 있어야 하는 유니코드 문자열입니다. |
| 5 | SECBUFFER_CHANNEL_BINDINGS SECBUFFER_READONLY |
채널 바인딩 토큰 값을 포함합니다. Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP: 이 값은 지원되지 않습니다. |
fContextReq [in]
컨텍스트를 설정하는 데 서버에서 필요한 특성을 지정하는 비트 플래그입니다. 비트 OR 연산을 사용하여 비트 플래그를 결합할 수 있습니다. 이 매개 변수는 다음 값 중 하나 이상일 수 있습니다.
| 값 | 의미 |
|---|---|
| ASC_REQ_ALLOCATE_MEMORY | 다이제스트는 출력 버퍼를 할당합니다. 출력 버퍼 사용을 마쳤으면 FreeContextBuffer 함수를 호출하여 해제합니다. |
| ASC_REQ_ALLOW_MISSING_BINDINGS | 다이제스트에는 내부 및 외부 채널 모두에 대한 채널 바인딩이 필요하지 않음을 나타냅니다. 이 값은 엔드포인트 채널 바인딩에 대한 지원을 알 수 없는 경우 이전 버전과의 호환성을 위해 사용됩니다. 이 값은 ASC_REQ_PROXY_BINDINGS 함께 사용할 수 없습니다. Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP: 이 값은 지원되지 않습니다. |
| ASC_REQ_CONFIDENTIALITY | 메시지를 암호화하고 암호를 해독합니다. Digest SSP는 SASL에 대해서만 이 플래그를 지원합니다. |
| ASC_REQ_PROXY_BINDINGS | 다이제스트에 채널 바인딩이 필요했음을 나타냅니다. 이 값은 ASC_REQ_ALLOW_MISSING_BINDINGS 함께 사용할 수 없습니다. Windows Server 2008, Windows Vista, Windows Server 2003 및 Windows XP: 이 값은 지원되지 않습니다. |
| ASC_REQ_CONNECTION | 보안 컨텍스트는 메시지 서식을 처리하지 않습니다. |
| ASC_REQ_EXTENDED_ERROR | 오류가 발생하면 원격 당사자에게 알림이 표시됩니다. |
| ASC_REQ_HTTP(0x10000000) | HTTP용 다이제스트를 사용합니다. 다이제스트를 SASL 메커니즘으로 사용하려면 이 플래그를 생략합니다. |
| ASC_REQ_INTEGRITY | 메시지에 서명하고 서명을 확인합니다. |
| ASC_REQ_REPLAY_DETECT | 재생된 패킷을 검색합니다. |
| ASC_REQ_SEQUENCE_DETECT | 시퀀스에서 수신된 메시지를 검색합니다. |
가능한 특성 플래그 및 해당 의미는 컨텍스트 요구 사항을 참조 하세요. 이 매개 변수에 사용되는 플래그에는 접두사 앞에 ASC_REQ(예: ASC_REQ_DELEGATE)가 있습니다.
요청된 특성은 클라이언트에서 지원되지 않을 수 있습니다. 자세한 내용은 pfContextAttr 매개 변수를 참조하세요.
TargetDataRep [in]
대상의 바이트 순서 지정과 같은 데이터 표현입니다. 이 매개 변수는 SECURITY_NATIVE_DREP 또는 SECURITY_NETWORK_DREP 수 있습니다.
이 매개 변수는 Digest SSP와 함께 사용되지 않습니다. Digest SSP를 사용하는 경우 이 매개 변수에 대해 0을 지정합니다.
phNewContext [in, out, optional]
CtxtHandle 구조체에 대한 포인터입니다. AcceptSecurityContext(다이제스트)에 대한 첫 번째 호출에서 이 포인터는 새 컨텍스트 핸들을 받습니다. 후속 호출에서 phNewContext는 phContext 매개 변수에 지정된 핸들과 같을 수 있습니다. phNewContext는 절대로 안 됩니다 NULL.
pOutput [in, out, optional]
출력 버퍼 설명자를 포함하는 SecBufferDesc 구조체에 대한 포인터입니다. 이 버퍼는 InitializeSecurityContext(다이제스트)에 대한 추가 호출에 대한 입력을 위해 클라이언트로 전송됩니다. 함수가 SEC_E_OK 반환하는 경우에도 출력 버퍼가 생성될 수 있습니다. 생성된 모든 버퍼를 클라이언트 애플리케이션으로 다시 보내야 합니다.
pfContextAttr [out]
설정된 컨텍스트의 특성을 나타내는 비트 플래그 집합을 수신하는 변수에 대한 포인터입니다. 다양한 특성에 대한 설명은 컨텍스트 요구 사항을 참조 하세요. 이 매개 변수에 사용되는 플래그에는 ASC_RET 접두사로 지정됩니다(예: ASC_RET_DELEGATE).
최종 함수 호출이 성공적으로 반환될 때까지 보안 관련 특성을 확인하지 마세요. ASC_RET_ALLOCATED_MEMORY 플래그와 같이 보안과 관련이 없는 특성 플래그는 최종 반환 전에 확인할 수 있습니다.
ptsTimeStamp [out, optional]
컨텍스트의 만료 시간을 받는 TimeStamp 구조체에 대한 포인터입니다. 보안 패키지는 항상 현지 시간으로 이 값을 반환하는 것이 좋습니다.
이 매개 변수는 상수 최대 시간으로 설정됩니다. 다이제스트 보안 컨텍스트또는 자격 증명 또는 다이제스트 SSP를 사용하는 경우 만료 시간이 없습니다.
참고 항목
인증 프로세스의 마지막 호출까지는 협상의 이후 단계에서 추가 정보가 제공되므로 컨텍스트의 만료 시간이 올바르지 않을 수 있습니다. 따라서 ptsTimeStamp 는 함수에 대한 마지막 호출까지여야 NULL 합니다.
반환 값
이 함수는 다음 값 중 하나를 반환합니다.
| 반환 코드 + 값 | 설명 |
|---|---|
SEC_E_INSUFFICIENT_MEMORY0x80090300L |
함수가 실패했습니다. 요청된 작업을 완료하는 데 사용할 수 있는 메모리가 부족합니다. |
SEC_E_INTERNAL_ERROR0x80090304L |
함수가 실패했습니다. SSPI 오류 코드에 매핑되지 않은 오류가 발생했습니다. |
SEC_E_INVALID_HANDLE0x80100003L |
함수가 실패했습니다. 함수에 전달된 핸들이 잘못되었습니다. |
SEC_E_INVALID_TOKEN0x80090308L |
함수가 실패했습니다. 함수에 전달된 토큰이 잘못되었습니다. |
SEC_E_LOGON_DENIED0x8009030CL |
로그온에 실패했습니다. |
SEC_E_NO_AUTHENTICATING_AUTHORITY0x80090311L |
함수가 실패했습니다. 인증을 위해 어떤 권한도 연락할 수 없습니다. 이는 다음과 같은 조건 때문일 수 있습니다. -인증 당사자의 도메인 이름이 잘못되었습니다. -도메인을 사용할 수 없습니다. -트러스트 관계가 실패했습니다. |
SEC_E_NO_CREDENTIALS0x8009030EL |
함수가 실패했습니다. phCredential 매개 변수에 지정된 자격 증명 핸들이 잘못되었습니다. |
SEC_E_OK0x00000000L |
함수가 성공했습니다. 클라이언트에서 받은 보안 컨텍스트가 수락되었습니다. 함수에서 출력 토큰을 생성한 경우 클라이언트 프로세스로 보내야 합니다. |
SEC_E_SECURITY_QOS_FAILED0x80090332L |
함수가 실패했습니다. 유효하지 않은 컨텍스트 특성 플래그가 fContextReq 매개 변수에 지정되었습니다. |
SEC_I_COMPLETE_AND_CONTINUE0x00090314L |
함수가 성공했습니다. 서버는 CompleteAuthToken을 호출하고 출력 토큰을 클라이언트에 전달해야 합니다. 그런 다음 서버는 클라이언트에서 반환 토큰을 기다린 다음 AcceptSecurityContext(다이제스트)를 다시 호출합니다. |
SEC_I_COMPLETE_NEEDED0x00090313L |
함수가 성공했습니다. 서버는 클라이언트에서 메시지 빌드를 완료한 다음 CompleteAuthToken 함수를 호출해야 합니다. |
SEC_I_CONTINUE_NEEDED0x00090312L |
함수가 성공했습니다. 서버는 출력 토큰을 클라이언트에 보내고 반환된 토큰을 기다려야 합니다. 반환된 토큰은 AcceptSecurityContext(다이제스트)에 대한 다른 호출에 대해 pInput으로 전달되어야 합니다. |
STATUS_LOGON_FAILURE0xC000006DL |
함수가 실패했습니다. AcceptSecurityContext(Digest) 함수는 지정된 컨텍스트가 설정된 후에 호출되었습니다. |
SEC_E_BAD_BINDINGS0x80090346L |
함수가 실패했습니다. 채널 바인딩 정책이 충족되지 않았습니다. |
설명
AcceptSecurityContext(Digest) 함수는 InitializeSecurityContext(Digest) 함수에 대응하는 서버 함수입니다.
서버가 클라이언트로부터 요청을 받으면 서버는 fContextReq 매개 변수를 사용하여 세션에 필요한 것을 지정합니다. 이러한 방식으로 서버는 클라이언트가 기밀 또는 무결성 검사 세션을 사용할 수 있어야 하며 해당 요구를 충족할 수 없는 클라이언트를 거부할 수 있도록 지정할 수 있습니다. 또는 서버에 아무 것도 필요하지 않으며 클라이언트가 제공하거나 요구하는 모든 것이 pfContextAttr 매개 변수에 반환됩니다.
상호 인증과 같은 다중 다리 인증을 지원하는 패키지의 경우 호출 순서는 다음과 같습니다.
- 클라이언트는 토큰을 서버로 전송합니다.
- 서버는 처음으로 AcceptSecurityContext(다이제스트)를 호출하여 클라이언트로 전송되는 회신 토큰을 생성합니다.
- 클라이언트는 토큰을 수신하고 InitializeSecurityContext(다이제스트)에 전달합니다. InitializeSecurityContext(다이제스트)가 SEC_E_OK 반환하면 상호 인증이 완료되고 보안 세션이 시작될 수 있습니다. InitializeSecurityContext(다이제스트)가 오류 코드를 반환하면 상호 인증 협상이 종료됩니다. 그렇지 않으면 InitializeSecurityContext(다이제스트)에서 반환된 보안 토큰이 클라이언트로 전송되고 2단계와 3단계가 반복됩니다.
- AcceptSecurityContext(다이제스트)에 대한 동시 호출에는 phContext 값을 사용하지 마세요. 보안 공급자의 구현은 스레드로부터 안전하지 않습니다.
fContextReq 및 pfContextAttr 매개 변수는 다양한 컨텍스트 특성을 나타내는 비트 마스크입니다. 다양한 특성에 대한 설명은 컨텍스트 요구 사항을 참조 하세요.
참고 항목
pfContextAttr 매개 변수는 성공적인 반환에 유효하지만 컨텍스트의 보안 측면과 관련된 플래그를 검사해야 최종 성공적인 반환에서만 유효합니다. 중간 반환은 예를 들어 ISC_RET_ALLOCATED_MEMORY 플래그를 설정할 수 있습니다.
호출자는 최종 컨텍스트 특성이 충분한지 여부를 결정합니다. 예를 들어 기밀성(암호화)이 요청되었지만 설정할 수 없는 경우 일부 애플리케이션은 연결을 즉시 종료하도록 선택할 수 있습니다. 보안 컨텍스트를 설정할 수 없는 경우 서버는 DeleteSecurityContext 함수를 호출하여 부분적으로 만든 컨텍스트를 해제해야 합니다. DeleteSecurityContext 함수를 호출하는 시기에 대한 자세한 내용은 DeleteSecurityContext를 참조하세요.
보안 컨텍스트가 설정된 후 서버 애플리케이션은 QuerySecurityContextToken 함수를 사용하여 클라이언트 인증서가 매핑된 사용자 계정에 대한 핸들을 검색할 수 있습니다. 또한 서버는 ImpersonateSecurityContext 함수를 사용하여 사용자를 가장할 수 있습니다.
요구 사항
| 요구 사항 | 값 |
|---|---|
| 지원되는 최소 클라이언트 | Windows XP [데스크톱 앱만 해당] |
| 지원되는 최소 서버 | Windows Server 2003[데스크톱 앱만 해당] |
| 헤더 | Sspi.h(Security.h 포함) |
| 라이브러리 | Secur32.lib |
| DLL | Secur32.dll |