Security Support Provider Interface

Security Support Provider Interface (SSPI) は、Microsoft Windowsにおいてセキュリティに関する様々な機能を提供するAPIである。

WindowsではSecurity Support Provider (SSP) と呼ばれるアプリケーションにセキュリティ機能を提供するダイナミックリンクライブラリ (DLL) が実装されており、SSPIはこれらSecurity Support Providerの共通インタフェースとして機能する[1]

Security Support Provider

Windowsでは以下のSecurity Support Providerが提供されている。

GSSAPIとの比較

SSPIは、GSSAPI英語版プロプライエタリな変種であり、Windows独自のデータタイプや拡張が追加されている。

Windows NT 3.51およびWindows 95におけるNTLMSSPがその始まりであり、Windows 2000では、ケルベロス認証 (RFC 1964) が追加された。SSPIでのケルベロス認証で用いられるトークンはGSSAPIのものとほぼ互換性があり、WindowsのSSPIクライアントはWindows以外のGSSAPIクライアントと相互に認証を行うことが可能である。

IETFによって定義されたGSSAPIとWindowsのSSPIの間には、アクセストークンの "impersonation" に関して大きな違いが存在する。このモデルでは、クライアントが「完全な」特権を持っていれば、サーバはその特権により操作を行うことが可能である。すなわち、サービスアカウントの特権レベルは接続/認証されたクライアントに依存する。GSSAPIモデルでは、サーバがサービスアカウントで実行されている場合、アカウントの特権を上昇させることができず、すべてのアクセス制御を有効にする必要がある。このようなセキュリティ上問題のある実装は、WindowsのSSPIではVista以降で解消されている[11]

脚注

  1. ^ SSP Packages Provided by Microsoft”. 2014年10月5日閲覧。
  2. ^ User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN”. 2014年10月5日閲覧。
  3. ^ Kerberos Enhancements in Windows Vista: MSDN”. 2014年10月5日閲覧。
  4. ^ Windows 2000 Kerberos Authentication”. 2014年10月5日閲覧。
  5. ^ Windows Authentication”. 2014年10月5日閲覧。
  6. ^ TLS/SSL Cryptographic Enhancements in Windows Vista”. 2014年10月5日閲覧。
  7. ^ Secure Channel: SSP Packages Provided by Microsoft”. 2014年10月5日閲覧。
  8. ^ Microsoft Digest SSP: SSP Packages provided by Microsoft”. 2014年10月5日閲覧。
  9. ^ Credential Security Service Provider and SSO for Terminal Services Logon”. 2014年10月5日閲覧。
  10. ^ DCOM Technical Overview: Security on the Internet”. 2014年10月5日閲覧。
  11. ^ Windows Service Hardening: AskPerf blog”. 2014年10月5日閲覧。

外部リンク