맨위로가기

보안 지원 제공자 인터페이스

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

보안 지원 제공자 인터페이스(SSPI)는 마이크로소프트 윈도우 운영 체제에서 보안 서비스를 제공하는 API이다. SSPI는 다양한 인증 프로토콜을 지원하며, 윈도우 NT 3.51에 도입된 NTLM, 윈도우 2000에 도입된 Kerberos, Negotiate, Secure Channel, 다이제스트 SSP, CredSSP, 분산 암호 인증(DPA), PKU2U 등을 포함한다. SSPI는 GSSAPI의 변형으로, 윈도우 관련 데이터 형식과 확장 기능을 갖추고 있으며, GSS-API와 토큰 호환성을 통해 상호 운용성을 제공한다.

2. 윈도우 SSP

다음은 윈도우와 함께 설치되는 SSP이다.


  • NTLM (msv1_0.dll) – 윈도우 NT 3.51에 도입되었다.[24] 윈도우 도메인 이전의 NTLM 챌린지/응답 인증을 제공하며 도메인에 속하지 않은 시스템에도 제공한다.[2]
  • Kerberos (kerberos.dll) – 윈도우 2000에 도입되었으며 AES를 지원하기 위해 윈도우 비스타에서 업데이트되었다.[25][26][3] 윈도우 2000 이상에서 윈도우 도메인에 대한 인증을 수행한다.[4]
  • Negotiate (secur32.dll) – 윈도우 2000에 도입되었다.[27] 싱글 사인온 기능을 제공하며, 때로는 통합 윈도우 인증이라고도 한다(특히 IIS의 컨텍스트에서).[5] 윈도우 7 이전에는 NTLM으로 대체되기 전에 Kerberos를 시도한다. 윈도우 7 이상에서는 NEGOExts가 도입되어 클라이언트와 서버에서 인증을 위해 지원되는 설치된 사용자 지정 SSP의 사용을 협상한다.
  • 보안 채널 (schannel.dll) – 윈도우 2000에 도입되었으며 더 강력한 AES 암호화 및 ECC를 지원하기 위해 윈도우 비스타에서 업데이트되었다.[28][6] 이 공급자는 TLS/SSL 레코드를 사용하여 데이터 페이로드를 암호화한다.
  • PCT (현재 쓰이지 않음) 및 마이크로소프트의 TLS/SSL 구현체 -[29]
  • 다이제스트 SSP (wdigest.dll) – 윈도우 XP에 도입되었다.[30] Kerberos를 사용할 수 없는 윈도우 및 비 윈도우 시스템 간의 챌린지/응답 기반 HTTP 및 SASL 인증을 제공한다.[8]
  • Credential (CredSSP) (credssp.dll) – 윈도우 비스타에 도입되었으며 윈도우 XP SP3에서 사용할 수 있다.[31] 원격 데스크톱 서비스에 대한 싱글 사인온 및 네트워크 수준 인증을 제공한다.[9]
  • 분산 암호 인증(DPA, msapsspc.dll) – 윈도우 2000에 도입되었다.[32] 공개 키 인증서를 사용하여 인터넷 인증을 제공한다.[10]
  • PKU2U(Public Key Cryptography User-to-User) (pku2u.dll) – 윈도우 7에 도입되었다. 도메인에 속하지 않은 시스템 간에 디지털 인증서를 사용하여 피어 투 피어 인증을 제공한다.

2. 1. NTLM (NTLMSSP)

윈도우 NT 3.51에 도입된[24] NTLM (msv1_0.dll)은 윈도우 도메인 이전 환경 및 도메인에 속하지 않은 시스템에서 NTLM 챌린지/응답 인증을 제공한다.[2]

2. 2. 커베로스 (Kerberos)

윈도우 2000에 도입된 kerberos.dll은 윈도우 도메인 환경에서 인증을 수행한다.[25][26][3][4] 윈도우 비스타에서는 AES 지원이 추가되었다.[25][3]

2. 3. Negotiate (SPNEGO)

Negotiate (SPNEGO) (secur32.dll)는 윈도우 2000에 도입되었다.[27] 싱글 사인온(SSO) 기능을 제공하며, 때로는 통합 윈도우 인증이라고도 불린다.[5] 윈도우 7 이전에는 NTLM으로 대체되기 전에 커베로스를 시도한다. 윈도우 7 이후에는 NEGOExts가 도입되어 클라이언트와 서버에서 인증을 위해 지원되는 설치된 사용자 지정 SSP의 사용을 협상한다.

2. 4. 시큐어 채널 (SChannel)

시큐어 채널(Secure Channel, SChannel)은 `schannel.dll` 파일 형태로 제공되며, 윈도우 2000에 처음 도입되었다.[6][17] 윈도우 비스타에서는 더 강력한 AES 암호화 및 ECC 지원이 추가되었다.[6][17][28] SChannel은 TLS/SSL 레코드를 사용하여 데이터 페이로드를 암호화한다.[6]

2. 5. TLS/SSL

TLS/SSL은 인터넷을 통해 클라이언트와 서버를 인증하기 위한 암호화 및 보안 통신을 제공하는 공개 키 암호화 SSP이다.[7] TLS/SSL은 PCT(현재 쓰이지 않음) 및 마이크로소프트의 TLS/SSL 구현체이다.[29] 윈도우 7에서 TLS 1.2를 지원하도록 업데이트되었다.[7] Secure Channel (SChannel)는 윈도우 2000에 도입되었으며 더 강력한 AES 암호화 및 ECC를 지원하기 위해 윈도우 비스타에서 업데이트되었다.[6] 이 공급자는 SSL/TLS 레코드를 사용하여 데이터 페이로드를 암호화한다.

2. 6. 다이제스트 SSP

다이제스트 SSP (wdigest.dll)는 윈도우 XP에 도입되었다.[30] 커베로스를 사용할 수 없는 윈도우 및 비 윈도우 시스템 간의 챌린지/응답 기반 HTTP 인증 및 SASL 인증을 제공한다.[8][19]

2. 7. CredSSP

`credssp.dll`는 윈도우 비스타에서 도입되었으며, 윈도우 XP SP3에서 사용할 수 있다.[31] CredSSP는 원격 데스크톱 서비스에 대한 싱글 사인온 및 네트워크 수준 인증을 제공한다.[9][20]

2. 8. 분산 암호 인증 (DPA)

분산 암호 인증(DPA, Distributed Password Authentication영어)은 `msapsspc.dll` 파일 형태로 윈도우 2000에 도입되었으며,[32] 공개 키 인증서를 사용하여 인터넷 인증을 제공한다.[10][21][32]

2. 9. PKU2U (Public Key Cryptography User-to-User)

PKU2U(Public Key Cryptography User-to-User)는 윈도우 7에서 도입된 보안 지원 제공자 인터페이스이다. (pku2u.dll)[21] 도메인에 속하지 않은 시스템 간에 디지털 인증서를 사용하여 피어 투 피어 인증을 제공한다.[10][21]

3. GSSAPI와의 비교

SSPI는 일반 보안 서비스 애플리케이션 프로그래밍 인터페이스(GSSAPI)의 독점 변형으로, 윈도우 관련 데이터 형식과 확장 기능을 갖추고 있다.[11][22] Windows NT 3.51 및 Windows 95에서 NTLMSSP와 함께 제공되었으며, 윈도우 2000에서는 커베로스 5 구현이 추가되어 다른 공급업체의 Kerberos 5 구현과의 와이어 수준 상호 운용성을 제공한다.

SSPI에서 생성 및 수락된 토큰은 대부분 GSS-API와 호환되므로, 윈도우의 SSPI 클라이언트는 특정 상황에 따라 유닉스의 GSS-API 서버로 인증할 수 있다. 하지만 SSPI는 채널 바인딩이 없어 일부 GSSAPI 상호 운용이 불가능하다는 단점이 있다.

IETF에서 정의한 GSSAPI와 마이크로소프트의 SSPI 간의 또 다른 근본적인 차이점은 "가장" 개념이다. GSSAPI 모델에서 서버는 서비스 계정에서 실행되는 경우 권한을 높일 수 없으며 클라이언트별 및 애플리케이션별 방식으로 접근 제어를 수행해야 한다. 가장 개념의 명백한 부정적인 보안 영향은 윈도우 비스타에서 가장을 선택된 서비스 계정으로 제한함으로써 방지된다.

참조

[1] 웹사이트 SSP Packages Provided by Microsoft https://msdn.microso[...]
[2] 웹사이트 User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN https://technet.micr[...]
[3] 웹사이트 Kerberos Enhancements in Windows Vista: MSDN https://technet.micr[...]
[4] 웹사이트 Windows 2000 Kerberos Authentication https://technet.micr[...]
[5] 웹사이트 Windows Authentication https://docs.microso[...] Microsoft 2012-07-02
[6] 웹사이트 TLS/SSL Cryptographic Enhancements in Windows Vista https://technet.micr[...]
[7] 웹사이트 Secure Channel: SSP Packages Provided by Microsoft https://msdn.microso[...]
[8] 웹사이트 Microsoft Digest SSP: SSP Packages provided by Microsoft https://msdn.microso[...]
[9] 웹사이트 Credential Security Service Provider and SSO for Terminal Services Logon https://technet.micr[...]
[10] 웹사이트 DCOM Technical Overview: Security on the Internet http://msdn.microsof[...]
[11] 웹사이트 Windows Service Hardening: AskPerf blog http://blogs.technet[...] 2009-12-22
[12] 웹사이트 SSP Packages Provided by Microsoft http://msdn.microsof[...] 2014-10-05
[13] 웹사이트 User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN http://technet.micro[...] 2014-10-05
[14] 웹사이트 Kerberos Enhancements in Windows Vista: MSDN http://technet.micro[...] 2014-10-05
[15] 웹사이트 Windows 2000 Kerberos Authentication http://technet.micro[...] 2014-10-05
[16] 웹사이트 Windows Authentication http://technet.micro[...] 2014-10-05
[17] 웹사이트 TLS/SSL Cryptographic Enhancements in Windows Vista http://technet.micro[...] 2014-10-05
[18] 웹사이트 Secure Channel: SSP Packages Provided by Microsoft http://msdn.microsof[...] 2014-10-05
[19] 웹사이트 Microsoft Digest SSP: SSP Packages provided by Microsoft http://msdn.microsof[...] 2014-10-05
[20] 웹사이트 Credential Security Service Provider and SSO for Terminal Services Logon http://technet.micro[...] 2014-10-05
[21] 웹사이트 DCOM Technical Overview: Security on the Internet http://msdn.microsof[...] 2014-10-05
[22] 웹사이트 Windows Service Hardening: AskPerf blog http://blogs.technet[...] 2014-10-05
[23] 웹사이트 SSP Packages Provided by Microsoft https://msdn.microso[...]
[24] 웹사이트 User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN https://technet.micr[...]
[25] 웹사이트 Kerberos Enhancements in Windows Vista: MSDN https://technet.micr[...]
[26] 웹사이트 Windows 2000 Kerberos Authentication https://technet.micr[...]
[27] 웹사이트 Windows Authentication https://technet.micr[...]
[28] 웹사이트 TLS/SSL Cryptographic Enhancements in Windows Vista https://technet.micr[...]
[29] 웹사이트 Secure Channel: SSP Packages Provided by Microsoft https://msdn.microso[...]
[30] 웹사이트 Microsoft Digest SSP: SSP Packages provided by Microsoft https://msdn.microso[...]
[31] 웹사이트 Credential Security Service Provider and SSO for Terminal Services Logon https://technet.micr[...]
[32] 웹인용 DCOM Technical Overview: Security on the Internet http://msdn.microsof[...] 2018-05-14


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com