在您学习相关的细节前,试着去了解SSPI处理缓冲器的方式可能会令人困惑,然后事情会变得相当清楚。如同之前所提的,InitializeSecurityContext使用缓冲器输入及输出所传递到服务器而准备的安全性Blobs。在第一次呼叫InitializeSecurityContext的时候,可以传递NULL给pInput参数。然而,当您从服务器接收资料时,应建构缓冲器并把它们传递给函数。
对于输入及输出的部份,每个对InitializeSecurityContext的呼叫都会取得一个SECBUFFER_TOKEN类型的SecBuffer阵列。这个缓冲器类型向系统指出这个缓冲器建立了一个环境的输入Blob或输出Blob。
以下所列的程序片段显示您如何建构与InitializeSecurityContext一起使用的缓冲器:
// 建立「输出」缓冲器
SecBuffer secBufferOut[1];
secBufferOut[0].BufferType = SECBUFFER_TOKEN;
secBufferOut[0].cbBuffer = cbBlockToSend;
secBufferOut[0].pvBuffer = pbBlockToSend;
// 建立「输出」缓冲器的描述项
SecBufferDesc secBufDescriptorOut;
secBufDescriptorOut.cBuffers = 1;
secBufDescriptorOut.pBuffers = secBufferOut;
secBufDescriptorOut.ulVersion = SECBUFFER_VERSION;
// 建立「输入」缓冲器
SecBuffer secBufferIn[1];
secBufferIn[0].BufferType = SECBUFFER_TOKEN;
secBufferIn[0].cbBuffer = cbBlockReceived;
secBufferIn[0].pvBuffer = pbBlockReceived;
// 建立「输入」缓冲器的描述项
SecBufferDesc secBufDescriptorIn;
secBufDescriptorIn.cBuffers = 1;
secBufDescriptorIn.pBuffers = secBufferIn;
secBufDescriptorIn.ulVersion = SECBUFFER_VERSION;
pbBlockReceived及pbBlockToSend缓冲器在呼叫InitializeSecurityContext之前即被分配。您可以选择要函数分配一个区块给您的输出缓冲器。
在呼叫InitializeSecurityContext后,输出缓冲器的cbBuffer成员会包含被传送到服务器的Blob大小。假如不为0的大小,则您应该从pvBuffer成员所指向的缓冲器中传递与这个值指示之一样多的位元组给服务器。这是验证的「交握(Handshake)」。
SSPI定义了一些不同的缓冲器类型。当它们与我们的讨论有关时,我将会加以说明。有关现在所定义的缓冲器类型清单,请参阅《Platform SDK》文件。
InitializeSecurityContext-把它们全部放在一起
当您在处理SSPI时,必须记住的细节数量之多毫无疑问会使人感到怯步,不过,先看它如何在简单的函数中产生作用将会使处理程序变得较清楚。
以下是一个范例函数,该程序使用我们所讨论过的技巧建立一个完整的环境:
BOOL ClientHandshakeAuth(CredHandle* phCredentials,
PULONG plAttributes, CtxtHandle* phContext, PTSTR pszServer){
BOOL fSuccess = FALSE;
__try{
SECURITY_STATUS ss;
// 宣告输入及输出的缓冲器
SecBuffer secBufferOut[1];
SecBufferDesc secBufDescriptorOut;
SecBuffer secBufferIn[1];
SecBufferDesc secBufDescriptorIn;
// 设定一些「回圈状态」资讯
BOOL fFirstPass = TRUE;
ss = SEC_I_CONTINUE_NEEDED;
while (ss == SEC_I_CONTINUE_NEEDED ){
// 在Blob指标里
PBYTE pbData = NULL;
if(fFirstPass){ // 第一次传递,没有里面的缓冲器
secBufDescriptorIn.cBuffers = 0;
secBufDescriptorIn.pBuffers = NULL;
secBufDescriptorIn.ulVersion = SECBUFFER_VERSION;
}else{ // 后续的传递
// 取得Blob的大小
ULONG lSize;
ULONG lTempSize = sizeof(lSize);
ReceiveData(&lSize, &lTempSize);
// 取得Blob
pbData = (PBYTE)alloca(lSize);
ReceiveData(pbData, &lSize);
// 把「输入缓冲器」指到Blob
secBufferIn[0].BufferType = SECBUFFER_TOKEN;
secBufferIn[0].cbBuffer = lSize;
secBufferIn[0].pvBuffer = pbData;
// 把「输入」BufDesc指到里面的缓冲器
secBufDescriptorIn.cBuffers = 1;
secBufDescriptorIn.pBuffers = secBufferIn;
secBufDescriptorIn.ulVersion = SECBUFFER_VERSION;
}
// 设定输出缓冲器(SSPI将分配缓冲器给我们)
secBufferOut[0].BufferType = SECBUFFER_TOKEN;
secBufferOut[0].cbBuffer = 0;
secBufferOut[0].pvBuffer = NULL;
// 把「输出」Bufdesc指到外面的缓冲器
secBufDescriptorOut.cBuffers = 1;
secBufDescriptorOut.pBuffers = secBufferOut;
secBufDescriptorOut.ulVersion = SECBUFFER_VERSION;
ss=
InitializeSecurityContext(
phCredentials,
fFirstPass?NULL:phContext,
pszServer,
*plAttributes | ISC_REQ_ALLOCATE_MEMORY,
0, SECURITY_NETWORK_DREP,
&secBufDescriptorIn, 0,
phContext,
&secBufDescriptorOut,
plAttributes, NULL);
// 通过回圈表示不再是第一次传递
fFirstPass = FALSE;
// 是Blob输出吗?假如是则传递它。
if (secBufferOut[0].cbBuffer!=0){
// 服务器通讯!!!
// 传递Blob的大小
SendData(&secBufferOut[0].cbBuffer, sizeof(ULONG));
// 传送Blob本身
SendData(secBufferOut[0].pvBuffer,
secBufferOut[0].cbBuffer);
// 释放缓冲器
FreeContextBuffer(secBufferOut[0].pvBuffer);
}
}// 重覆执行if ss == SEC_I_CONTINUE_NEEDED;
// 最后的结果
if (ss != SEC_E_OK){
__leave;
}
fSuccess = TRUE;
}__finally{
// 假如我们执行失败了,清除环境handle
if (!fSuccess){
ZeroMemory(phContext, sizeof(*phContext));
}
}
return (fSuccess);
}
ClientHandshakeAuth函数取得从AcquireCredentialsHandle传回的凭证handle、一些标记及服务器名称,以及假如建立环境成功所传回的一个完整环境。
请注意,ClientHandshakeAuth函数在程序代码中的两个地方与服务器通讯。我用来通讯的函数名称为SendData及ReceiveData的虚构函数。它们取得一个缓冲器及其大小,并且为您的软件所选择的任何通讯机制的替代符号(Placeholders)。
也请注意到当传输一个Blob时,会在传送Blob前先传送Blob的大小,而当收到一个Blob时,会在接收它之前先读取Blob的大小。
说明
因为SSPI是通讯传输独立的,建立一些用来传递Blobs到另一端的原则通讯协定类型对您来说是必要的。
特别注意这个函数中的缓冲器管理,以及当跨越线路传递需要再次循环的Blob及函数时,InitializeSecurityContext会如何传递到我们的软件。这是客户端与SSPI验证交握的职责核心。
以下的程序代码片段可以用来取得凭证handle及呼叫ClientHandshakeAuth,表示开始使用Kerberos通讯协定验证:
CredHandle hCredentials;
TimeStamp tsExpires;
SECURITY_STATUS ss = AcquireCredentialsHandle(NULL,
MICROSOFT_KERBEROS_NAME, SECPKG_CRED_BOTH, NULL, NULL,
NULL, NULL, &hCredentials, &tsExpires );
if(ss != SEC_E_OK){
// 错误
}
ULONG lAttributes =
ISC_REQ_STREAM|ISC_REQ_CONFIDENTIALITY|ISC_REQ_MUTUAL_AUTH;
CtxtHandle hContext = {0};
if(!ClientHandshakeAuth(&hCredentials, &lAttributes,
&hContext, TEXT("jclark-piii600"))){
// 错误
}
// 假如成功,我们已经在这里验证
DeleteSecurityContext(&hContext);
FreeCredentialsHandle(&hCredentials);
在这个程序代码里,AcquireCredentialsHandle传回了凭证handle,表示呼叫函数的身分识别。然后我们呼叫了我们的范例函数ClientHandshakeAuth,指出我们要使用彼此验证及加密功能,以及我们将使用资料流技术通讯。我们现在要谈论SSPI中有关服务器端的验证部份。在您离开这个主题前,您会发现花些时间复习 图12-3 及 12-4 中,说明客户端及服务器端的SSPI会谈内容是有帮助的。请在我们刚刚检查的程序代码片段环境中思考这些图。
验证-服务器的角色
使用SSPI了解客户端在验证交握中的角色,对于了解服务器的角色是有帮助的。事实上,一旦了解其中一端后,另一端就变得非常容易。管理Blobs的服务器函数是AcceptSecurityContext:
SECURITY_STATUS AcceptSecurityContext(
PcredHandle phCredential,
PCtxtHandle phContext,
PSecBufferDesc pInput,
ULONG lContextReq,
ULONG lTargetDataRep,
PCtxtHandle phNewContext,
PSecBufferDesc pOutput,
PULONG pfContextAttr,
PTimeStamp ptsExpiration);
请注意,AcceptSecurityContext拥有与InitializeSecurityContext相同的参数,它没有两个预留的参数及指出服务器名称的参数。当然,它不需要服务器名称,因为它呼叫AcceptSecurityContext的服务器。
就像它的客户端角色一样,AcceptSecurityContext的角色是接收及产生Blobs。AcceptSecurityContext及InitializeSecurityContext都必须被允许重覆执行,直到它们传回SEC_E_OK为止。在使用AcceptSecurityContext时,有两个值得注意的地方:
- 在您第一次呼叫AcceptSecurityContext时,您已经从您的客户端收到了第一个Blob,所以总是有一个与这个函数一起使用的输入缓冲器(这和InitializeSecurityContext不同,它的初始传递没有输入缓冲器)。
- 除了AcceptSecurityContext的lContextReq参数值有不同的前置字元外,AcceptSecurityContext使用了与InitializeSecurityContext相同的环境需求(列于表12-7)。取代以「ISC_REQ_」开始的「InitializeSecurityContext需求」,AcceptSecurityContext的需求以「ASC_REQ_」开始。例如,ISC_REQ_CONFIDENTIALITY 等于 ASC_REQ_CONFIDENTIALITY。
除了这两个差别之外,在您使用AcceptSecurityContext时,大部分皆与使用InitializeSecurityContext的方法相同。然而,AcceptSecurityContext产生的环境更有能力,因为服务器可以用它来模拟或用其他方式取得权杖的handle,我们稍后将讨论它。让我们看一个范例函数,它在服务器程序代码中显示AcceptSecurityContext的用途:
BOOL ServerHandshakeAuth(CredHandle* phCredentials,
PULONG plAttributes, CtxtHandle *phContext){
BOOL fSuccess = FALSE;
__try{
SECURITY_STATUS ss;
// 宣告输入及输出缓冲器
SecBuffer secBufferIn[1];
SecBufferDesc secBufDescriptorIn;
SecBuffer secBufferOut[1];
SecBufferDesc secBufDescriptorOut;
// 设定一些「回圈状态」资讯
BOOL fFirstPass = TRUE;
ss = SEC_I_CONTINUE_NEEDED;
while (ss == SEC_I_CONTINUE_NEEDED){
// 客户端通讯!!!
// 取得Blob的大小。
ULONG lSize;
ULONG lTempSize = sizeof(lSize);
ReceiveData(&lSize, &lTempSize);
// 取得Blob
PBYTE pbTokenBuf = (PBYTE)alloca(lSize);
ReceiveData(pbTokenBuf, &lSize);
// 把「输入缓冲器」指到Blob
secBufferIn[0].BufferType = SECBUFFER_TOKEN;
secBufferIn[0].cbBuffer = lSize;
secBufferIn[0].pvBuffer = pbTokenBuf;
// 把「输入」BufDesc指到里面的缓冲器
secBufDescriptorIn.ulVersion = SECBUFFER_VERSION;
secBufDescriptorIn.cBuffers = 1;
secBufDescriptorIn.pBuffers = secBufferIn;
// 设定输出缓冲器
//(SSPI将分配缓冲器给我们)
secBufferOut[0].BufferType = SECBUFFER_TOKEN;
secBufferOut[0].cbBuffer = 0;
secBufferOut[0].pvBuffer = NULL;
// 把「输出」Bufdesc指到外面的缓冲器
secBufDescriptorOut.ulVersion = SECBUFFER_VERSION;
secBufDescriptorOut.cBuffers = 1;
secBufDescriptorOut.pBuffers = secBufferOut;
// 这是我们的Blob管理函数
ss =
AcceptSecurityContext(
phCredentials,
fFirstPass?NULL:phContext,
&secBufDescriptorIn,
*plAttributes | ASC_REQ_ALLOCATE_MEMORY,
SECURITY_NETWORK_DREP,
phContext,
&secBufDescriptorOut,
plAttributes, NULL);
// 通过回圈表示不再是第一次传递
fFirstPass = FALSE;
// 输出Blob吗?假如是,传递它。
if (secBufferOut[0].cbBuffer != 0){
// 客户端通讯!!!
// 传递Blob的大小。
SendData(&secBufferOut[0].cbBuffer, sizeof(ULONG));
// 传送Blob本身
SendData(secBufferOut[0].pvBuffer,
secBufferOut[0].cbBuffer);
// 释放缓冲器
FreeContextBuffer(secBufferOut[0].pvBuffer);
}
}// 重覆执行if ss == SEC_I_CONTINUE_NEEDED;
// 最后的结果
if(ss != SEC_E_OK){
__leave;
}
fSuccess = TRUE;
}__finally{
// 假如我们执行失败了,清除环境handle
if (!fSuccess){
ZeroMemory(phContext, sizeof(*phContext));
}
}
return (fSuccess);
}
请注意,ServerHandshakeAuth使用了名称为SendData及ReceiveData的虚拟函数,它们意图代表任何的通讯机制。同样地,ServerHandshakeAuth会传送及接收Blobs的大小以使另一端知道要接收多少资料。
再者,特别注意缓冲器的管理程序代码。请注意,收到的Blobs会经由里面的缓冲器被传递到函数里。同时会检查外面缓冲器是否存在;假设它存在,则跨越线路传送它。同样地,AcceptSecurityContext的用途可让函数分配内存缓冲器给输出Blobs,最后使用和InitializeSecurityContext相同的方法,用FreeContextBuffer释放这些缓冲器。
以下的程序代码片段可被用来设定呼叫ServerHandshakeAuth范例函数里使用的凭证: