연결 간의 보안 컨텍스트 유지 관리
참고
Windows 11 22H2부터 Microsoft는 wDigest라고도 하는 Microsoft 다이제스트를 더 이상 사용하지 않습니다. 지원되는 Windows 버전에서 Microsoft Digest를 계속 지원할 예정입니다. 이후 버전의 Windows에는 Microsoft 다이제스트에 대한 제한된 기능이 포함되며, 결국 Microsoft 다이제스트는 Windows에서 더 이상 지원되지 않습니다.
도메인 컨트롤러 트래픽을 줄이고 성능을 향상시키기 위해 Microsoft Digest의 클라이언트 쪽은 서버 인증에 성공한 후 받은 정보를 캐시합니다. 클라이언트 애플리케이션은 설정된 보안 컨텍스트 에 대한 핸들만 캐시하면 됩니다. 다음 표에서는 보안 패키지에 의해 캐시된 정보를 설명합니다.
| 정보 | Description |
|---|---|
| 서버 이름 | 사용자에 대한 보안 컨텍스트를 성공적으로 만든 서버입니다. |
| 영역/도메인 | 성공적인 인증에 사용되는 도메인 이름입니다. |
| Nonce | 성공적인 인증과 연결된 서버 nonce입니다. |
| Nonce 개수 | 클라이언트가 서버에 대한 요청에 nonce를 포함한 횟수입니다. 재생 감지에 사용됩니다. |
| 불투명 값 | 인증에 성공한 후 불투명 지시문에 대해 반환된 값입니다. 이 값은 사용자의 보안 컨텍스트에 대한 참조를 포함합니다. |
클라이언트가 서버에 메시지를 보낼 때 서버는 클라이언트에 기존 보안 컨텍스트가 있는지 여부를 결정해야 합니다. 이를 위해 서버는 각 클라이언트 요청을 AcceptSecurityContext(일반) 함수에 전달합니다. 이 함수는 요청(있는 경우)에서 불투명 지시문의 값을 추출하고 이를 사용하여 클라이언트의 보안 컨텍스트를 조회합니다. 보안 컨텍스트가 발견되면 컨텍스트의 핸들이 서버로 반환됩니다. 관련 정보는 후속 요청 인증을 참조하세요.
스푸핑 및 재생 공격을 감지하는 수단으로 클라이언트는 보안 컨텍스트를 사용하여 메시지에 서명하는 MakeSignature 함수를 호출합니다. MakeSignature 함수를 사용하여 메시지를 보호하는 경우 서버는 캐시된 컨텍스트와 함께 VerifySignature 함수를 사용하여 메시지의 원본 및 무결성을 확인합니다. 자세한 내용은 메시지 보호를 참조하세요.