Función InitializeSecurityContextA (sspi.h)

  • Artículo

La función InitializeSecurityContext (General) inicia el contexto de seguridad saliente del lado cliente desde un identificador de credenciales. La función se usa para crear un contexto de seguridad entre la aplicación cliente y un elemento del mismo nivel remoto. InitializeSecurityContext (General) devuelve un token que el cliente debe pasar al mismo nivel remoto, que a su vez el mismo nivel envía a la implementación de seguridad local a través de la llamada AcceptSecurityContext (General). Todos los autores de llamada deben considerar el token generado como opaco.

Normalmente, se llama a la función InitializeSecurityContext (General) en un bucle hasta que se establece un contexto de seguridad suficiente.

Para obtener información sobre el uso de esta función con un proveedor de soporte técnico de seguridad específico (SSP), consulte los temas siguientes.

Tema Descripción
InitializeSecurityContext (CredSSP) Inicia el contexto de seguridad saliente del lado cliente desde un identificador de credenciales mediante el proveedor de soporte técnico de seguridad de credenciales (CredSSP).
InitializeSecurityContext (Resumen) Inicia el contexto de seguridad saliente del lado cliente desde un identificador de credenciales mediante el paquete de seguridad implícita.
InitializeSecurityContext (Kerberos) Inicia el contexto de seguridad saliente del lado cliente desde un identificador de credenciales mediante el paquete de seguridad Kerberos.
InitializeSecurityContext (Negotiate) Inicia el contexto de seguridad saliente del lado cliente desde un identificador de credenciales mediante el paquete de seguridad Negotiate.
InitializeSecurityContext (NTLM) Inicia el contexto de seguridad saliente del lado cliente desde un identificador de credenciales mediante el paquete de seguridad NTLM.
InitializeSecurityContext (Schannel) Inicia el contexto de seguridad saliente del lado cliente desde un identificador de credenciales mediante el paquete de seguridad de Schannel.

Sintaxis

SECURITY_STATUS SEC_ENTRY InitializeSecurityContextA(
  [in, optional]      PCredHandle    phCredential,
  [in, optional]      PCtxtHandle    phContext,
                      SEC_CHAR       *pszTargetName,
  [in]                unsigned long  fContextReq,
  [in]                unsigned long  Reserved1,
  [in]                unsigned long  TargetDataRep,
  [in, optional]      PSecBufferDesc pInput,
  [in]                unsigned long  Reserved2,
  [in, out, optional] PCtxtHandle    phNewContext,
  [in, out, optional] PSecBufferDesc pOutput,
  [out]               unsigned long  *pfContextAttr,
  [out, optional]     PTimeStamp     ptsExpiry
);

Parámetros

[in, optional] phCredential

Identificador de las credenciales devueltas por AcquireCredentialsHandle (General). Este identificador se usa para crear el contexto de seguridad. La función InitializeSecurityContext (General) requiere al menos credenciales OUTBOUND.

[in, optional] phContext

Puntero a una estructura CtxtHandle . En la primera llamada a InitializeSecurityContext (General), este puntero es NULL. En la segunda llamada, este parámetro es un puntero al identificador del contexto parcialmente formado devuelto en el parámetro phNewContext por la primera llamada.

Este parámetro es opcional con el SSP de resumen de Microsoft y se puede establecer en NULL.

Al usar el SSP de Schannel, en la primera llamada a InitializeSecurityContext (General), especifique NULL. En futuras llamadas, especifique el token recibido en el parámetro phNewContext después de la primera llamada a esta función.

pszTargetName

TBD

[in] fContextReq

Marcas de bits que indican solicitudes para el contexto. No todos los paquetes pueden admitir todos los requisitos. Las marcas usadas para este parámetro tienen el prefijo ISC_REQ_, por ejemplo, ISC_REQ_DELEGATE. Este parámetro puede ser una o varias de las marcas de atributos siguientes.

Valor Significado
ISC_REQ_ALLOCATE_MEMORY
 El paquete de seguridad asigna búferes de salida. Cuando haya terminado de usar los búferes de salida, liberelos llamando a la función FreeContextBuffer .
ISC_REQ_CONFIDENTIALITY
 Cifre los mensajes mediante la función EncryptMessage .
ISC_REQ_CONNECTION
 El contexto de seguridad no controlará los mensajes de formato. Este valor es el valor predeterminado para los paquetes de seguridad Kerberos, Negotiate y NTLM.
ISC_REQ_DELEGATE
 El servidor puede usar el contexto para autenticarse en otros servidores como cliente. La marca ISC_REQ_MUTUAL_AUTH debe establecerse para que esta marca funcione. Válido para Kerberos. Omita esta marca para la delegación restringida.
ISC_REQ_EXTENDED_ERROR
 Cuando se produzcan errores, se notificará a la entidad remota.
ISC_REQ_HTTP
 Use Digest para HTTP. Omita esta marca para usar Digest como mecanismo SASL.
ISC_REQ_INTEGRITY
 Firmar mensajes y comprobar firmas mediante las funciones EncryptMessage y MakeSignature .
ISC_REQ_MANUAL_CRED_VALIDATION
 Schannel no debe autenticar el servidor automáticamente.
ISC_REQ_MUTUAL_AUTH
 Se cumplirá la directiva de autenticación mutua del servicio.
Precaución Esto no significa necesariamente que se realice la autenticación mutua, solo que se cumpla la directiva de autenticación del servicio. Para asegurarse de que se realiza la autenticación mutua, llame a la función QueryContextAttributes (General).
 
ISC_REQ_NO_INTEGRITY
 Si se establece esta marca, se omite la marca ISC_REQ_INTEGRITY .

Este valor solo es compatible con los paquetes de seguridad Negotiate y Kerberos.
ISC_REQ_REPLAY_DETECT
 Detecte mensajes reproducidos que se han codificado mediante las funciones EncryptMessage o MakeSignature .
ISC_REQ_SEQUENCE_DETECT
 Detectar mensajes recibidos fuera de secuencia.
ISC_REQ_STREAM
 Compatibilidad con una conexión orientada a flujos.
ISC_REQ_USE_SESSION_KEY
 Se debe negociar una nueva clave de sesión .

Este valor solo es compatible con el paquete de seguridad kerberos.
ISC_REQ_USE_SUPPLIED_CREDS
 Schannel no debe intentar proporcionar credenciales para el cliente automáticamente.
 

Es posible que el cliente no admita los atributos solicitados. Para obtener más información, consulte el parámetro pfContextAttr .

Para obtener más descripciones de los distintos atributos, vea Requisitos de contexto.

[in] Reserved1

Este parámetro está reservado y debe establecerse en cero.

[in] TargetDataRep

Representación de datos, como el orden de bytes, en el destino. Este parámetro puede ser SECURITY_NATIVE_DREP o SECURITY_NETWORK_DREP.

Este parámetro no se usa con Digest o Schannel. Establézcalo en cero.

[in, optional] pInput

Puntero a una estructura SecBufferDesc que contiene punteros a los búferes proporcionados como entrada al paquete. A menos que el servidor inicie el contexto de cliente, el valor de este parámetro debe ser NULL en la primera llamada a la función. En las llamadas posteriores a la función o cuando el servidor inició el contexto de cliente, el valor de este parámetro es un puntero a un búfer asignado con suficiente memoria para contener el token devuelto por el equipo remoto.

[in] Reserved2

Este parámetro está reservado y debe establecerse en cero.

[in, out, optional] phNewContext

Puntero a una estructura CtxtHandle . En la primera llamada a InitializeSecurityContext (General), este puntero recibe el nuevo identificador de contexto. En la segunda llamada, phNewContext puede ser el mismo que el identificador especificado en el parámetro phContext .

Al usar el SSP de Schannel, en las llamadas después de la primera llamada, pase el identificador devuelto aquí como el parámetro phContext y especifique NULL para phNewContext.

[in, out, optional] pOutput

Puntero a una estructura SecBufferDesc que contiene punteros a la estructura SecBuffer que recibe los datos de salida. Si se ha escrito un búfer como SEC_READWRITE en la entrada, estará allí en la salida. El sistema asignará un búfer para el token de seguridad si se solicita (a través de ISC_REQ_ALLOCATE_MEMORY) y rellena la dirección en el descriptor del búfer para el token de seguridad.

Cuando se usa el SSP de Resumen de Microsoft, este parámetro recibe la respuesta de desafío que se debe enviar al servidor.

Al usar el SSP de Schannel, si se especifica la marca ISC_REQ_ALLOCATE_MEMORY, el SSP de Schannel asignará memoria para el búfer y colocará la información adecuada en SecBufferDesc. Además, el autor de la llamada debe pasar un búfer de tipo SECBUFFER_ALERT. En la salida, si se genera una alerta, este búfer contiene información sobre esa alerta y se produce un error en la función.

[out] pfContextAttr

Puntero a una variable para recibir un conjunto de marcas de bits que indican los atributos del contexto establecido. Para obtener una descripción de los distintos atributos, vea Requisitos de contexto.

Las marcas usadas para este parámetro tienen el prefijo ISC_RET, como ISC_RET_DELEGATE.

Para obtener una lista de valores válidos, consulte el parámetro fContextReq .

No compruebe los atributos relacionados con la seguridad hasta que la llamada de función final se devuelva correctamente. Las marcas de atributo que no están relacionadas con la seguridad, como la marca ASC_RET_ALLOCATED_MEMORY, se pueden comprobar antes de la devolución final.

Nota Los atributos de contexto concretos pueden cambiar durante la negociación con un elemento del mismo nivel remoto.
 

[out, optional] ptsExpiry

Puntero a una estructura TimeStamp que recibe la hora de expiración del contexto. Se recomienda que el paquete de seguridad devuelva siempre este valor en la hora local. Este parámetro es opcional y se debe pasar NULL para los clientes de corta duración.

No hay ningún tiempo de expiración para los contextos de seguridad o las credenciales de SSP de Microsoft Digest.

Valor devuelto

Si la función se realiza correctamente, la función devuelve uno de los siguientes códigos de operación correcta.

Código devuelto Descripción
SEC_I_COMPLETE_AND_CONTINUE
 El cliente debe llamar a CompleteAuthToken y, a continuación, pasar la salida al servidor. A continuación, el cliente espera un token devuelto y lo pasa, en otra llamada, a InitializeSecurityContext (General) .
SEC_I_COMPLETE_NEEDED
 El cliente debe terminar de compilar el mensaje y, a continuación, llamar a la función CompleteAuthToken .
SEC_I_CONTINUE_NEEDED
 El cliente debe enviar el token de salida al servidor y esperar un token de devolución. A continuación, el token devuelto se pasa en otra llamada a InitializeSecurityContext (General). El token de salida puede estar vacío.
SEC_I_INCOMPLETE_CREDENTIALS
 Se usa con Schannel. El servidor ha solicitado la autenticación de cliente y las credenciales proporcionadas no incluyen un certificado o el certificado no lo emitió una entidad de certificación de confianza para el servidor. Para obtener más información, vea la sección Comentarios.
SEC_E_INCOMPLETE_MESSAGE
 Se usa con Schannel. Los datos de todo el mensaje no se leyeron de la conexión.

Cuando se devuelve este valor, el búfer pInput contiene una estructura SecBuffer con un miembro BufferType de SECBUFFER_MISSING. El miembro cbBuffer de SecBuffer contiene un valor que indica el número de bytes adicionales que la función debe leer del cliente antes de que esta función se realice correctamente. Aunque este número no siempre es preciso, su uso puede ayudar a mejorar el rendimiento evitando varias llamadas a esta función.
SEC_E_OK
 El contexto de seguridad se inicializó correctamente. No es necesario realizar otra llamada InitializeSecurityContext (General). Si la función devuelve un token de salida, es decir, si el SECBUFFER_TOKEN en pOutput tiene una longitud distinta de cero, ese token se debe enviar al servidor.
 

Si se produce un error en la función, la función devuelve uno de los siguientes códigos de error.

Código devuelto Descripción
SEC_E_INSUFFICIENT_MEMORY
 No hay suficiente memoria disponible para completar la acción solicitada.
SEC_E_INTERNAL_ERROR
 Error que no se asignación a un código de error de SSPI.
SEC_E_INVALID_HANDLE
 El identificador pasado a la función no es válido.
SEC_E_INVALID_TOKEN
 El error se debe a un token de entrada con formato incorrecto, como un token dañado en tránsito, un token de tamaño incorrecto o un token pasado al paquete de seguridad incorrecto. Pasar un token al paquete incorrecto puede ocurrir si el cliente y el servidor no negociaron el paquete de seguridad adecuado.
SEC_E_LOGON_DENIED
 Error en el inicio de sesión.
SEC_E_NO_AUTHENTICATING_AUTHORITY
 No se pudo establecer contacto con ninguna autoridad para la autenticación. El nombre de dominio de la entidad de autenticación podría ser incorrecto, el dominio podría no ser accesible o podría haber habido un error de relación de confianza.
SEC_E_NO_CREDENTIALS
 No hay credenciales disponibles en el paquete de seguridad.
SEC_E_TARGET_UNKNOWN
 No se reconoció el destino.
SEC_E_UNSUPPORTED_FUNCTION
 Se especificó una marca de atributo de contexto que no es válida (ISC_REQ_DELEGATE o ISC_REQ_PROMPT_FOR_CREDS) en el parámetro fContextReq .
SEC_E_WRONG_PRINCIPAL
 La entidad de seguridad que recibió la solicitud de autenticación no es la misma que la pasada al parámetro pszTargetName . Esto indica un error en la autenticación mutua.

Comentarios

El autor de la llamada es responsable de determinar si los atributos de contexto finales son suficientes. Si, por ejemplo, se solicitó la confidencialidad, pero no se pudo establecer, algunas aplicaciones pueden optar por apagar la conexión inmediatamente.

Si los atributos del contexto de seguridad no son suficientes, el cliente debe liberar el contexto parcialmente creado llamando a la función DeleteSecurityContext .

Un cliente usa la función InitializeSecurityContext (General) para inicializar un contexto de salida.

Para un contexto de seguridad de dos segmentos, la secuencia de llamada es la siguiente:

  1. El cliente llama a la función con phContext establecido en NULL y rellena el descriptor de búfer con el mensaje de entrada.
  2. El paquete de seguridad examina los parámetros y construye un token opaco, colocándolo en el elemento TOKEN de la matriz de búfer. Si el parámetro fContextReq incluye la marca ISC_REQ_ALLOCATE_MEMORY, el paquete de seguridad asigna la memoria y devuelve el puntero en el elemento TOKEN.
  3. El cliente envía el token devuelto en el búfer pOutput al servidor de destino. A continuación, el servidor pasa el token como argumento de entrada en una llamada a la función AcceptSecurityContext (General ).
  4. AcceptSecurityContext (General) puede devolver un token, que el servidor envía al cliente para una segunda llamada a InitializeSecurityContext (General) si la primera llamada devolvió SEC_I_CONTINUE_NEEDED.
En el caso de los contextos de seguridad de varias fases, como la autenticación mutua, la secuencia de llamada es la siguiente:
  1. El cliente llama a la función como se ha descrito anteriormente, pero el paquete devuelve el código de SEC_I_CONTINUE_NEEDED correcto.
  2. El cliente envía el token de salida al servidor y espera la respuesta del servidor.
  3. Tras recibir la respuesta del servidor, el cliente llama de nuevo a InitializeSecurityContext (General), con phContext establecido en el identificador devuelto desde la última llamada. El token recibido del servidor se proporciona en el parámetro pInput .
Si el servidor ha respondido correctamente, el paquete de seguridad devuelve SEC_E_OK y se establece una sesión segura.

Si la función devuelve una de las respuestas de error, no se acepta la respuesta del servidor y no se establece la sesión.

Si la función devuelve SEC_I_CONTINUE_NEEDED, SEC_I_COMPLETE_NEEDED o SEC_I_COMPLETE_AND_CONTINUE, se repiten los pasos 2 y 3.

Para inicializar un contexto de seguridad, se puede requerir más de una llamada a esta función, según el mecanismo de autenticación subyacente, así como las opciones especificadas en el parámetro fContextReq .

Los parámetros fContextReq y pfContextAttributes son máscaras de bits que representan varios atributos de contexto. Para obtener una descripción de los distintos atributos, vea Requisitos de contexto. El parámetro pfContextAttributes es válido en cualquier devolución correcta, pero solo en la devolución correcta final debe examinar las marcas que pertenecen a los aspectos de seguridad del contexto. Los valores intermedios pueden establecer, por ejemplo, la marca ISC_RET_ALLOCATED_MEMORY.

Si se establece la marca ISC_REQ_USE_SUPPLIED_CREDS, el paquete de seguridad debe buscar un tipo de búfer de SECBUFFER_PKG_PARAMS en el búfer de entrada pInput . Esta no es una solución genérica, pero permite un emparejamiento seguro de paquete de seguridad y aplicación cuando sea adecuado.

Si se especificó ISC_REQ_ALLOCATE_MEMORY, el autor de la llamada debe liberar la memoria llamando a la función FreeContextBuffer .

Por ejemplo, el token de entrada podría ser el desafío de un administrador de LAN. En este caso, el token de salida sería la respuesta cifrada con NTLM al desafío.

La acción que realiza el cliente depende del código devuelto de esta función. Si el código de retorno es SEC_E_OK, no habrá ninguna segunda llamada InitializeSecurityContext (General) y no se espera ninguna respuesta del servidor. Si el código de retorno es SEC_I_CONTINUE_NEEDED, el cliente espera un token en respuesta del servidor y lo pasa en una segunda llamada a InitializeSecurityContext (General). El código de retorno SEC_I_COMPLETE_NEEDED indica que el cliente debe terminar de compilar el mensaje y llamar a la función CompleteAuthToken . El código SEC_I_COMPLETE_AND_CONTINUE incorpora ambas acciones.

Si InitializeSecurityContext (General) devuelve éxito en la primera llamada (o solo), el autor de la llamada debe llamar finalmente a la función DeleteSecurityContext en el identificador devuelto, incluso si se produce un error en la llamada en una fase posterior del intercambio de autenticación.

El cliente puede llamar a InitializeSecurityContext (General) de nuevo después de que se haya completado correctamente. Esto indica al paquete de seguridad que se desea una reautenticación.

Los autores de llamadas en modo kernel tienen las siguientes diferencias: el nombre de destino es una cadena Unicode que se debe asignar en memoria virtual mediante VirtualAlloc; no se debe asignar desde el grupo. Los búferes pasados y proporcionados en pInput y pOutput deben estar en memoria virtual, no en el grupo.

Al usar el SSP de Schannel, si la función devuelve SEC_I_INCOMPLETE_CREDENTIALS, compruebe que especificó un certificado válido y de confianza en sus credenciales. El certificado se especifica al llamar a la función AcquireCredentialsHandle (General). El certificado debe ser un certificado de autenticación de cliente emitido por una entidad de certificación (CA) de confianza para el servidor. Para obtener una lista de las CA de confianza del servidor, llame a la función QueryContextAttributes (General) y especifique el atributo SECPKG_ATTR_ISSUER_LIST_EX.

Cuando se usa el SSP de Schannel, después de que una aplicación cliente reciba un certificado de autenticación de una ENTIDAD de certificación de confianza para el servidor, la aplicación crea una nueva credencial llamando a la función AcquireCredentialsHandle (General) y, a continuación, llamando a InitializeSecurityContext (General) de nuevo, especificando la nueva credencial en el parámetro phCredential .

Nota

El encabezado sspi.h define InitializeSecurityContext como alias que selecciona automáticamente la versión ANSI o Unicode de esta función en función de la definición de la constante de preprocesador UNICODE. La combinación del uso del alias neutral de codificación con código que no es neutral de codificación puede dar lugar a errores de coincidencia que dan lugar a errores de compilación o tiempo de ejecución. Para obtener más información, vea Convenciones para prototipos de función.

Requisitos

Requisito Value
Cliente mínimo compatible Windows XP [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2003 [solo aplicaciones de escritorio]
Plataforma de destino Windows
Encabezado sspi.h (include Security.h)
Library Secur32.lib
Archivo DLL Secur32.dll

Consulte también

AcceptSecurityContext (General)

AcquireCredentialsHandle (General)

CompleteAuthToken

DeleteSecurityContext

FreeContextBuffer

Funciones SSPI

SecBuffer

SecBufferDesc