Поделиться через

Подписывание сообщения

  • Статья

Когда клиент и сервер завершат настройку контекста безопасности , можно использовать функции поддержки сообщений. Клиент и сервер используют маркер контекста безопасности, созданный при создании сеанса для вызова функций MakeSignature и VerifySignature. Маркер контекста можно использовать с EncryptMessage (Общие) и DecryptMessage (Общие) для обеспечения конфиденциальности коммуникаций .

В следующем примере показано, как клиентская сторона создает подписанное сообщение для отправки на сервер. Перед вызовом MakeSignatureклиент вызывает QueryContextAttributes (General) со структурой SecPkgContext_Sizes, чтобы определить длину буфера, необходимого для хранения подписи сообщения. Если элемент cbMaxSignature равен нулю, пакет безопасности не поддерживает подписывание сообщений. В противном случае этот участник указывает размер буфера, который необходимо выделить для получения подписи.

В этом примере предполагается, что переменная SecHandle с именем phContext и структура SOCKET с именем s инициализированы. Для объявлений и инициализаций этих переменных см. раздел Использование SSPI с клиентом сокетов Windows и Использование SSPI с сервером сокетов Windows. Этот пример включает вызовы функций в Secur32.lib, которые должны быть включены в библиотеки ссылок.

//--------------------------------------------------------------------
//   Declare and initialize local variables.

SecPkgContext_Sizes ContextSizes;
char *MessageBuffer = "This is a sample buffer to be signed.";
DWORD MessageBufferSize = strlen(MessageBuffer);
SecBufferDesc InputBufferDescriptor;
SecBuffer InputSecurityToken[2];

ss = QueryContextAttributes(
    &phContext,
    SECPKG_ATTR_SIZES,
    &ContextSizes
    );
if(ContextSizes.cbMaxSignature == 0)
{
     MyHandleError("This session does not support message signing.");
}
//--------------------------------------------------------------------
// The message as a byte string is in the variable 
// MessageBuffer, and its length is in MessageBufferSize. 

//--------------------------------------------------------------------
// Build the buffer descriptor and the buffers 
// to pass to the MakeSignature call.

InputBufferDescriptor.cBuffers = 2;
InputBufferDescriptor.pBuffers = InputSecurityToken;
InputBufferDescriptor.ulVersion = SECBUFFER_VERSION;

//--------------------------------------------------------------------
// Build a security buffer for the message itself. If 
// the SECBUFFER_READONLY attribute is set, the buffer will not be
// signed.

InputSecurityToken[0].BufferType = SECBUFFER_DATA;
InputSecurityToken[0].cbBuffer = MessageBufferSize;
InputSecurityToken[0].pvBuffer = MessageBuffer;

//--------------------------------------------------------------------
// Allocate and build a security buffer for the message
// signature.

InputSecurityToken[1].BufferType = SECBUFFER_TOKEN;
InputSecurityToken[1].cbBuffer = ContextSizes.cbMaxSignature;
InputSecurityToken[1].pvBuffer = 
        (void *)malloc(ContextSizes.cbMaxSignature);

//--------------------------------------------------------------------
// Call MakeSignature 
// For the NTLM package, the sequence number need not be specified 
// because the package provides sequencing.
// The quality of service parameter is ignored.

Ss = MakeSignature(
    &phContext,
    0,                       // no quality of service
    &InputBufferDescriptor,  // input message descriptor
    0                        // no sequence number
    );
if (SEC_SUCCESS(ss))
{
     printf("Have made a signature.\n");
}
else
{ 
    MyHandleError("MakeSignature Failed."); 
}

//--------------------------------------------------------------------
//  Send the message.

if(!SendMsg(
    s,
    (BYTE *)InputSecurityToken[0].pvBuffer,
    InputSecurityToken[0].cbBuffer))
{
     MyHandleError("The message was not sent.");
}

//--------------------------------------------------------------------
//   Send the signature.

if(!SendMsg(
     s,
    (BYTE *)InputSecurityToken[1].pvBuffer,
    InputSecurityToken[1].cbBuffer ))
{
     MyHandleError("The signature was not sent.");
}

MakeSignature возвращает TRUE, если контекст настроен для разрешения подписывания сообщений и правильного форматирования дескриптора буфера ввода. После подписания сообщения сообщение и подпись с их длиной отправляются на удаленный компьютер.

Заметка

Содержимое структур SecBuffer отправляется, а не сами структуры SecBuffer или структура SecBufferDesc. Новые структуры SecBuffer и новая структура SecBufferDesc создаются принимающим приложением для проверки подписи.