Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Rozšíření zabezpečených soketů rozhraní Winsock umožňují aplikaci soketů řídit zabezpečení provozu přes síť. Tato rozšíření umožňují aplikaci poskytovat zásady zabezpečení a požadavky na síťový provoz a dotazovat se na použitá nastavení zabezpečení. Aplikace může tato rozšíření použít například k dotazování tokenu zabezpečení partnerského vztahu, který lze použít k provádění kontrol přístupu na úrovni aplikace.
Rozšíření zabezpečených soketů jsou určená k integraci služeb poskytovaných protokolem IPsec a dalšími protokoly zabezpečení s architekturou Winsock. Před systémem Windows Vista v systémech Windows Server 2003 a Windows XP byl protokol IPsec nakonfigurován správcem prostřednictvím místních a doménových zásad. V systému Windows Vista rozšíření zabezpečených soketů místo toho umožňují aplikacím zcela nebo částečně konfigurovat a řídit zabezpečení jejich síťového provozu na úrovni soketu.
Aplikace už můžou zabezpečit síťový provoz pomocí veřejných rozhraní API, jako je správa protokolu IPsec, platforma filtrování systému Windows a rozhraní SSPI (Security Support Provider Interface). Použití těchto rozhraní API ale může ztížit vývoj aplikace a může ztěžovat konfiguraci a nasazení. Rozšíření zabezpečených soketů Winsock byla navržena tak, aby zjednodušila vývoj síťových aplikací, které vyžadují zabezpečený síťový provoz tím, že služba Winsock zvládá většinu složitosti.
Tato rozšíření zabezpečených soketů jsou k dispozici v systému Windows Vista a novějších verzích.
Funkce zabezpečených soketů
Funkce rozšíření zabezpečeného soketu jsou následující:
- WSADeleteSocketPeerTargetName
- WSAImpersonateSocketPeer
- WSAQuerySocketSecurity
- wsaRevertImpersonation
- WSASetSocketPeerTargetName
- WSASetSocketSecurity
Poznámka
Funkce zabezpečených soketů v současné době podporují pouze protokol IPsec a jsou k dispozici v systému Windows Vista a novější.
Struktury a výčty používané funkcemi zabezpečeného soketu jsou následující:
- SOCKET_PEER_TARGET_NAME
- SOCKET_SECURITY_PROTOCOL
- SOCKET_SECURITY_QUERY_INFO
- SOCKET_SECURITY_QUERY_TEMPLATE
- SOCKET_SECURITY_SETTINGS
- SOCKET_SECURITY_SETTINGS_IPSEC
Funkce zabezpečených soketů se snadno používají pro běžné aplikace a jsou dostatečně flexibilní pro aplikace, které potřebují vysoký stupeň kontroly nad jejich zabezpečením. Tyto funkce umožňují, aby byl základní mechanismus zabezpečení skrytý pro aplikaci. Aplikace může zadat obecné požadavky na zabezpečení a nechat správce řídit protokol zabezpečení, který se používá k podpoře požadavků. I když je možné tyto funkce rozšířit tak, aby přidávaly další protokoly zabezpečení, v současné době se s funkcemi zabezpečeného soketu integruje pouze protokol IPsec.
Funkce WSASetSocketSecurity umožňuje aplikaci povolit zabezpečení a použít nastavení zabezpečení před navázáním připojení.
Funkce WSASetSocketPeerTargetName umožňuje aplikaci zadat cílový název odpovídající entitě partnerského vztahu. Vybraný protokol zabezpečení použije tyto informace při ověřování partnerského vztahu. Tato funkce řeší obavy týkající se důvěryhodných útoků typu man-in-the-middle.
Funkce WSADeleteSocketPeerTargetName slouží k odstranění dříve zadaného názvu partnerského vztahu pro soket.
Po navázání připojení umožňuje funkce WSAQuerySocketSecurity aplikaci dotazovat vlastnosti zabezpečení připojení, které můžou zahrnovat přístupový token partnerského vztahu nebo přístupového tokenu počítače.
Po navázání připojení funkce WSAImpersonateSocketPeer umožňuje aplikaci zosobnit objekt zabezpečení odpovídající partnerskému uzlu soketu, aby mohla provádět autorizaci na úrovni aplikace.
WSARevertImpersonation umožňuje aplikaci ukončit zosobnění partnerského uzlu soketu.
Architektura zabezpečených soketů
- Aplikace volá funkce zabezpečeného soketu k nastavení nebo dotazování nastavení zabezpečení soketu.
- Funkce zabezpečeného soketu jsou sada funkcí rozšíření bezpečného typu, které zabalují volání WSAIoctl funkce pomocí nově definovaných hodnot pro parametr dwIoControlCode dostupný v systému Windows Vista a novějších. Tyto hodnoty IOCTLs se zpracovávají pomocí zásobníku sítě.
- Zásobník sítě bude směrovat volání vynucování aplikační vrstvy (ALE) spolu s popisovačem koncového bodu. Pro WSADeleteSocketPeerTargetName, WSASetSocketPeerTargetNamea WSASetSocketSecurity funkce, ALE nakonfiguruje nastavení aplikace na místním koncovém bodu. Pro funkci WSAQuerySocketSecurity ale přečte požadované informace z příslušných místních a vzdálených koncových bodů.
- Na základě událostí soketů vynucuje vynucení aplikační vrstvy (ALE) zásady pro architekturu zabezpečeného soketu pomocí platformy Windows Filtering Platform. Další informace najdete v tématu O platformě filtrování systému Windows a application Layer Enforcement (ALE).
Související témata