Aktivitätsablaufverfolgung in der Nachrichtensicherheit
In diesem Thema wird die Aktivitätsablaufverfolgung für die Sicherheitsverarbeitung beschrieben, die in den folgenden drei Phasen erfolgt:
Aushandlung/SCT-Austausch. Das kann später auf der Transportebene (über binären Datenaustausch) oder auf der Nachrichtenebene (über SOAP-Nachrichtenaustausch) stattfinden.
Nachrichtenverschlüsselung/-entschlüsselung mit Signaturüberprüfung und Authentifizierung. Ablaufverfolgungen werden in der Umgebungsaktivität, in der Regel "Aktion verarbeiten", angezeigt.
Autorisierung und Überprüfung. Dies kann lokal geschehen oder bei der Kommunikation zwischen Endpunkten.
Aushandlung/SCT-Austausch
In der Phase Aushandlung/SCT-Austausch werden zwei Aktivitätstypen auf dem Client erstellt: „Sicherheitssitzung einrichten“ und „Sicherheitssitzung schließen“. „Sicherheitssitzung einrichten“ umfasst die Ablaufverfolgung für den RST/RSTR/SCT-Nachrichtenaustausch, während „Sicherheitssitzung schließen“ die Ablaufverfolgung der Cancel-Nachricht einschließt.
Auf dem Server wird jede Anforderung/Antwort zu RST/RSTR/SCT in einer eigenen Aktivität angezeigt. Wenn auf dem Server und dem Client propagateActivity=true ist, weisen Aktivitäten auf dem Server die gleiche ID auf. Außerdem werden die Aktivitäten bei der Anzeige über Service Trace Viewer zusammen in „Sicherheitssitzung einrichten“ angezeigt.
Dieses Aktivitätsablaufverfolgungsmodell ist bei der Benutzernamen-/Kennwortauthentifizierung, der Zertifikatsauthentifizierung und der NTLM-Authentifizierung wirksam.
In der folgenden Tabelle werden die Aktivitäten und Ablaufverfolgungen für die Aushandlung und den SCT-Austausch aufgeführt.
| Ebene | Zeitpunkt von Aushandlung-/SCT-Austausch | Aktivitäten | Traces |
|---|---|---|---|
| Sicherer Transport (HTTPS, SSL) | Bei der ersten empfangenen Nachricht. | Ablaufverfolgungen werden in der Umgebungsaktivität ausgegeben. | - Ablaufverfolgungen zu Austauschinformationen - Sicherer Kanal wurde hergestellt. - Geheimnisse für Freigabe wurden abgerufen. |
| Sichere Nachrichtenebene (WSHTTP) | Bei der ersten empfangenen Nachricht. | Auf dem Client: - „Sicherheitssitzung einrichten“ aus „Aktion verarbeiten“ dieser ersten Nachricht für jede Anforderung/Antwort zu RST/RSTR/SCT. - „Sicherheitssitzung schließen“ für den CANCEL-Austausch aus der Aktivität „Proxy schließen“. Diese Aktivität kann aus einer anderen Umgebungsaktivität erfolgen, je nachdem, wann die Sicherheitssitzung geschlossen wird. Auf dem Server: - Eine Aktivität „Aktion verarbeiten“ für jede Anforderung/Antwort zu RST/SCT/Cancel auf dem Server. Bei propagateActivity=true werden RST/RSTR/SCT-Aktivitäten mit „Sicherheitssitzung einrichten“ und Cancel mit der Aktivität „Schließen“ vom Client zusammengeführt."Sicherheitssitzung einrichten" erfolgt in zwei Stufen: 1. Aushandlung der Authentifizierung. Dies ist optional, wenn der Client bereits über die richtigen Anmeldeinformationen verfügt. Diese Stufe kann über den sicheren Transport oder über den Nachrichtenaustausch erfolgen. In letzterem Fall, kann der RST-/RSTR-Austausch ein- oder zweimal stattfinden. Bei diesem Austausch werden Ablaufverfolgungen in neuen zuvor entworfenen Anforderungs-/Antwortaktivitäten ausgegeben. 2. Einrichtung der Sicherheitssitzung (SCT), wobei ein RST/RSTR-Austausch erfolgt. Dieser weist dieselben, bereits beschriebenen Umgebungsaktivitäten auf. |
- Ablaufverfolgungen zu Austauschinformationen - Sicherer Kanal wurde hergestellt. - Geheimnisse für Freigabe wurden abgerufen. |
Hinweis
Im gemischten Sicherheitsmodus erfolgt die Aushandlung der Authentifizierung in einem binären Austausch, SCT erfolgt jedoch im Nachrichtenaustausch. Im reinen Transportmodus findet die Aushandlung nur beim Transport ohne weitere Aktivitäten statt.
Nachrichtenverschlüsselung und -entschlüsselung
In der folgenden Tabelle werden die Aktivitäten und Ablaufverfolgungen für die Verschlüsselung/Entschlüsselung von Nachrichten und die Signaturauthentifizierung aufgeführt.
| Sichere Transportebene (HTTPS, SSL) und sichere Nachrichtenebene (WSHTTP) | |
|---|---|
| Zeitpunkt der Nachrichtenverschlüsselung/-entschlüsselung und der Signaturauthentifizierung | Beim Empfang der Nachricht |
| Aktivitäten | Ablaufverfolgungen werden in der Aktivität "Aktion verarbeiten" auf dem Client und dem Server ausgegeben. |
| Traces | - sendSecurityHeader (Absender): - Signieren der Nachricht - Verschlüsseln der Anforderungsdaten - receiveSecurityHeader (Empfänger): - Überprüfen der Signatur - Entschlüsseln der Antwortdaten - Authentifizierung |
Hinweis
Im reinen Transportmodus findet die Verschlüsselung/Entschlüsselung nur beim Transport ohne weitere Aktivitäten statt.
Autorisierung und Überprüfung.
In der folgenden Tabelle werden die Aktivitäten und Ablaufverfolgungen für die Autorisierung aufgeführt.
| Authorization | Zeitpunkt der Autorisierung | Aktivitäten | Traces |
|---|---|---|---|
| Lokal (Standard) | Nachdem die Nachricht auf den Server entschlüsselt wurde. | Ablaufverfolgungen werden in der Aktivität "Aktion verarbeiten" auf dem Server ausgegeben. | Für Benutzer autorisiert. |
| Remote | Nachdem die Nachricht auf den Server entschlüsselt wurde. | Ablaufverfolgungen werden in einer neuen von der Aktivität "Aktion verarbeiten" aufgerufenen Aktivität ausgegeben. | Für Benutzer autorisiert. |