Freigeben über


Aktivitätsablaufverfolgung in Nachrichtensicherheit

In diesem Thema wird die Aktivitätsablaufverfolgung für die Sicherheitsverarbeitung beschrieben, die in den folgenden drei Phasen erfolgt:

  • Aushandlung/SCT-Austausch. Dies kann auf der Transportebene (über binären Datenaustausch) oder nachrichtenschicht (über SOAP-Nachrichtenaustausch) geschehen.

  • Nachrichtenverschlüsselung/Entschlüsselung mit Signaturüberprüfung und Authentifizierung. Ablaufverfolgungen werden in der Umgebungsaktivität, in der Regel "Aktion verarbeiten", angezeigt.

  • Autorisierung und Überprüfung. Dies kann lokal oder bei der Kommunikation zwischen Endpunkten erfolgen.

Aushandlung/SCT-Austausch

In der Aushandlungs-/SCT-Austauschphase werden zwei Aktivitätstypen auf dem Client erstellt: "Sichere Sitzung einrichten" und "Sichere Sitzung schließen". "Sichere Sitzung einrichten" umfasst Ablaufverfolgungen für den RST/RSTR/SCT-Nachrichtenaustausch, während "Sichere Sitzung schließen" Ablaufverfolgungen für die Nachricht "Abbrechen" enthält.

Auf dem Server wird jede Anforderung/Antwort für RST/RSTR/SCT in einer eigenen Aktivität angezeigt. Wenn propagateActivity=true sowohl auf dem Server als auch auf dem Client vorhanden sind, haben die Aktivitäten auf dem Server dieselbe ID und werden gemeinsam in der Anzeige "Setup Secure Session" dargestellt, wenn sie im Service Trace Viewer betrachtet werden.

Dieses Aktivitätsablaufverfolgungsmodell ist gültig für benutzernamen-/kennwortauthentifizierung, Zertifikatauthentifizierung und NTLM-Authentifizierung.

In der folgenden Tabelle werden die Aktivitäten und Ablaufverfolgungen für die Aushandlung und den SCT-Austausch aufgeführt.

Ebene Zeitpunkt, zu dem die Aushandlung/der SCT-Austausch stattfindet Aktivitäten Ablaufverfolgungen
Sicherer Transport (HTTPS, SSL) Bei der ersten empfangenen Nachricht. Ablaufverfolgungen werden in der Umgebungsaktivität ausgegeben. - Ablaufverfolgungen zu Austauschinformationen
- Sicherer Kanal eingerichtet
– Teilen Sie geheime Schlüssel, die Sie erhalten haben.
Secure Message Layer (WSHTTP) Bei der ersten empfangenen Nachricht. Auf dem Client:

- „Sicherheitssitzung einrichten“ aus „Aktion verarbeiten“ dieser ersten Nachricht für jede Anforderung/Antwort zu RST/RSTR/SCT.
- „Sicherheitssitzung schließen“ für den CANCEL-Austausch aus der Aktivität „Proxy schließen“. Diese Aktivität kann aus einer anderen Umgebungsaktivität erfolgen, je nachdem, wann die Sicherheitssitzung geschlossen wird.

Auf dem Server:

- Eine Aktivität „Aktion verarbeiten“ für jede Anforderung/Antwort zu RST/SCT/Cancel auf dem Server. Bei propagateActivity=true werden RST/RSTR/SCT-Aktivitäten mit „Sicherheitssitzung einrichten“ und Cancel mit der Aktivität „Schließen“ vom Client zusammengeführt.

Es gibt zwei Phasen für "Sichere Sitzung einrichten":

1. Authentifizierungsverhandlung. Dies ist optional, wenn der Client bereits über die richtigen Anmeldeinformationen verfügt. Diese Phase kann über den sicheren Transport oder über den Nachrichtenaustausch erfolgen. Im letzteren Fall können 1 oder 2 RST/RSTR-Austausche stattfinden. Bei diesem Austausch werden Ablaufverfolgungen in neuen zuvor entworfenen Anforderungs-/Antwortaktivitäten ausgegeben.
2. Sichere Sitzungseinrichtung (SCT), in der hier ein RST/RSTR-Austausch stattfindet. Dies hat die gleichen Umgebungsaktivitäten wie zuvor beschrieben.
- Ablaufverfolgungen zu Austauschinformationen
- Sicherer Kanal eingerichtet
– Teilen Sie geheime Schlüssel, die Sie erhalten haben.

Hinweis

Im gemischten Sicherheitsmodus erfolgt die Aushandlungsauthentifizierung im binären Austausch, aber SCT erfolgt im Nachrichtenaustausch. Im reinen Transportmodus erfolgt die Aushandlung nur im Transport ohne zusätzliche Aktivitäten.

Nachrichtenverschlüsselung und -entschlüsselung

In der folgenden Tabelle sind die Aktivitäten und Ablaufverfolgungen für die Nachrichtenverschlüsselung/Entschlüsselung sowie die Signaturauthentifizierung aufgeführt.

Secure Transport Layer (HTTPS, SSL) und Secure Message Layer (WSHTTP)
Zeitpunkt der Nachrichtenverschlüsselung/Entschlüsselung und Signaturauthentifizierung Beim Empfang der Nachricht
Aktivitäten Ablaufverfolgungen werden in der Aktivität "Aktion verarbeiten" auf dem Client und dem Server ausgegeben.
Ablaufverfolgungen - sendSecurityHeader (Absender):
- Signieren der Nachricht
- Verschlüsseln von Anforderungsdaten
- receiveSecurityHeader (Empfänger):
- Signatur überprüfen
- Entschlüsseln von Antwortdaten
-Authentifizierung

Hinweis

Im reinen Transportmodus erfolgt die Nachrichtenverschlüsselung/Entschlüsselung nur im Transport ohne zusätzliche Aktivitäten.

Autorisierung und Überprüfung

In der folgenden Tabelle werden die Aktivitäten und Ablaufverfolgungen für die Autorisierung aufgeführt.

Autorisierung Zeitpunkt, zu dem die Autorisierung erfolgt Aktivitäten Ablaufverfolgungen
Lokal (Standard) Nachdem die Nachricht auf dem Server entschlüsselt wurde Ablaufverfolgungen werden in der Aktivität "Aktion verarbeiten" auf dem Server ausgegeben. Benutzer autorisiert.
Abgelegen Nachdem die Nachricht auf dem Server entschlüsselt wurde Ablaufverfolgungen werden in einer neuen von der Aktivität "Aktion verarbeiten" aufgerufenen Aktivität ausgegeben. Benutzer autorisiert.