メッセージセキュリティにおけるアクティビティトレース

[アーティクル]
09/12/2008

ここでは、次の 3 つの段階で発生するセキュリティ処理のアクティビティトレースについて説明します。

ネゴシエーション/SCT 交換。トランスポート層 (バイナリデータ交換を使用した場合) またはメッセージ層 (SOAP メッセージ交換を使用した場合) で発生する可能性があります。
メッセージの暗号化と復号化、および署名の検証と認証。トレースは、アンビエントアクティビティ (通常、"プロセスアクション") に表示されます。
承認と検証。ローカルで、またはエンドポイント間の通信中に発生する可能性があります。

ネゴシエーション/SCT 交換

ネゴシエーション/SCT 交換段階では、"セキュリティで保護されたセッションの設定" および "セキュリティで保護されたセッションを閉じる" という 2 種類のアクティビティがクライアント側で作成されます。"セキュリティで保護されたセッションの設定" は RST/RSTR/SCT メッセージ交換のトレースを含み、"セキュリティで保護されたセッションを閉じる" は "キャンセル" メッセージのトレースを含みます。

サーバーでは、RST/RSTR/SCT の各要求/応答がそのアクティビティに表示されます。サーバーとクライアントの両方に propagateActivity=true が設定されている場合、サーバーの各アクティビティは同じ ID を持ち、サービストレースビューアでは "セキュリティで保護されたセッションの設定" にまとめて表示されます。

このアクティビティトレースモデルは、ユーザー名/パスワード認証、証明書認証、および NTLM 認証に対して有効です。

ネゴシエーションと SCT 交換のアクティビティとトレースを次の表に示します。

	ネゴシエーション/SCT 交換の発生タイミング	アクティビティ	トレース
セキュリティで保護されたトランスポート (HTTPS、SSL)	最初のメッセージを受信したとき。	トレースは、アンビエントアクティビティで出力されます。	交換トレースセキュリティ保護されたチャネルの確立。共有シークレットの取得。
セキュリティで保護されたメッセージ層 (WSHTTP)	最初のメッセージを受信したとき。	クライアント側 : RST/RSTR/SCT の各要求/応答に対する最初のメッセージの "プロセスアクション" で発生した "セキュリティで保護されたセッションの設定"。 "プロキシアクティビティを閉じる" で発生した "交換のキャンセル" に対する "セキュリティで保護されたセッションを閉じる"。このアクティビティは、セキュリティで保護されたセッションが閉じられるタイミングにより、他のアンビエントアクティビティで発生する可能性があります。サーバー側 : サーバーでの RST/SCT/キャンセルの各要求/応答に対して 1 つの "プロセスアクション" アクティビティ。propagateActivity=true の場合、RST/RSTR/SCT アクティビティは "セキュリティで保護されたセッションの設定" とマージされ、"キャンセル" はクライアントからの "閉じる" アクティビティとマージされます。 "セキュリティで保護されたセッションの設定" には 2 つの段階があります。認証ネゴシエーション。クライアントが既に適切な資格情報を持つ場合は、省略可能です。この段階は、セキュリティで保護されたトランスポート、またはメッセージ交換を通じて行われます。後者の場合、1 つまたは 2 つの RST/RSTR 交換が発生する可能性があります。これらの交換では、トレースは、従来の設計どおり、新しい要求/応答アクティビティで出力されます。セキュリティで保護されたセッションの確立 (SCT)。この段階では、1 つの RST/RSTR 交換が発生します。前述のように、これには同じアンビエントアクティビティが含まれます。	交換トレースセキュリティ保護されたチャネルの確立。共有シークレットの取得。

セキュリティで保護されたトランスポート

(HTTPS、SSL)

最初のメッセージを受信したとき。

トレースは、アンビエントアクティビティで出力されます。

交換トレース
セキュリティ保護されたチャネルの確立。
共有シークレットの取得。

セキュリティで保護されたメッセージ層

(WSHTTP)

最初のメッセージを受信したとき。

クライアント側 :

RST/RSTR/SCT の各要求/応答に対する最初のメッセージの "プロセスアクション" で発生した "セキュリティで保護されたセッションの設定"。
"プロキシアクティビティを閉じる" で発生した "交換のキャンセル" に対する "セキュリティで保護されたセッションを閉じる"。このアクティビティは、セキュリティで保護されたセッションが閉じられるタイミングにより、他のアンビエントアクティビティで発生する可能性があります。

サーバー側 :

サーバーでの RST/SCT/キャンセルの各要求/応答に対して 1 つの "プロセスアクション" アクティビティ。propagateActivity=true の場合、RST/RSTR/SCT アクティビティは "セキュリティで保護されたセッションの設定" とマージされ、"キャンセル" はクライアントからの "閉じる" アクティビティとマージされます。

"セキュリティで保護されたセッションの設定" には 2 つの段階があります。

認証ネゴシエーション。クライアントが既に適切な資格情報を持つ場合は、省略可能です。この段階は、セキュリティで保護されたトランスポート、またはメッセージ交換を通じて行われます。後者の場合、1 つまたは 2 つの RST/RSTR 交換が発生する可能性があります。これらの交換では、トレースは、従来の設計どおり、新しい要求/応答アクティビティで出力されます。
セキュリティで保護されたセッションの確立 (SCT)。この段階では、1 つの RST/RSTR 交換が発生します。前述のように、これには同じアンビエントアクティビティが含まれます。

交換トレース
セキュリティ保護されたチャネルの確立。
共有シークレットの取得。

メモ :
混在セキュリティモードでは、ネゴシエーション認証はバイナリ交換で発生しますが、SCT はメッセージ交換で発生します。純粋なトランスポートモードでは、ネゴシエーションは追加のアクティビティを持たないトランスポートでのみ発生します。

メッセージの暗号化と復号化

メッセージの暗号化と復号化および署名認証のアクティビティとトレースを次の表に示します。

	セキュリティで保護されたトランスポート (HTTPS、SSL) およびセキュリティで保護されたメッセージ層 (WSHTTP)
メッセージの暗号化/復号化、および署名認証の発生タイミング	メッセージを受信したとき。
アクティビティ	トレースは、クライアントとサーバーの ProcessAction アクティビティで出力されます。
トレース	sendSecurityHeader (送信側): メッセージの署名要求データの暗号化 receiveSecurityHeader (受信側): 署名の検証応答データの復号化認証

メモ :
純粋なトランスポートモードでは、メッセージの暗号化/復号化は追加のアクティビティを持たないトランスポートでのみ発生します。

承認と検証

承認のアクティビティとトレースを次の表に示します。

	承認の発生タイミング	アクティビティ	トレース
ローカル (既定)	サーバーでメッセージが複号化された後	トレースは、サーバーの ProcessAction アクティビティで出力されます。	ユーザーの承認。
Remote	サーバーでメッセージが複号化された後	トレースは、ProcessAction アクティビティによって呼び出された新しいアクティビティで出力されます。	ユーザーの承認。

次の方法で共有

メッセージセキュリティにおけるアクティビティトレース

ネゴシエーション/SCT 交換

メッセージの暗号化と復号化

承認と検証

その他のリソース

次の方法で共有

メッセージ セキュリティにおけるアクティビティ トレース

ネゴシエーション/SCT 交換

メッセージの暗号化と復号化

承認と検証

その他のリソース

メッセージセキュリティにおけるアクティビティトレース