Общие сведения о безопасном подключении с помощью holographic удаленного взаимодействия

Если вы не знакомы с holographic удаленное взаимодействие, то можете ознакомиться с нашим обзором.

Примечание

это руководство относится к удаленному взаимодействию с HoloLens 2 и Windows пк под управлением Windows Mixed Reality.

На этой странице представлены общие сведения о сетевой безопасности для удаленного взаимодействия с Holographic. Вы найдете следующие сведения:

  • Безопасность в контексте удаленного взаимодействия с holographic и причин, по которым это может потребоваться
  • Рекомендуемые меры на основе различных вариантов использования

Безопасность удаленного взаимодействия holographic

Holographic удаленное взаимодействие обменивается данными по сети. Если меры безопасности отсутствуют, злоумышленников в одной сети может нарушить целостность обмена данными или получить доступ к конфиденциальной информации.

примеры приложений и плеера holographic в магазине Windows имеют отключенные средства безопасности. Это упрощает понимание образцов. Он также помогает быстрее начать работу с разработкой.

Для тестирования или производства полей настоятельно рекомендуется включить безопасность в решении holographic Remoting.

Безопасность в holographic удаленное взаимодействие, если правильно настроить для вашего варианта использования, предоставляет следующие гарантии:

  • Подлинность. и проигрыватель, и удаленное приложение могут быть уверены, что они должны быть
  • Конфиденциальность. сторонние лица не могут читать сведения, которыми обмениваются проигрыватель и удаленное приложение.
  • Целостность. проигрыватель и удаленный может обнаружить транзитные изменения в связи

Важно!

чтобы иметь возможность использовать функции безопасности, необходимо реализовать как пользовательский проигрыватель , так и настраиваемое удаленное приложение с помощью Windows Mixed Reality или интерфейсов api опенкср .

Примечание

Начиная с версии 2.4.0 удаленные приложения можно создавать с помощью API опенкср . Общие сведения о том, как установить безопасное подключение в среде Опенкср, можно найти здесь.

Планирование реализации безопасности

При включении безопасности в holographic удаленное взаимодействие библиотека удаленного взаимодействия автоматически включит проверку шифрования и целостности для всех данных, передаваемых по сети.

Однако, чтобы обеспечить правильную проверку подлинности, необходимо выполнить некоторые дополнительные операции. То, что нужно сделать, зависит от варианта использования, а остальная часть этого раздела — об определении необходимых действий.

Важно!

Эта статья содержит только общие рекомендации. Если вы не уверены, обратитесь к эксперту по безопасности, который может предоставить вам рекомендации, относящиеся к Вашему варианту использования.

Первая терминология. при описании сетевых подключений будут использоваться условия клиент и сервер . Сервер — это сторона, принимающая входящие подключения по известному адресу конечной точки, а клиент — Подключение к конечной точке сервера.

Примечание

Роли клиента и сервера не связаны с тем, работает ли приложение как проигрыватель или как удаленное. Хотя у примеров есть проигрыватель в роли сервера, можно легко поменять местами роли, если это лучше соответствует Вашему варианту использования.

Планирование проверки подлинности "сервер-клиент"

Сервер использует цифровые сертификаты для подтверждения его подлинности клиенту. Клиент проверяет сертификат сервера на этапе подтверждения соединения. Если клиент не доверяет серверу, подключение будет завершено на этом этапе.

Как клиент проверяет сертификат сервера и какие типы сертификатов сервера можно использовать, зависит от варианта использования.

Вариант использования 1: Имя узла сервера не фиксировано, или сервер не адресован по имени узла.

В этом случае непрактично (или даже возможно) выдача сертификата для имени узла сервера. Мы рекомендуем проверить отпечаток сертификата. Как и отпечаток человека, отпечаток уникально определяет сертификат.

Важно передавать отпечаток клиенту по внешнему каналу. Это означает, что вы не сможете отправить его через то же сетевое подключение, которое используется для удаленного взаимодействия. Вместо этого можно вручную ввести его в конфигурацию клиента или проверить QR-код на клиенте.

Вариант использования 2: Сервер может быть достигнут с помощью стабильного имени узла.

В этом варианте использования сервер имеет определенное имя узла и известно, что это имя, скорее всего, не изменится. Затем можно использовать сертификат, выданный для имени узла сервера. Доверие будет установлено на основе имени узла и цепочки доверия сертификата.

При выборе этого параметра клиенту необходимо заранее определить имя узла сервера и корневой сертификат.

Планирование проверки подлинности клиента и сервера

Клиенты проходят проверку подлинности на сервере с помощью маркера свободной формы. Что должен содержать этот токен, будет снова зависеть от вашего варианта использования:

Вариант использования 1: Необходимо только проверить удостоверение клиентского приложения.

В этом варианте использования может быть достаточно общего секрета. Этот секрет должен быть достаточно сложным, чтобы не догадаться.

Хороший общий секрет — это случайный идентификатор GUID, который вручную указывается как в конфигурации сервера, так и на клиенте. Для создания такой команды можно использовать New-Guid команду в PowerShell.

Убедитесь, что этот общий секрет никогда не передается через небезопасные каналы. Библиотека удаленного взаимодействия гарантирует, что общий секрет всегда будет отправляться зашифрованным и только доверенным одноранговым узлам.

Вариант использования 2: Также необходимо проверить удостоверение пользователя клиентского приложения.

Общий секрет не будет достаточно для покрытия этого варианта использования. Вместо этого можно использовать маркеры, созданные поставщиком удостоверений. Рабочий процесс проверки подлинности с использованием поставщика удостоверений будет выглядеть следующим образом:

  • Клиент выполняет авторизацию для поставщика удостоверений и запрашивает маркер.
  • Поставщик удостоверений создает маркер и отправляет его клиенту.
  • Клиент отправляет этот токен серверу с помощью удаленного взаимодействия с Holographic.
  • Сервер проверяет маркер клиента на соответствие поставщику удостоверений.

одним из примеров поставщика удостоверений является платформа удостоверений Майкрософт.

Как и в предыдущем варианте использования, убедитесь, что эти маркеры не отправляются через небезопасные каналы или не предоставляются иным образом.

См. также: