使用驗證建立安全連線
在用戶端/伺服器 應用程式通訊協定中,伺服器會系結至通訊埠,例如通訊端或 RPC 介面。 接著,伺服器會等候用戶端連線並要求服務。 在相互驗證的情況下,連線設定的安全性角色是兩折的:
- 伺服器的用戶端驗證。
- 用戶端的伺服器驗證。
傳輸應用程式的用戶端和伺服器元件會使用 安全性套件 來建立安全連線來傳輸訊息。 建立安全連線的第一個步驟是建立 安全性內容;也就是說,不透明資料結構,其中包含與連線相關的安全性資料,例如 工作階段金鑰 和會話持續時間。
安全性內容基本上是從與用戶端相關聯的安全性套件到與伺服器相關聯之安全性套件的訊息。 因此,建立安全性內容通常需要用戶端和伺服器呼叫其各自的安全性套件。 如需內容函式的詳細資訊,請參閱 內容管理。
用來建立安全、已驗證連線的通訊協定牽涉到用戶端與伺服器之間交換一或多個「安全性權杖」。 這兩端會以不透明訊息的形式傳送這些權杖,以及任何其他 應用程式通訊協定特定資訊。 作為不透明的訊息,權杖會從用戶端接收,用戶端無法解譯或變更權杖,並轉送為訊息給伺服器。 權杖也對伺服器不透明,無法解譯或變更權杖。 伺服器會將不透明權杖轉送至其安全性套件以進行解譯。 接著,封裝會通知伺服器用戶端驗證或驗證失敗。
用戶端會在訊息中接收伺服器的權杖、從收到的訊息擷取權杖,並在呼叫其安全性套件時使用該權杖。 接著,用戶端會再次呼叫安全性套件,指出是否已建立安全連線,還是需要進一步的交換,才能備妥安全連線。 理論上,不需要結算所需的安全性權杖數目。 實際上,只需要有限的交換數目。 NTLM 驗證是以挑戰/回應配置為基礎,並使用三個回合向伺服器驗證用戶端。 Kerberos 5.0 版通訊協定可能需要額外的訊息交換。
相關主題
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應