Condividi tramite


Estensioni del socket sicuro Winsock

Le estensioni del socket sicuro a Winsock consentono a un'applicazione socket di controllare la sicurezza del traffico su una rete. Queste estensioni consentono a un'applicazione di fornire criteri di sicurezza e requisiti per il traffico di rete ed eseguire query sulle impostazioni di sicurezza applicate. Ad esempio, un'applicazione può usare queste estensioni per eseguire query sul token di sicurezza peer che può essere usato per eseguire controlli di accesso a livello di applicazione.

Le estensioni secure socket sono concepite per integrare i servizi forniti da IPsec e altri protocolli di sicurezza con il framework Winsock. Prima di Windows Vista, in Windows Server 2003 e Windows XP, IPsec è stato configurato da un amministratore tramite criteri locali e di dominio. In Windows Vista, le estensioni socket sicure consentono invece alle applicazioni di configurare completamente o parzialmente e controllare la sicurezza del traffico di rete a livello di socket.

Le applicazioni possono già proteggere il traffico di rete usando API pubbliche, ad esempio la gestione IPsec, la piattaforma di filtro Windows e l'interfaccia SSPI (Security Support Provider Interface). Tuttavia, l'uso di queste API può rendere l'applicazione più difficile da sviluppare e può rendere più difficile configurare e distribuire. Le estensioni del socket sicuro Winsock sono state progettate per semplificare lo sviluppo di applicazioni di rete che richiedono traffico di rete sicuro consentendo a Winsock di gestire la maggior parte della complessità.

Queste estensioni socket sicure sono disponibili in Windows Vista e versioni successive.

Funzioni Secure Socket

Le funzioni di estensione secure socket sono le seguenti:

Nota

Le funzioni secure socket supportano attualmente solo il protocollo IPsec e sono disponibili in Windows Vista e versioni successive.

 

Le strutture e le enumerazioni usate dalle funzioni secure socket sono le seguenti:

Le funzioni secure socket sono semplici da usare per le normali applicazioni e sono sufficientemente flessibili per le applicazioni che necessitano di un elevato livello di controllo sulla loro sicurezza. Queste funzioni consentono di mantenere il meccanismo di sicurezza sottostante nascosto dall'applicazione. Un'applicazione può specificare requisiti di sicurezza generici e consentire all'amministratore di controllare il protocollo di sicurezza usato per supportare i requisiti. Sebbene sia possibile estendere queste funzioni per aggiungere altri protocolli di sicurezza, attualmente solo IPsec si integra con le funzioni socket sicure.

La funzioneWSASetSocketSecurityconsente a un'applicazione di abilitare la sicurezza e applicare le impostazioni di sicurezza prima di stabilire una connessione.

La funzione WSASetSocketPeerTargetName consente a un'applicazione di specificare il nome di destinazione corrispondente a un'entità peer. Il protocollo di sicurezza selezionato userà queste informazioni durante l'autenticazione del peer. Questa funzionalità riguarda gli attacchi man-in-the-middle attendibili.

La funzione WSADeleteSocketPeerTargetName viene usata per eliminare un nome peer specificato in precedenza per un socket.

Dopo aver stabilito una connessione, la funzione WSAQuerySocketSecurity consente a un'applicazione di eseguire una query sulle proprietà di sicurezza della connessione, che può includere l'accesso peer o il token di accesso al computer.

Dopo aver stabilito una connessione, la funzione WSAImpersonateSocketPeer consente a un'applicazione di rappresentare l'entità di sicurezza corrispondente a un peer socket per eseguire l'autorizzazione a livello di applicazione.

Il WSARevertImpersonation consente a un'applicazione di terminare la rappresentazione di un peer socket.

Architettura secure socket

architettura di base delle estensioni secure socket winsock

  • Un'applicazione chiama le funzioni secure socket per impostare o eseguire query sulle impostazioni di sicurezza per un socket.
  • Le funzioni secure socket sono un set di funzioni di estensione indipendenti dai tipi che eseguono il wrapping delle chiamate alla funzioneWSAIoctlusando valori appena definiti per il parametro dwIoControlCode disponibile in Windows Vista e versioni successive. Questi IOCTLs vengono gestiti dallo stack di rete.
  • Lo stack di rete indiricherà la chiamata a application layer enforcement (ALE) insieme all'handle dell'endpoint. Per il WSADeleteSocketPeerTargetName, WSASetSocketPeerTargetNamee funzioni WSASetSocketSecurity, ALE configurerà le impostazioni dell'applicazione nell'endpoint locale. Per la funzione di WSAQuerySocketSecurity, ALE leggerà le informazioni richieste dagli endpoint locali e remoti applicabili.
  • In base agli eventi socket, Application Layer Enforcement (ALE) applica i criteri per l'architettura secure socket usando la piattaforma di filtro Di Windows. Per altre informazioni, vedere About Windows Filtering Platform and Application Layer Enforcement (ALE).

Informazioni sull' della piattaforma di filtro Di Windows

esempi avanzati di Winsock con estensioni Secure Socket

di imposizione del livello applicazione

configurazione IPsec di

funzioni IPsec

secure Winsock Programming

SSPI (Security Support Provider Interface)

uso delle estensioni Secure Socket

piattaforma di filtro di Windows

funzioni API della piattaforma di filtro di Windows