Activiteitstracering in berichtbeveiliging
In dit onderwerp wordt het traceren van activiteiten voor beveiligingsverwerking beschreven. Dit gebeurt in de volgende drie fasen:
Onderhandelings-/SCT-uitwisseling. Dit kan gebeuren op de transportlaag (via binaire gegevensuitwisseling) of berichtlaag (via SOAP-berichtenuitwisseling).
Berichtversleuteling/ontsleuteling, met handtekeningverificatie en verificatie. Traceringen worden weergegeven in de omgevingsactiviteit, meestal 'Procesactie'.
Autorisatie en verificatie. Dit kan lokaal gebeuren of wanneer er tussen eindpunten wordt gecommuniceerd.
Onderhandelings-/SCT-uitwisseling
In de onderhandelings-/SCT-uitwisselingsfase worden twee activiteitstypen gemaakt op de client: 'Beveiligde sessie instellen' en 'Beveiligde sessie sluiten'. 'Beveiligde sessie instellen' omvat traceringen voor de RST/RSTR/SCT-berichtuitwisselingen, terwijl 'Beveiligde sessie sluiten' traceringen bevat voor het bericht Annuleren.
Op de server wordt elke aanvraag/antwoord voor de RST/RSTR/SCT weergegeven in een eigen activiteit. Als propagateActivity=true activiteiten op de server en de client op de server dezelfde id hebben en samen worden weergegeven in de beveiligde sessie instellen wanneer ze worden weergegeven via Service Trace Viewer.
Dit model voor het traceren van activiteiten is geldig voor verificatie van gebruikersnaam/wachtwoord, certificaatverificatie en NTLM-verificatie.
De volgende tabel bevat de activiteiten en traceringen voor onderhandeling en SCT-uitwisseling.
| Laag | Tijdstip waarop onderhandeling/SCT-uitwisseling plaatsvindt | Activiteiten | Traceringen |
|---|---|---|---|
| Beveiligd transport (HTTPS, SSL) | Bij eerste bericht ontvangen. | Traceringen worden verzonden in de omgevingsactiviteit. | - Exchange-traceringen - Beveiligd kanaal tot stand gebracht - Geheimen delen die zijn verkregen. |
| Secure Message Layer (WSHTTP) | Bij eerste bericht ontvangen. | Op de client: - 'Beveiligde sessie instellen' uit 'Procesactie' van dat eerste bericht, voor elke aanvraag/antwoord voor RST/RSTR/SCT. - 'Beveiligde sessie sluiten' voor de EXCHANGE ANNULEREN, uit de activiteit Proxy sluiten. Deze activiteit kan plaatsvinden uit een andere omgevingsactiviteit, afhankelijk van wanneer de beveiligde sessie wordt gesloten. Op de server: - Eén activiteit 'Procesactie' voor elke aanvraag/antwoord voor RST/SCT/Annuleren op de server. Als propagateActivity=trueRST/RSTR/SCT-activiteiten worden samengevoegd met 'Beveiligingssessie instellen' en Annuleren wordt samengevoegd met de activiteit Sluiten van de client.Er zijn twee fasen voor 'Beveiligde sessie instellen': 1. Verificatieonderhandeling. Dit is optioneel als de client al over de juiste referenties beschikt. Deze fase kan worden uitgevoerd via veilig transport of via berichtenuitwisseling. In het laatste geval kunnen 1 of 2 RST/RSTR-uitwisselingen plaatsvinden. Voor deze uitwisselingen worden traceringen verzonden in nieuwe aanvraag-/antwoordactiviteiten zoals eerder ontworpen. 2. Secure session establishment (SCT), waarbij hier één RST/RSTR-uitwisseling plaatsvindt. Dit heeft dezelfde omgevingsactiviteiten als eerder beschreven. |
- Exchange-traceringen - Beveiligd kanaal tot stand gebracht - Geheimen delen die zijn verkregen. |
Notitie
In de gemengde beveiligingsmodus vindt onderhandelingsverificatie plaats in binaire uitwisselingen, maar SCT vindt plaats in berichtuitwisseling. In de pure transportmodus vindt onderhandelingen alleen plaats in transport zonder extra activiteiten.
Berichtversleuteling en -ontsleuteling
De volgende tabel bevat de activiteiten en traceringen voor berichtversleuteling/-ontsleuteling, evenals handtekeningverificatie.
| Secure Transport Layer (HTTPS, SSL) en Secure Message Layer (WSHTTP) | |
|---|---|
| Tijdstip waarop berichtversleuteling/ontsleuteling en handtekeningverificatie plaatsvinden | Bij ontvangen bericht |
| Activiteiten | Traceringen worden verzonden in de ProcessAction-activiteit op de client en server. |
| Sporen | - sendSecurityHeader (afzender): - Tekenbericht - Aanvraaggegevens versleutelen - receiveSecurityHeader (ontvanger): - Handtekening controleren - Antwoordgegevens ontsleutelen -Verificatie |
Notitie
In de pure transportmodus vindt berichtversleuteling/ontsleuteling alleen plaats in transport zonder extra activiteiten.
Autorisatie en verificatie
De volgende tabel bevat de activiteiten en traceringen voor autorisatie.
| Autorisatie | Tijdstip waarop autorisatie plaatsvindt | Activiteiten | Traceringen |
|---|---|---|---|
| Lokaal (standaard) | Nadat het bericht is ontsleuteld op de server | Traceringen worden verzonden in de ProcessAction-activiteit op de server. | Gebruiker geautoriseerd. |
| Extern | Nadat het bericht is ontsleuteld op de server | Traceringen worden verzonden in een nieuwe activiteit die wordt aangeroepen door de ProcessAction-activiteit. | Gebruiker geautoriseerd. |