Winsock Secure Socket-tillägg
Med tilläggen för säker socket till Winsock kan ett socketprogram styra säkerheten för trafiken via ett nätverk. Dessa tillägg gör det möjligt för ett program att tillhandahålla säkerhetsprinciper och krav för sin nätverkstrafik och köra frågor mot de säkerhetsinställningar som tillämpas. Ett program kan till exempel använda dessa tillägg för att fråga den peer-säkerhetstoken som kan användas för att utföra åtkomstkontroller på programnivå.
Tilläggen för säker socket är avsedda att integrera de tjänster som tillhandahålls av IPsec och andra säkerhetsprotokoll med Winsock-ramverket. Innan Windows Vista, på Windows Server 2003 och Windows XP, har IPsec konfigurerats av en administratör via lokala principer och domänprinciper. I Windows Vista tillåter tilläggen för säker socket i stället att program helt eller delvis konfigurerar och kontrollerar säkerheten för sin nätverkstrafik på socketnivå.
Program kan redan skydda nätverkstrafik med hjälp av offentliga API:er, till exempel IPsec-hantering, Windows Filtering Platform och SSPI (Security Support Provider Interface). Om du använder dessa API:er kan det dock göra programmet svårare att utveckla och kan göra det svårare att konfigurera och distribuera. Winsocks tillägg för säkra socketar har utformats för att förenkla utvecklingen av nätverksprogram som kräver säker nätverkstrafik genom att låta Winsock hantera det mesta av komplexiteten.
Dessa tillägg för säker socket är tillgängliga i Windows Vista och senare.
Secure Socket Functions
Funktionerna för tillägg för säker socket är följande:
- WSADeleteSocketPeerTargetName
- WSAImpersonateSocketPeer
- WSAQuerySocketSecurity
- WSARevertImpersonation
- WSASetSocketPeerTargetName
- WSASetSocketSecurity
Not
De säkra socketfunktionerna stöder för närvarande endast IPsec-protokollet och är tillgängliga i Windows Vista och senare.
De strukturer och uppräkningar som används av de säkra socketfunktionerna är följande:
- SOCKET_PEER_TARGET_NAME
- SOCKET_SECURITY_PROTOCOL
- SOCKET_SECURITY_QUERY_INFO
- SOCKET_SECURITY_QUERY_TEMPLATE
- SOCKET_SECURITY_SETTINGS
- SOCKET_SECURITY_SETTINGS_IPSEC
De säkra socketfunktionerna är enkla att använda för vanliga program och är tillräckligt flexibla för program som behöver en hög grad av kontroll över sin säkerhet. Dessa funktioner gör det möjligt att hålla den underliggande säkerhetsmekanismen dold från programmet. Ett program kan ange allmänna säkerhetskrav och låta administratören styra det säkerhetsprotokoll som används för att stödja kraven. Även om det är möjligt att utöka dessa funktioner för att lägga till andra säkerhetsprotokoll, integreras för närvarande endast IPsec med de säkra socketfunktionerna.
Med funktionen WSASetSocketSecurity kan ett program aktivera säkerhet och tillämpa säkerhetsinställningar innan en anslutning upprättas.
Med funktionen WSASetSocketPeerTargetName kan ett program ange det målnamn som motsvarar en peer-entitet. Det valda säkerhetsprotokollet använder den här informationen när peer-filen autentiseras. Den här funktionen löser problem med betrodda man-in-the-middle-attacker.
Funktionen WSADeleteSocketPeerTargetName används för att ta bort ett tidigare angivet peer-namn för en socket.
När en anslutning har upprättats gör funktionen WSAQuerySocketSecurity att ett program kan köra frågor mot anslutningens säkerhetsegenskaper, vilket kan inkludera peer-åtkomst eller åtkomsttoken för datorer.
När en anslutning har upprättats tillåter funktionen WSAImpersonateSocketPeer ett program att personifiera det säkerhetsobjekt som motsvarar en socket-peer för att utföra auktorisering på programnivå.
Med WSARevertImpersonation kan ett program avsluta personifieringen av en socket-peer.
Arkitektur för säker socket
- Ett program anropar funktionerna för säker socket för att ställa in eller fråga efter säkerhetsinställningar för en socket.
- Funktionerna för säker socket är en uppsättning typsäkra tilläggsfunktioner som omsluter anrop till funktionen WSAIoctl med hjälp av nyligen definierade värden för parametern dwIoControlCode som är tillgänglig i Windows Vista och senare. Dessa IOCTL:er hanteras av nätverksstacken.
- Nätverksstacken dirigerar anropet till Application Layer Enforcement (ALE) tillsammans med slutpunktshandtaget. För WSADeleteSocketPeerTargetName, WSASetSocketPeerTargetNameoch WSASetSocketSecurity-funktioner konfigurerar ALE programmets inställningar på den lokala slutpunkten. För funktionen WSAQuerySocketSecurity läser ALE den begärda informationen från tillämpliga lokala slutpunkter och fjärrslutpunkter.
- Baserat på sockethändelser tillämpar Application Layer Enforcement (ALE) principer för arkitekturen för säker socket med hjälp av Windows-filtreringsplattformen. Mer information finns i Om Windows Filtering Platform och Application Layer Enforcement (ALE).
Relaterade ämnen