扩展保护

扩展保护是一种将外部安全通道(例如 SSL)绑定到内部通道身份验证协议(如 Kerberos-APREQ 和 HTTP 标头身份验证)的机制。

扩展保护的概念在 RFC2743 中定义。

在客户端上自动配置扩展保护,但可能需要在服务器上配置非默认方案。

支持的配置

使用Windows集成身份验证协议(例如WS_HTTP_HEADER_AUTH_SECURITY_BINDINGWS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDING)将WS_HTTP_CHANNEL_BINDING与安全绑定一起使用时,支持扩展保护。 它通过以下 安全属性进行配置:

可以使用以下涉及扩展保护的配置:

客户端

服务器

支持的平台

在操作系统中支持扩展保护的平台上受支持。 Windows 7 和 Windows Server 2008 R2 提供内置支持。 其他平台可能需要更新。

如果服务器的操作系统不提供此类支持,则忽略客户端发送的任何扩展保护信息。 因此,使用扩展保护的客户端可以与此类服务器通信,但安全权益会丢失。 在客户端上, WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDINGWS_SSL_TRANSPORT_SECURITY_BINDING 结合使用仅支持 Vista 及更高版本的扩展保护。

注意:扩展保护不可用不会阻止使用任何特定配置。

互操作性

无论它们是否使用扩展保护,默认配置的服务器都可以与 SOAP 客户端通信。 一个例外是Windows XP 和 Windows Server 2003 WWSAPI 客户端,这些客户端已更新以支持扩展保护并使用WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDINGWS_SSL_TRANSPORT_SECURITY_BINDING。 若要支持此类客户端 WS_EXTENDED_PROTECTION_POLICY_NEVER 必须由服务器指定。 配置 有WS_EXTENDED_PROTECTION_POLICY_ALWAYS 的服务器将拒绝来自不使用扩展保护的客户端的通信。 在客户端上, WS_KERBEROS_APREQ_MESSAGE_SECURITY_BINDINGWS_SSL_TRANSPORT_SECURITY_BINDING 结合使用将导致使用 Vista 及更高版本的 HTTP 分块传输编码发送消息。 这可能会导致不支持分块传输的服务器出现互操作问题。

以下枚举/常量是扩展保护的一部分:

以下结构是扩展保护的一部分: