【发布时间】:2012-02-01 14:45:01
【问题描述】:
我想知道是否有人使用两种不同的安全方法进行了一些性能测试。主要关注服务器端的事情。
1) 使用活动目录,每次发送消息时都会验证用户帐户。
2) 使用证书,每条消息都用证书加密。
我的猜测是解密消息需要更多的计算机密集型,因此活动目录方法可能会执行得更好。
【问题讨论】:
标签: performance security msmq
【发布时间】:2012-02-01 14:45:01
【问题描述】:
那里有一些混合的安全性。 您需要哪些?
- 保护队列免受您不想要的帐户的访问
- 确保消息来自它所说的帐户(身份验证)
- 确保没有人可以看到邮件正文(加密)
让我知道,我可以让您更好地了解什么在性能方面有效。
您写“使用活动目录,每次发送消息时都会验证用户帐户。” 这听起来不对。 MSMQ 所做的只是将发送用户帐户的 SID 放在消息头中。这就是为什么您不应该仅仅依赖于在队列上设置帐户级别的访问权限,因为任何人都可以在 MSMQ 消息中欺骗 SID。
干杯
约翰·布雷克韦尔
【讨论】:
作为MSMQ的初学者,我会尽力在这里回答问题。
[1.] 保护队列免受您不想要的帐户的访问
Answer:我的理解是,如果我使用私有队列,它会隐含地这样做。换句话说,如果有人不知道它,那么“外人”如何访问它?
[2.] 确保消息来自它所说的帐户(身份验证)
回答:我可以讨论这个问题。我不确定它是否会对我的特定环境产生影响,因为一切都是由发送结构化数据的自定义应用程序驱动的。如果数据的结构未按应有的方式进行,则该消息将被忽略。
[3.] 确保没有人可以看到消息正文(加密)
回答:这里更相关,我确实认为某种程度的加密可以防止任何“偷看”数据。
最后,我不知道 SID 在消息头中。
让我知道这些不同的安全设置如何影响性能。另外,您对 MSMQ 的安全性有何建议?
感谢所有信息... 克里斯蒂安·马丁
【讨论】:
-
[1] 所以您对安全性的看法是,如果他们不知道它的存在,他们怎么能得到它?那不是安全,那是交叉手指和希望。要查找队列名称,我所要做的就是嗅探您的网络流量并查看任何 MSMQ 消息。除非您想利用公共队列的额外功能(如远程管理),否则私有队列是首选。
-
[3] 您可以通过多种方式进行加密。示例:(a) 使用 SSL 通过 HTTPS 发送消息; (b) 在启用 IPSEC 的情况下通过 TCP 发送消息; (c) 在启用正文加密的情况下发送消息; (d) 在输入消息之前对自定义数据进行加密。哪个最容易实现,哪个最快取决于您拥有的基础架构。我从未见过任何比较统计数据,但我希望 IPSEC 最快。
-
一般来说,我会推荐以下。 (a) 将队列级别权限设置为尽可能严格,同时仍允许消息流动; (b) 在队列上启用身份验证; (c) 自定义加密数据,因为消息以其他方式存储在未加密的队列中 - MSMQ 加密仅在线上。