消息队列安全性
更新:2007 年 11 月
Microsoft Windows“消息队列”利用了 Windows 2000 操作系统的各种内置的安全功能。具体说来,“消息队列”使用访问控制、身份验证、加密和审核来获得安全性:
访问控制用于限制用户对“消息队列”对象的访问,并通过为对象指派安全描述符来实现。“消息队列”对象包括计算机 (MSMQ)、队列、路由链接和消息队列设置对象。安全描述符列出被授予或拒绝访问对象的用户和组,以及指派给那些用户和组的特定权限。
身份验证是使用公钥证书、Kerberos V5 安全协议和 Windows NTLM(为了与运行在 Windows NT 4.0 上的“消息队列”1.0 兼容)来实现的。公钥证书用于消息的身份验证,也就是向“消息队列”服务器验证消息的发送方(客户端)。Kerberos V5 和 NTLM 用于服务器身份验证,也就是向客户端验证“消息队列”服务器。
加密使用公钥(不对称)和密钥(对称)两者来实现。“消息队列”应用程序使用加密来加密消息队列计算机之间发送的消息。
审核用于记录试图访问 Active Directory 中的“消息队列”对象的用户。对象的安全描述符指定要为该对象审核的各种访问事件。
通过管理对象的安全属性,可以设置权限、指派所有权并监视用户访问。有关“消息队列”中安全性细节的更多信息,请参见 Windows 2000 或 Windows NT 消息队列文档中的“安全消息队列”,或在 MSDN Online 中搜索有关如何在 MessageQueue 组件中配置安全性的文章。