《WCF分布式开发步步为赢WCF安全编程》由会员分享,可在线阅读,更多相关《WCF分布式开发步步为赢WCF安全编程(7页珍藏版)》请在金锄头文库上搜索。
1、WCF分布式开发步步为M(14):WCF安全编程一基本概念 所属分类:WCF分布式开发步步为贏,SOA and EAI.WCF安全机制是个非常复杂的问題因为涉及的知识点较多,所以今天这个丈爺 会分析进行WCF 安全开发应该解的哪些知识点。如何査看资料。为厂更好地理解WCF安全相关知识.我把WCF安全机 制主婆知识点整理为图表。木章以介绍WCF安全机制的基础概念为主。要学习WCF安全編程,你应该学习什么首先堂握什么基础知识?很多时候会因为缺乏系统的安全概念. 在进行WCF安全编程开发的时候,遇到很多问题比如所证书这个概念相信很多初学者第一次接触的 时候花费很筝时间。我、1i时在做WSE安全开发的
2、时候就查阅J很多资料。那么哪些是WCF安全开发应 该堂握的知识点呢?今天我们就在这里做详细的介绍:Windows municatio nF oundation (WCF)是一个基于SOAP消息的分布式編程平台.我们可以使 用现有技术(如HTTPS)、Windows集成安全性或对用户进行身份验证的用户名和密码生成安全的分 布式应用程序。WCF基于现有安全性基础结构和SOAP消息的经验证的安全标准提供可互操作的安全消 息交换通用平台。通过使用WCF的安全机制.我们可以可以在Internet X Ffil内跨藝个Windows域进 行服务和客户端的数据交互。下面会一次介绍WCF安全相关的一些知识点:
3、【0】安全开发必备知识点:(1) 对称加密算法DES,也叫密钥算法。(2)非对称加密算法,也叫公钥算法。使用一对密钥.配合使 用。如RSA算法:(3)哈希算法:MD5 (Message Digest5消息摘要算法),SHAl, SHA256等概 念。签名,也是在是哈希算法的应用c(4)WS-Security安全规Xc这个是重要的安全规X,从Web Service , WSE3.0到现在的WCF服务都提供了支持。(5)证书。这个是非对称加密的一个应用。CA证书管埋机 构。如何创建证书和管理证书。等概念有所了解。算法这里主要讨论的是如何应用即如何进行加密、解密、消息签名等问题。你对这些概念了解以后
4、才 会更好的埋解WCF安全。其实早在WSE3.0构建Web服务安全(4)系列里已经详细讨论过这个问题 如果你看过这个系列的文苹.这个些相关概念理解起來会容易许多。安全的相关知识点都有介绍.这个也 是十初为什么花时间來学习WSE3.0的原因。你可以参考WSE3.0构建Web服务安全(l):WSE3.0安 全机制与实例开发和WSE3.0构建Web服务安全(2):非对称加密.公钥、密钥、证书、签名的区别和联 系以及X.509证书的获得和管理。后面的讨论又对文章进行了补充。几乎涵盖了所有的WCF安全需要 的所有的基木知识点。1 WCF身份验证机制:WCF与现有的Windows平台上的身份验证机制很好地
5、结合以外,还支持WS-Security安全规X. 以及用户定制扩展验证模式安全令牌方式。如果你关注过WSE3.0相关的技术文苹一定感觉不会陌生 这些安全机制在WSE3.0中已经完全支持。这些都是WCF声称继承WSE安全机制的最好证明。延续微 软平台的的一贯做法优秀模型的复用与扩展。关于安全的概念可以再参考WSE3.0构建Web服务安全 (l):WSE3.0安全机制与实例开发。WCF支持的身份验证机制可以参考下图:WCF身份验证 |None1 I i i 1Windows UserNameX.509证书定制口令 T(PasswordFrank Xu Lei一下是对各种客户端身份验证方式的说明:(
6、1) None:客户端为匿名客户端。在这种情况下,每个客户端拥有一个自己的证书比如XX。服务会使用 证书來确保服务客户端的标识。我们经常使用HTTPS访问,比如登陆一些安全级别较岛的情况类似.或 者使用网上银行时候,你的客户端证书就会起到鉴别客户端的作用。(2) UserName:客户端将提供用户名和密码。在这种情况下,服务会使用证书向客户端验证其标识。另外 就是证书还将用加密客户端的用户名和密码,保证消息在传输过程中的安全。这个方式也是常见的加密方 式。我会在后续文草里给岀实现代码。(3) Windows:需要Windows AD支持。一般使用在企业局域网内部。客户端和服务都会使用Windo
7、ws XX进行身份验证。Windows munication Foundation将会就Kerberos或NTLM进行协商,如果 存在域.则优先选择Kerberos (NTLM实际上不会向客户端验证服务的身份,而只会向服务验证客户端 的身份)。如果您想要使用Kerberos,则必须让客户端根据配宜中的服务主体名称验证服务的身份。如 果您要在域环境中为客户端构建服务,您应明确地为其提供发送Windows账号的选项。Certificate:服务将具有一个证书(客户端的公钥),客户端也具有一个其自己的证书(服务端的公钥)。 、“I客户端向服务端发送消息时,使用证书加密消息.服务端使用私钥解密。反之亦
8、然。证书就是包含公钥, 证书标识.主题,指纹.签名算法等的一个文件。(5)IssuedToken:安全令牌的概念在WSE3.0里曾经涉及到。它允许您的服务从安全性令牌服务(STS) 接受一组签名的声明因为它可以启用联合标识方案和InfoCardo十您与某个合作伙伴组织联合时,您将 允许该合作伙伴通过任何合适的技术对其自己的用户进行身份验证。在最理想的情况下.这将允许该合作 伙伴组织中的用户通过单一登录使用您的服务即便他们并不与您使用同一个Active Directory域,或 不受您的信任。该合作伙伴组织中的用户需要使用STS进行身份验证,而STS可以发出一个签名的安 全声明标记语言(Secu
9、rity Assertion Markup Language, SAML)令牌您既可以直接接受该令牌. 也可以要求将该令牌呈送给您组织中的STS,以便让其评估该合作伙伴的声明,并发出第二个您可以使用 的SAML令牌。理解起來有点复朵。实际也是一个标识,鉴别客户端的一个标识。就是一种更加灵活的 身份验证方式。好比你现在使用中国护照,有一天突然联合国实现了一种新的护照,全球统一护照,你可以进入任何一 个国家,即使你在中国办理.但是其他国家可以再你落地的时候验证你的护照的有效性。然后告诉其他国家,共宇着这次验证的结果。你的护照就是令牌需要后续鉴别的XX明。Issued这个加词的作用就在这 里。需雯鉴
10、别的令牌UserName方式容易实现,但是在WCF框架下需要使用服务证书,这个是相对WSE3.0改变的地方。 如果结合证书使用的话,会使的这种方式适合在Internet中使用。安全性较高。适合对发布到Internet 的WCF服务常见的身份验证方式。X.509证书验证方式相对严谨.雯求客户端提供有效的证书凭证,也 就是每个客户端都耍维护一个自己的证书.调用服务前.通过SOAP消息传递到WCF服务.WCF进行身 份验证。这个需要CA支持。或者需要申请第三方商业证书。定制方式也比较常见,用户根据需要定制自己的身份验证机制.如指纹,基因等技术。來代替现有的身 份验证方式。【2】WCF传输安全模式:W
11、CF transfer Security mode 包含 5 种方式:None/Transport,Message,Mixed,Both.这里的佣 译直接翻译会导致奇界因为这里还有一个概念就是Transport安全。选择不啣译更好两者的中文直译 反而难以理解。记住transfer Security 包含Transport,Message等5 中安全模式Transport,Message 也是垠长使用的安全模式。如下图:T畑Mfer安全模式厂一None Transport Security Message Security MixedFrankBothXu Lei传输安全模式使用传输级协议(如H
12、TTPS)获取传输安全性。传输模式的优点是可以被广泛采用、可 用于多个平台以及计算较为简讯。但是,它的缺点是只能保证点到点的消息安全。(1)混合模式:使用传送安全实现完整性、XX性和服务器身份验证。使用消息安全(WSSecurity和其 他标准)实现客户端身份验证。(此模式的枚举值是TransportWithMessageCredentiaL )(2)消息和传送:在传送级别和消息级别都执行保护和身份验证。此模式仅在vnetMsmqBinding元素 中可用。消息安全模式使用WSSecurity (和其他规X)实现传输安全性。因为消息安全性宜接应用于SOAP 消息并与应用程序数据一起包含在SOA
13、P消息内.它的优点是独立于传输协议.可扩展性更强以及可确 保端到端安全性(与点到点相对).实现在整个Internet网络中的消息传播安全:它的缺点是比传输安全 性模式慢很蚩倍.伏I为它必须处理SOAP消息.对消息加密,解密和签名等操作。【3】WCF安全模式 与绑定协议: Net相关的绑定协议默认支持transport安全模式.而WS相关绑定默认支持消息安全 模式。BasicHttpBinding绑定可支持基木安全配宜文件,而WSHttpBinding绑定则支持垠新的安全标 准,例如 WS-Security 1.1和 WS-SecureConversation。通过对这些标准的支持,WCF安全性
14、可与除MicrosoftWindows之外的操作系统和平台上承载的Web服务进行互操作和集成。具体关系可以 参考下表:绑定安全模式NoneTransportMessageMixedBothBasicHttpBindingYes(Default)YesYesYesNoNetTcpBindingYesYes(Default)YesYesNONetPeerTcpBindingYesYes(Default)YesYesNONetNamedPipeBindingYesYes(Default)NONoNOWSHttpBindingYesYesYes(Default)YesNOWSFederationHtt
15、pBindingYesNoYes(Default)YesNOWSDualHttpBindingYesNoYes(Default)NoNoNetMsmqBindingYesYesYesNoYes(Default)4 Transport安全模式与客户端凭据:Transport安全模式与客户端验证方式包括以下4种:None,Windows,UserName, Certificate也 就是证书(非对称加密算法里,包含公钥等信息的一种文件形式)。客户端凭据中文鋪译别扭.不好理解。 clientCredentiaL通俗來说:就是用什么样的方式來验证客户端。喀户端提供的证件。具体由服务端 决定使用哪种方式。下面是绑定协议和客户端验证方式在transport模式下的对应关系:绑定客户端凭据NoneWindowsUsernameCertificateBasicHttpBindingYes (Default)YesYesYesNetTcpBindingYesYes (Default)NoYesNetPeerTcpBindingNoNoYes (Default)Ye
