WCF的传输安全(读书笔记)
Wcf的传输安全主要涉及认证、消息的一致性和机密性。Wcf采用两种不同的机制来解决这三个涉及传输安全的问题,即Transport安全模式和Message安全模式。
Transport安全模式利用基于传输层协议的安全机制解决传输安全涉及的三个问题。TLS/SSL是实现Transport安全最常用的方式。它的优缺点:
1. Transport安全模式依赖于具体的传输协议
2. 它只能提供基于点对点的安全传输保障,即客户端直接连接到服务端的场景。如果客户端和服务端之间的网络需要一些用于消息路由的中间节点,Transport安全模式则没有了用武之地。
3. 如果用Transport安全模式,意味着我们不得不在传输层(而不是在应用层)解决对客户端的认证。这就决定了可供选择的认证方式比较少。
Message安全模式直接将安全策略的目标对象转移到消息本身,通过对消息进行签名、加密实现消息安全传输。提供消息从发送端到接受端之间的安全传输,即端到端(end-to-end)安全传输。Message下的安全协议是一种应用层的协议。它的优缺点:
1. 由于Message安全模是在应用层通过对消息实施加密、签名等安全机制实现的,所以这是一种与具体传输协议无关的安全机制,不会因底层采用的是Tcp或http而有所不同。较之Transport安全,这种基于应用层实现的安全机制在认证方式上具有更多的选择。
2. 由于Message安全模式下的各种安全机制都是直接应用在消息(soap)级别的,因此无论消息路由多么复杂,都能够保证消息的安全传输。不同于Transport安全模式只提供点到点(point-to-point)的安全,Message安全模式提供端到端(end-to-end)的安全。
3. 由于Message安全模式是对WS-Security,WS-Trust,WS-SC,WS-SP这四个ws-*规范的实现,所以具有很好的互操作性,能够提供跨平台的支持。
但是Transport安全模式有一点是Message安全模式不能比的,那就是性能。
认证方式:
1. 用户名和密码认证
a) 将用户名映射为Windows账号,采用windows认证
b) 采用asp.net的成员资格(Membership)模块
c) 自定义认证逻辑
2. NTLM
3. Kerberos
4. 数字证书
(一) 服务端认证
服务端配置
<system.serviceModel>
<bindings>
<netTcpBinding>
<binding name=”transportTcpBinding”>
<security mode=”Transport”>
<transport clientCredentialType=”None”/>
</security>
</binding>
</netTcpBinding>
</bindings>
<services>
……
</services>
</system.serviceModel>
客户端配置
<system.serviceModel>
<bindings>
<netTcpBinding>
<binding name=”transportTcpBinding”>
<security mode=”Transport”>
<transport clientCredentialType=”None”/>
</security>
</binding>
</netTcpBinding>
</bindings>
<client>
……
</ client >
</system.serviceModel>
具体还需要一些证书之类的配置。
(二) 客户端认证
1. Windows认证
Using(ChannelFactory<Icalculator> channelFactory= new ChannelFactory<Icalculator>(“calculatorService”))
{
NetworkCredential credential = channelFactory.Credentials.Windows.ClientCredential.
credential.Domain=”domainName”;
credential.UserName=”username”;
credential.Password=”password”
Icalculator calculator = channelFactory.CreateChannel();
Double resutlt = calculator.Add(1,2);
……
}
2. 用户名密码认证
a) Windows:将用户名和密码映射为Windows账号和密码,采用Windows认证
b) MembershipProvider:利用配置的asp.net MembershipProvider,验证用户名和密码
c) 自定义:通过机箱抽象类UsernamePasswordValidator,自定义用户名/密码验证器进行验证
Using(ChannelFactory<Icalculator> channelFactory= new ChannelFactory<Icalculator>(“calculatorService”))
{
UserNamePasswordClientCredential credential = channelFactory.Credentials.UserName;
credential.UserName=”username”;
credential.Password=”password”
Icalculator calculator = channelFactory.CreateChannel();
Double resutlt = calculator.Add(1,2);
……
}
自定义认证:
Public class SimpelUsernamePasswordValidator: UsernamePasswordValiator
{
Public override void Validate(string username, string password)
{
……
}
}
服务端配置:
<configuration>
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior name=”customAuthenentication”>
<userNameAuthentication userNamePasswordValiationMode=”Custom” customUserNamePasswordValidationType=”……”>
</behavior>
</serviceBehaviors>
</behaviors>
<bindings>
…….
</bindings>
<services>
……
</services>
</system.serviceModel>
</configuration>
如果是Membership验证模式
<userNameAuthentication userNamePasswordValiationMode=”MembershipProvider” membershipProviderName=”myProvider”>
<system.web>
<membership defaultProvider=”myProvider”>
<providers>
<add name=”myProvider”
Type=”……”
ConnectionStringName=”…”
applicationName=””
requiresQuestionAndAnswer=”false”
/>
</providers>
</membership>
</system.web>
3. 证书认证
客户端
Using(ChannelFactory<Icalculator> channelFactory= new ChannelFactory<Icalculator>(“calculatorService”))
{
channelFactory.Credentials.ClientCertifacte.SetCentificate(
StoreLocation.LocalMachine,
StoreName.TrustedPeople,
X509FindType.FindBySubjectName,
“foo”);
Icalculator calculator = channelFactory.CreateChannel();
Double resutlt = calculator.Add(1,2);
……
}
服务端:
Using(ServiceHost host = new ServiceHost(typeof(CalculatorService)))
{
ServiceCredentials serviceCredentials = host.Description.Behaviors.Find<ServiceCredentials>();
If(null = serviceCredentials)
{
serviceCredentials = new serviceCredentials();
serviceCredentials.ClientCertifacte.Authentication.CretifacteValidationMode = X509CetrtifacteValidationMode.PeerOrChainTrust.
host.Description.Behaviors.Add(serviceCredentials);
host.Open();
……
}
}
WCF的传输安全(读书笔记)的更多相关文章
- PCI-Express协议传输层读书笔记
http://www.doczj.com/doc/35cb19633169a4517723a3d9-9.html
- WPF,Silverlight与XAML读书笔记第四十八 - Silverlight网络与通讯
说明:本系列基本上是<WPF揭秘>的读书笔记.在结构安排与文章内容上参照<WPF揭秘>的编排,对内容进行了总结并加入一些个人理解. 这一部分我们重点讨论下Silverlight ...
- C#刨根究底:《你必须知道的.NET》读书笔记系列
一.此书到底何方神圣? <你必须知道的.NET>来自于微软MVP—王涛(网名:AnyTao,博客园大牛之一,其博客地址为:http://anytao.cnblogs.com/)的最新技术心 ...
- Spark存储管理(读书笔记)
Spark存储管理(读书笔记) 转载请注明出处:http://www.cnblogs.com/BYRans/ Spark的存储管理 RDD的存放和管理都是由Spark的存储管理模块实现和管理的.本文从 ...
- 《C#图解教程》读书笔记之一:C#和.NET框架
本篇已收录至<C#图解教程>读书笔记目录贴,点击访问该目录可获取更多内容. 一.在.NET之前的编程世界 C#语言是在微软公司的.NET框架上开发程序而设计的,首先作者给大家纠正了一下C# ...
- 《TCP/IP详解卷1:协议》第1章 概述-读书笔记
章节回顾: <TCP/IP详解卷1:协议>第1章 概述-读书笔记 <TCP/IP详解卷1:协议>第2章 链路层-读书笔记 <TCP/IP详解卷1:协议>第3章 IP ...
- 《TCP/IP详解卷1:协议》第2章 链路层-读书笔记
章节回顾: <TCP/IP详解卷1:协议>第1章 概述-读书笔记 <TCP/IP详解卷1:协议>第2章 链路层-读书笔记 <TCP/IP详解卷1:协议>第3章 IP ...
- 『TCP/IP详解——卷一:协议』读书笔记——02
2013-08-16 20:07:11 1.3 TCP/IP的分层 这是一个很好的图,要多看!!图上有些细节会在今后的笔记中提到,看不懂不必深究. IP是网络层上的主要协议,同时被TCP和UDP(这两 ...
- 《TCP/IP详解卷1:协议》第3章 IP:网际协议(1)-读书笔记
章节回顾: <TCP/IP详解卷1:协议>第1章 概述-读书笔记 <TCP/IP详解卷1:协议>第2章 链路层-读书笔记 <TCP/IP详解卷1:协议>第3章 IP ...
随机推荐
- [游戏模版17] Win32 推箱子 迷宫
>_<:Here introduce a simple game: >_<:resource >_<:only can push a box and finally ...
- CentOS7 修改系统时间
yum -y install ntp [root@localhost kevin]# systemctl enable ntpdsystemctl start ntpdntpdate us.pool. ...
- FreeIconMaker - 在线创建免费和时尚的图标
在设计一个网站或 Web 应用程序时,你不能否认网页设计工具的重要性,这些工具有助于简化您的任务和完成您的项目.FreeIconMaker.com 是一个免费的在线图标制作工具,您也可以创建自己的模板 ...
- C语言实现快速排序
我觉得冒泡排序是比较简单的: 所以今天我们实现一个叫做快速排序的: Problem 你想要将(4,3,5,1,2)排序成(1,2,3,4,5) 你决定使用最简单的快速排序: Solution 首先,打 ...
- paip.解决中文url路径的问题图片文件不能显示
paip.解决中文url路径的问题图片文件不能显示 #现状..中文url路径 图片文件不能显示 <img src="img/QQ截图20140401175433.jpg" w ...
- iOS开发之静态库(五)—— 图片、界面xib等资源文件封装到静态框架framework
编译环境:Macbook Air + OS X 10.9.2 + XCode5.1 + iPhone5s(iOS7.0.3) 一.首先将资源文件打包成bundle 由于bundle是静态的,所以可以将 ...
- Maven学习总结(六)——Maven与Eclipse整合
一.安装Maven插件 下载下来的maven插件如下图所示:,插件存放的路径是:E:/MavenProject/Maven2EclipsePlugin
- Mybatis多参传递的四种解决方案
Mybatis多参传递的四种解决方案 代码异常:org.apache.ibatis.binding.BindingException: Parameter 'param' not found. 长时间 ...
- 如何设置缺省路由 route hosts(仅助记) 马连洼 马连洼 马连洼
linux下添加路由的方法:一:使用 route 命令添加使用route 命令添加的路由,机器重启或者网卡重启后路由就失效了,方法://添加到主机的路由# route add –host 192.16 ...
- C#创建唯一的订单号, 考虑时间因素
主要是想把日期和其它因素考虑进来. 使用RNGCryptoServiceProvider类创建唯一的最多8位数字符串. private static string GetUniqueKey() { ; ...