客户端wcf系统安全的身份认证和web 应用程序系统安全的身份认证可行性分析方案

文档 目录

第1章.

系统安全认证概述---------------------------------------------------------------------------2

2.1.

WCF与以往技术的比较--------------------------------------------------------------------3

2.2.

2.5. WCF开发模型和以往的其他分布式技术的区别--------------------------------------4

2.6. Binding类型比较----------------------------------------------------------------------------5

第3章. WCF实例会话模型-------------------------------------------------------------------------6

3.1. 证书认证体系--------------------------------------------------------------------------------7

3.2. WCF身份验证机制-------------------------------------------------------------------------7

3.3. 传输安全模式之匿名客户端身份验证---------------------------------------------------8

3.4. 传输安全模式之基本身份验证(Windows帐户验证)-----------------------------------9

3.5. 传输安全模式之自定义用户名密码身份验--------------------------------------------10

3.6.

传输安全模式之Window s身份验证----------------------------------------------------11

3.7.

传输安全模式之Certific ate证书身份验证---------------------------------------------11

3.8.

3.10. 消息安全模式之匿名客户端身份验-----------------------------------------------------13

3.11. 消息安全模式之Us erName客户端身份验证------------------------------------------13

3.12. 消息安全模式之NetTcpBinding客户端身份验证----------------------------------14

3.13. 消息安全模式之自定义用户名密--------------------------------------------------------14

第4章. 消息安全模式之证书客户端身份验证-----------------------------------------------15

第5章. 消息安全模式之自定义证书客户端身份验证---------------------------------------15

第6章. 证书载体论述-------------------------------------------------------------------------------16

可行性分析报告-----------------------------------------------------------------------------17

WE B应用程序证书认证体系-------------------------------------------------------------17

第1章.系统安全认证概述

本文档重点讨论WCF系统安全的身份认证和WEB应用程序系统安全的身份认证。

WCF系统的身份认证体系与其相关的通讯协议紧密联系有些通讯协议只能采用证书认证或Window s身份认证等方式。本文档重点讨论阐述基于w sHttp Binding通讯协议的WCF安全认证。WE B应用程序系统安全采用以W E B服务器证书身份验证和客户端即浏览器身份验证方式。

安全可靠(Secure and Reliable)

兼容性

2.2.WCF在安全性方面的改进

为了保证数据通讯的安全,WCF提供了三种保护措施 1机密性Confident iality 2完整性(Integrity) 3可验证性(Authentic ation)这三种措施联合起来被称为CIA。并且这些措施在WCF中是默认支持的。机密性能保证传输的数据是经过加密的不被非法监听eavesdrop而完整性利用数字签名技术防止数据在传输过程中被注入injected或篡改(tampered)而验证(Authentic ati on)可以采用灵活的策略来处理达到的客户端请求 比如用户名密码验证客户端证书验证等。

2.3.WCF在性能方面的改进

大家都知道越复杂结构层次越多的框架一般效率也越低WCF是以往其他分布式技术的集成者它结构相对复杂且由于默认支持安全传输在性能上应该不如Xml WebServic e技术更不用和.Net Remoting等比较这是一个有框架设计经验和架构师们都明白的简单道理但是事实怎么样呢wc f比xml w eb s ervic e性能到底是高还是底低要低多少这些问题很值得大家的研究和讨论其实已经有人在此方面做了很详细的对比msdn上便

WCF不仅仅在功能上集成了以往的分布式开发技术而且在编程模型中充分吸取原来技术的优点如xml web service的声明性编程(declareable),和.net remoting中的配置(c onfiguration)和w s e中的安全策略声明性配置方法这样WCF虽然功能强大而且学习简单便于推广。在vs2008中还集成了WCF Test Client,开发服务的时候甚至不需要再开发测试客户端就能用WCF Test Client来进行调用简单之极示例程序更是无需更改以行代码便可以运行。

上面这些是说了WCF编程的简单易学性我总结出来主要包括以下几种特性

基于声明性编程模型

充分利用配置来实现框架的灵活

使用配置的同时仍保留代码编程的模型使得框架更加丰富便于控制

默认的CIA支持极大地简化了安全控制。

2.5.Binding类型比较

NetNamedPipeBinding netNamedPipeBinding binding能对用户进行验证和授权

BasicHttpBinding

WSHttpBinding Basic Profile 1.1 Transport, None, (None) None n/a

WS (Message), Reliable Session

Mixed

WSDualHttpBindingWS (Message) (Reliable Session) (None),Yes Yes

ng (Tran s p ort)NetMsmqBindingM s mqIntegrationBi)

NetPeerTcp Binding P

出异常。类似于Net Remoting的客户端激活模式这是wc f的默认支持方式. 由于每个客户端都需要维护一个会话需要占用较多的资源来保存服务会话状态。如果存在多个独立的客户端则创建专门的服务实例的代价太大。

>> Singleton:所有客户端而言都只有一个服务实例,当服务端被host的时候就会创建有且仅有一个服务实例来响应客户端服务调用的请求在多个客户端请求下服务端只会处理一个客户端的请求其他的排队等候处理。因此在系统的吞吐量、相应效率、系统服务性能上都存在严重的瓶颈好处是可以共享数据。

第3章.证书认证体系

3.1.WCF身份验证机制

3.2.传输安全模式之匿名客户端身份验证

SSL安全套接字层一个数据传输加密机制它可以确保在客户机与服务器之间传输的数据仍然是安全与隐密的。传输安全(HTTPS) 确保保密性和完整性。使用安全套接字层(SSL)证书对服务器进行身份验证并且客户端必须信任服务器的证书。对客户端不通过任何机制进行身份验证 因此是匿名的。 S SL广泛用于Int ernet 中 以便向客户端证明服务的身份并且随后向通道提供保密性加密。这里要经过三次握手以后客户端和服务端建立安全套接字连接。在握手期间服务还将其SSL证书发送到客户端。该证书包含一些信息例如证书的到期日期、颁发机构以及网站的统一资源标识符(URI)。客户端将该URI与它原来联系的URI进行比较 以确保二者匹配并且对日期和颁发机构进行检查。客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后 SSL被用来加密和解密 HTTPS 组合SSL和HTTP 的一个独特协议请求和服务器响应中的所有信息。这个就是为什么WCF传输安全需要使用证书的原因客户端可以不进行身份验证。但是要有一个服务器证书来保证客户端和服务器之间能够建立SSL安全套接字连接。

证书注册与查询

输入makecert -sr localmachine-ss My-n CN=WCFServerPK-sky exchange-pe-r

输入makecert -sr localmachine-ss My-n CN=WCFClientPK-sky exchange-pe–rhttpcfg set ssl -i 0.0.0.0:9001-h b2860b6d5ec3de133d5fcc4e1419b09e5httpcfg delete ssl -i 0.0.0.0:9001-h b2860b6d5ec3de133d5fcc4e1419b09e5httpcfg query ssl