9

我开发了一个 WCF 自托管服务,我有两个基本的安全要求,因为它将通过 Internet 访问:

  • 传输层应防止篡改和嗅探,尤其是检索身份验证凭据。这就是 SSL 所做的,但据我所见,设置 SSL 需要安装证书(可能通过使用普通证书文件的这个 hack除外),我不想这样做。

  • 身份验证层应包含用户名/密码验证器。

我将我的服务配置为使用:

      <security mode="TransportWithMessageCredential">
        <message clientCredentialType="UserName" />
        <transport clientCredentialType="Basic" />
      </security>

即使传输层是 HTTP(不是 HTTPS),这是否会使 WCF 创建另一个等效于 SSL 的安全层?如果不是,在安全强度方面有什么区别?

此外,是否有任何方法可以在不使用 SSL 证书的情况下保护元数据端点(不是必需的,但将不胜感激)?

这是我的自托管服务的完整配置代码:

<?xml version="1.0"?>
<configuration>
<startup><supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/></startup>
  <system.serviceModel>
    <services>
      <service name="MyService">
        <host>
          <baseAddresses>
            <add baseAddress = "http://localhost:8000/Services" />
          </baseAddresses>
        </host>
        <endpoint address ="MyService" binding="wsHttpBinding" contract="IMyService">
          <identity>
            <dns value="localhost"/>
          </identity>
        </endpoint>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
      </service>
    </services>
    <bindings>
      <wsHttpBinding>
        <binding name="Binding1" maxReceivedMessageSize="2147483647">
          <security mode="TransportWithMessageCredential">
            <message clientCredentialType="UserName" />
            <transport clientCredentialType="Basic" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <behaviors>
      <serviceBehaviors>
        <behavior>
          <serviceMetadata httpGetEnabled="True"/>
          <serviceCredentials>
            <userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="CR.Common.Services.CustomValidator, Common" />
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
  </system.serviceModel>
</configuration>

谢谢!

4

1 回答 1

11

默认情况下,所有安全的WCF 绑定(如 wsHttpBinding)都会对消息进行加密和签名。

SSL 强制使用证书,您提供的链接中的黑客攻击是攻击 wcf,而不是 SSL。因为没有 SSL WCF 禁止使用 basicHttpBinding(以明文形式发送 xml)和 UserNamePasswordValidator,因为在这种情况下,任何拦截消息的人都可以获得用户名/密码。

使用 WSHttpBinding,您可以避免 SSL 并将安全性置于消息级别。

我强烈建议您阅读这篇文章,尤其是服务凭证和协商一章:

为了支持相互身份验证和消息保护,服务必须向调用者提供凭据。当使用传输安全 (SSL) 时,服务凭证通过传输协议进行协商。使用 Windows 凭据时,也可以协商用于消息安全的服务凭据;否则必须指定服务证书

使用UserNamePasswordValidator,您必须在服务器上配置证书以允许客户端签名并加密每条消息(使用证书的公钥)。如果您使用的是 Windows 身份验证,则不需要它。

你为什么这么担心证书?

于 2012-05-22T06:51:59.713 回答