第10章–Web服务安全性-Microsoft.docVIP

  1. 1、本文档共27页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第10章–Web服务安全性-Microsoft

第 10 章 – Web 服务安全性 构建安全的 ASP.NET 应用程序 身份验证、授权和安全通信 J.D. Meier、Alex Mackman、Michael Dunner 和 Srinath Vasireddy Microsoft Corporation 2002 年 10 月 有关构建安全的 ASP.NET 应用程序 的起点和完整概述,请参见“登录页面”。 总结 本章重点介绍使用 IIS 和 ASP.NET 的基础功能的 Web 服务的平台级安全性。对于消息级安全性,Microsoft 正在开发 Web 服务开发工具包,利用该工具包,您可以构建符合 WS-Security 规范(全局 XML 体系结构 (GXA) 提案的一部分)的安全性解决方案。 内容 Web 服务安全性模型 平台/传输安全性体系结构 身份验证和授权策略 配置安全性 将身份验证的凭据传递给 Web 服务 传送原调用方 受信任的子系统 访问系统资源 访问网络资源 访问 COM 对象 将客户端证书用于 Web 服务 安全通信 总结 本章介绍如何开发和应用身份验证、授权和安全通信技术,以保护 ASP.NET Web 服务和 Web 服务消息的安全。它从 Web 服务的角度说明安全性,并介绍如何对调用方进行身份验证和授权,以及如何通过 Web 服务传递安全性上下文。本章还从客户端的角度详细说明如何使用凭据和证书调用 Web 服务,以支持服务器端的身份验证。 Web 服务安全性模型 可以在三个级别应用 Web 服务安全性: ● 平台/传输级(点对点)安全性 ● 应用程序级(自定义)安全性 ● 消息级(端对端)安全性 每一种方法都具有各自的优缺点,下面将详细阐述这些方法。选择哪一种方法在很大程度上取决于消息交换中所涉及的体系结构和平台的特点。 注意:本章着重介绍平台级和应用程序级的安全性。消息级安全性将在全局 XML Web 服务体系结构 (GXA) 提案中以及专门在 WS-Security 规范中进行介绍。在编写本指南时,Microsoft 刚刚发布了 Web 服务开发工具包的技术预览版本。它可用于开发符合 WS-Security 规范的消息级安全性解决方案。有关详细信息,请参见 /webservices/building/wsdk/。 平台/传输级(点对点)安全性 两个终结点(Web 服务客户端和 Web 服务)之间的传输通道可用于提供点对点的安全性。图 10.1 中说明了这种情况。 {Insert figure: CH10 – Web Services Security – Transport Level.gif} 图 10.1 平台/传输级安全性 当您使用平台级安全性时(它假定在公司 Intranet 上安装了紧密集成的 Microsoft? Windows? 操作系统环境): ● Web 服务器 (IIS) 提供基本、摘要、集成和证书身份验证。 ● ASP.NET Web 服务继承了某些 ASP.NET 身份验证和授权功能。 ● 可以使用 SSL 和/或 IPSec 提供消息完整性和机密性。 何时使用 传输级安全性模型简单明了,并且可用于许多(主要是基于 Intranet 的)方案;在这些方案中,可以严格地控制传输机制和终结点配置。 传输级安全性的主要问题有: ● 安全性取决于基本平台、传输机制和安全服务提供程序(NTLM、Kerberos 等等)并与它们紧密集成。 ● 安全性是在点对点的基础上应用的,无法通过中间应用程序节点提供多个跃点和路由。 应用程序级安全性 通过使用这种方法,应用程序负责提供安全性并使用自定义的安全功能。例如: ● 应用程序可以使用自定义的 SOAP 标头传递用户凭据,以便根据每个 Web 服务请求对用户进行身份验证。常用的方法是在 SOAP 标头中传递票(或者用户名或许可证)。 ● 应用程序可以灵活地生成其包含角色的 IPrincipal 对象。该对象可以是自定义类或 .NET 框架提供的 GenericPrincipal 类。 ● 应用程序可以有选择地加密需要保密的内容,但是这需要使用安全密钥存储,并且开发人员必须了解相关加密 API 的知识。 另一种方法是使用 SSL 提供机密性和完整性,并将它与自定义的 SOAP 标头结合起来以执行身份验证。 何时使用 在以下时候使用此方法: ● 您想要利用在现有应用程序中使用的用户和角色的现有数据库架构。 ● 您想要加密消息的一部分,而不是整个数据流。 消息级(端对端)安全性 这是一种灵活性最大而且功能最强的方法,GXA 提案(特别是在 WS-Security 规范中)使用的就是这种方法。图 10.2 说明了消息级安全性

文档评论(0)

170****0571 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档