WCF 中使用的安全概念
Windows Communication Foundation (WCF) 安全性建立在已在各种安全基础架构中使用并部署的概念之上。
WCF 支持这些基础结构的其中一些,如 HTTP 上的安全套接字层 (SSL) (HTTPS)。但是,WCF 实现了针对 SOAP 编码消息的更新的可互操作安全标准(如 WS-Security),因此已不再仅仅是支持现有安全基础结构。但是,无论是使用现有机制还是新的可互操作标准,其背后的安全概念都是相同的。因此,理解现有基础结构以及较新的标准背后的概念对于为应用程序实现最佳安全模型至关重要。本主题提供了对现有概念和机制的概述,并包含更多详细信息的链接。
Web 服务安全简介
MSDN 在位于 Web Services Enhancements (WSE) 3.0 的方案、模式和实现指南(可能为英文网页)的一系列模式和实践教程中包含了对安全概念的有价值的介绍,尤其是有关 WCF 的安全概念。
Web 服务的身份验证、授权、保密性和完整性
有关 这些基本概念及其在 Windows 中的实现的更多信息,请参见如何:创建自定义帐户来运行 ASP.NET 1.1(可能为英文网页)。
业界级安全规范
公钥基础结构
公钥基础结构 (PKI) 是一种由数字证书、证书颁发机构以及其他注册机构所组成的系统,它通过使用公钥加密对电子事务中所涉及的各方的有效性进行检验和身份验证。有关更多信息,请参见 Windows 2000 公钥基础结构简介(可能为英文网页)
Kerberos 协议
Kerberos 协议是一种规范,用于创建对 Windows 域中的用户进行身份验证的安全机制。它允许用户建立与域中的其他实体的安全上下文。Windows 2000 及更高的平台默认情况下使用 Kerberos 协议。在创建将与 intranet 客户端进行交互的服务时,理解系统的机制非常有用。此外,由于 Web 服务安全 Kerberos 绑定**的广泛发布,可以使用 Kerberos 协议来与 Internet 客户端(即 Kerberos 协议是可互操作的)通信。有关 Kerberos 协议在 Windows 中如何实现的更多信息,请参见探索 Kerberos,Windows 2000 中的分布式安全性协议(可能为英文网页)。
X.509 证书
X.509 证书是安全应用程序中使用的主要凭据形式。运行 Windows 的计算机有多种存储区,每一个都针对不同的用途。有关 不同存储区的更多信息,请参见证书存储区(可能为英文网页)。
特定于 Windows 的安全机制
Windows 标识
作为 Kerberos 保护域中的有效成员的用户在通过身份验证之后,可能要使用该域的其他服务。为此,该用户必须能将其 Internet 标识映射为 Windows 标识。有关此主题的信息,请参见 Windows 2000 公钥基础结构简介(可能为英文网页)。
Web 服务安全规范
安全对话
安全对话是其中建立了客户端和服务之间的安全上下文的对话。安全上下文使消息能在较长的一段时间内在客户端和服务之间安全地流动。安全对话的每条消息不仅受到保护,而且与某个对话 ID 关联,对话的任一方都可使用该 ID 来跟踪协商的进度。
在需要建立扩展通信会话时,安全对话很有用。
换言之,在通信需要从客户端到服务的多条单独(一次性)消息时,应使用安全对话。
使用 Authenticode 创建证书
有关 使用 MakeCert.exe 和其他工具创建临时证书的更多信息,请参见 Windows 2000 公钥基础结构简介(可能为英文网页)。
授权管理器
授权管理器提供了一种用于将基于角色的访问控制集成到应用程序中的灵活框架。它使得使用这些应用程序的管理员能通过分配的与工作职能相关的角色来提供访问权限。授权管理器应用程序以授权存储区的形式存储授权策略,授权存储区存储在 Active Directory 或 XML 文件中,并在运行时应用授权策略。