當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 上海OA系統(tǒng) > 上海OA快博
保證.NET Web服務(wù)安全的必備知識
保證.NET Web服務(wù)安全的必備知識
一、概述
談到.NET Web服務(wù),安全是最重要的問題之一。一旦把商務(wù)應(yīng)用的一部分作為Web服務(wù)實(shí)現(xiàn),就應(yīng)當(dāng)能夠確保商務(wù)數(shù)據(jù)不會出現(xiàn)問題;類似地,如果商務(wù)應(yīng)用依賴于Web服務(wù),也應(yīng)當(dāng)確保發(fā)送給Web服務(wù)和從Web服務(wù)接收的數(shù)據(jù)不會受到任何威脅。本文總結(jié)了保證Web服務(wù)安全性的各種可用方案,針對可能遇到的各種情形提出一些建議。
首先,有兩個概念是必須熟悉的:驗(yàn)證(Authentication),授權(quán)(Authorization)。如果把Web服務(wù)比喻為一幢大樓,驗(yàn)證是安全警衛(wèi)的責(zé)任,他在人們進(jìn)入大樓時檢查每一個人的證件,阻止不帶合法證件的人進(jìn)入大樓。類似地,要訪問Web服務(wù),客戶程序也必須通過身份驗(yàn)證。授權(quán)也就是訪問控制,相當(dāng)于各個房間上的鎖起到的作用。要進(jìn)入房間就必須有該房間的鑰匙。類似地,要調(diào)用Web服務(wù)的某個功能,客戶程序必須獲得調(diào)用該功能的授權(quán)。本文的討論主要面向Web服務(wù)安全的驗(yàn)證問題。
.NET Web服務(wù)和其他Web應(yīng)用相似,它們的安全機(jī)制都可以分為兩個大類:系統(tǒng)實(shí)現(xiàn)的安全機(jī)制,應(yīng)用實(shí)現(xiàn)的安全機(jī)制。采用系統(tǒng)安全機(jī)制時,應(yīng)用依賴于平臺服務(wù)來提供必要的驗(yàn)證和授權(quán)功能;采用應(yīng)用安全機(jī)制時,應(yīng)用本身必須提供所有進(jìn)行身份驗(yàn)證和授權(quán)的代碼。系統(tǒng)安全機(jī)制的主要優(yōu)點(diǎn)是,開發(fā)者不必編寫和測試任何代碼。IIS服務(wù)器提供了適合許多情形的大量驗(yàn)證方法(參見本文后面的參考資源)。然而,采用系統(tǒng)安全機(jī)制時,應(yīng)用也同時受到平臺安全服務(wù)固有局限的束縛。應(yīng)用本身實(shí)現(xiàn)的安全機(jī)制靈活性最高,但代價是代碼必須由開發(fā)者自己編寫。
二、系統(tǒng)安全
圖一顯示了選擇安全機(jī)制的決策樹,可以幫助你選擇合適的驗(yàn)證機(jī)制。從圖一可以看出,Web服務(wù)的安全選項(xiàng)和其他Web應(yīng)用的相似,選擇安全機(jī)制的根據(jù)是網(wǎng)絡(luò)環(huán)境和應(yīng)用的需求。如果你正在構(gòu)造的Web服務(wù)用于Intranet內(nèi)部,則選擇與網(wǎng)絡(luò)拓?fù)溆嘘P(guān)。如果Web服務(wù)的用戶與Web服務(wù)在同一個域之內(nèi),或者Web服務(wù)的用戶在Web服務(wù)的域信任的域之內(nèi),可以使用Windows集成的驗(yàn)證機(jī)制(Integrated Windows Authentication)。在這種集成的安全機(jī)制下,Windows將使用當(dāng)前登錄用戶的證書。對于最終用戶來說,這是很方便的,因?yàn)橛脩粢坏┑卿浟薟indows工作站,他的身份信息也將自動適用于Web服務(wù)應(yīng)用。
如果用戶不在一個被信任的域之內(nèi),下一步必須決定:是利用Windows帳號創(chuàng)建和管理用戶帳號,還是使用應(yīng)用本身的帳號。如果使用Windows帳號,創(chuàng)建和維護(hù)用戶帳號的工具是免費(fèi)的。然而,在這種情況下,用戶訪問應(yīng)用時實(shí)際上是利用IIS登錄到了Windows服務(wù)器或Windows域。
此外,一旦依賴于Web服務(wù)器上本地定義的用戶帳號,則增加額外的Web服務(wù)器時會出現(xiàn)很多麻煩,必須把所有的帳號復(fù)制到每一個新增的Web服務(wù)器上?;趹?yīng)用的帳號要靈活得多,具有更好的可伸縮性,因?yàn)樵谶@種情況下,用戶帳號可以保存到一個可供所有Web服務(wù)器訪問的中心數(shù)據(jù)庫。但這時,所有創(chuàng)建和維護(hù)用戶帳號的工具都必須由開發(fā)者自己編寫。
讓W(xué)indows管理用戶帳號有兩種可能的驗(yàn)證方式。如果系統(tǒng)中使用了Windows 2000域控制器,且所有的客戶都使用IE 5或更高版本,則可以使用Digest驗(yàn)證。Digest驗(yàn)證是IETF(Internet Engineering Task Force)的標(biāo)準(zhǔn)驗(yàn)證機(jī)制。在這種驗(yàn)證方式下,客戶程序(IE 5)在把用戶證書發(fā)送給服務(wù)器(IIS 5)之前,將先對證書進(jìn)行加密。
如果系統(tǒng)不能滿足采用Digest驗(yàn)證必須符合的全部要求,另一種選擇是Basic驗(yàn)證。Basic驗(yàn)證是一個比較老的IETF標(biāo)準(zhǔn)。采用這種驗(yàn)證方式時,客戶程序以明文的形式將用戶證書發(fā)送給服務(wù)器。Basic驗(yàn)證方式經(jīng)常和安全套接字層(Secure Socket Layer,SSL)一起使用,對客戶端和服務(wù)器端發(fā)送的所有數(shù)據(jù)都加密,以免用戶證書被竊取。但是,如果在Intranet環(huán)境內(nèi)使用Basic驗(yàn)證,你可能不需要使用SSL,以避免SSL帶來的性能影響。
對于在Internet上運(yùn)行的Web服務(wù),選擇安全機(jī)制的過程與Intranet環(huán)境下用戶在非安全域的情形類似。主要的區(qū)別在于,一旦決定采用Basic或應(yīng)用自身實(shí)現(xiàn)的驗(yàn)證機(jī)制,通常還需要加上SSL以確保用戶證書的安全,因?yàn)橛脩糇C書要通過Web傳遞。這里的決定因素是用戶密碼的重要程度。例如,如果用戶驗(yàn)證只是為了便于提供個性化的內(nèi)容,根據(jù)用戶所在城市提供天氣信息,則密碼被竊取的可能性不大。另一方面,如果驗(yàn)證身份是為了讓用戶進(jìn)入股票交易系統(tǒng),用戶可以在該系統(tǒng)內(nèi)買賣股票,則最好使用SSL。
無論是使用集成的安全驗(yàn)證,還是使用Basic、Digest安全驗(yàn)證,都要對IIS服務(wù)器進(jìn)行配置,就象為普通Web應(yīng)用配置IIS服務(wù)器一樣。此外,ASP.NET也要經(jīng)過配置。因?yàn)?NET Web服務(wù)運(yùn)行在ASP.NET框架的基礎(chǔ)上,而ASP.NET又運(yùn)行在IIS的基礎(chǔ)上,要保證Web服務(wù)的運(yùn)行安全,所有這些地方都必須正確地配置(參見圖二)。
MSDN主題“ASP.NET Data Flow”(參見本文后面的參考資源)揭示了在兩種常見的情形下,IIS和ASP.NET如何一起協(xié)作保證ASP.NET應(yīng)用的安全。ASP.NET驗(yàn)證機(jī)制在Web.config文件中配置,Visual Studio.NET把這個XML文件放在包含Web服務(wù)的應(yīng)用的根下。在Web.config文件中,authentication元素的mode屬性可以是下面四個值之一:None,Windows,F(xiàn)orms,或Passport。例如,在下面的例子中,“None”選項(xiàng)關(guān)閉了ASP.NET安全驗(yàn)證:
<authentication mode="None"/>
把驗(yàn)證模式設(shè)置為Windows意味著應(yīng)用依賴于IIS實(shí)施驗(yàn)證,對應(yīng)于本文前面所謂的系統(tǒng)安全機(jī)制。把IIS配置成除匿名訪問之外的任何其他驗(yàn)證形式時我們使用該選項(xiàng)。也就是說,這個選項(xiàng)本身不保證對用戶進(jìn)行身份驗(yàn)證,使用該選項(xiàng)時還應(yīng)當(dāng)把IIS設(shè)置成除匿名訪問之外的其他驗(yàn)證形式。
Forms(表單)驗(yàn)證以前也叫做Cookie驗(yàn)證,實(shí)際上是系統(tǒng)驗(yàn)證和應(yīng)用驗(yàn)證之間的一種混合驗(yàn)證類型。表單驗(yàn)證類型向用戶顯示一個表單,要求用戶輸入名字和密碼。實(shí)際的驗(yàn)證過程由開發(fā)者編寫的代碼完成,例如通過一個用戶信息數(shù)據(jù)庫完成。用戶順利通過身分驗(yàn)證之后,應(yīng)用把一個唯一的鍵值以Cookie的形式寫入到客戶端??蛻舫绦蛟诿恳粋€后繼的請求中,把這個Cookie發(fā)送給服務(wù)器,服務(wù)器負(fù)責(zé)在處理請求之前檢驗(yàn)這個Cookie。這種驗(yàn)證類型不適用于Web服務(wù),因?yàn)橐话愣?,Web服務(wù)的客戶程序不知道如何處理登錄表單。如果能夠?yàn)閃eb服務(wù)編寫一個定制的代理服務(wù)器,則只要提供了提交登錄表單(帶有用戶名字和密碼)的代碼和處理Cookie的代碼,表單驗(yàn)證或許也能夠適用于這種場合。另外值得指出的是,表單驗(yàn)證有一個缺點(diǎn),這就是用戶名字、密碼和Cookie都是以明文的形式傳遞,惡意的黑客可能竊取這些信息。
最后,Passport驗(yàn)證使用Microsoft的Passport服務(wù)。Passport相當(dāng)于Web上的Windows集成安全機(jī)制,它允許用戶在Web會話期間登錄,然后從一個支持Passport的站點(diǎn)轉(zhuǎn)到另一個支持Passport的站點(diǎn),且無需在每一個站點(diǎn)上反復(fù)登錄。Passport驗(yàn)證也是以表單為基礎(chǔ)的:用戶必須在一個HTML表單中輸入名字和密碼,然后把這些信息發(fā)送給Passport服務(wù)器。
如果你選擇使用Passport,可以用www.passport.com/sdkdocuments/sdk21/default.htm 的Passport SDK把用戶的證書發(fā)送到Passport服務(wù)。因此,除非Web服務(wù)的客戶程序知道如何處理Passport登錄請求,否則,在Web服務(wù)環(huán)境下使用Passport驗(yàn)證是不可能的。
如果依賴于IIS實(shí)施驗(yàn)證,Web服務(wù)的客戶程序可以把用戶的證書附帶在發(fā)送給服務(wù)的HTTP請求中發(fā)送。當(dāng)客戶程序也建立在.NET框架上時,這種處理方式尤其方便。首先創(chuàng)建一個NetworkCredentials對象,把用戶名字(用戶ID)和密碼傳入該對象的構(gòu)造函數(shù)。然后,利用這個NetworkCredentials對象設(shè)置Web服務(wù)代理的Credentials屬性。下面是一個使用Web服務(wù)的例子,Web服務(wù)的名字是Invoicing:
Dim inv As New com.Invoicing() inv.Credentials =New NetworkCredential ("AppUser","password ") '在下面這個調(diào)用中證書被傳遞給Web服務(wù)器 inv.DoWork()
三、應(yīng)用安全
從上面的說明可以看出,每一種基于IIS的驗(yàn)證方式都有各自的局限。由于這些局限的存在,再加上應(yīng)用往往有一些特殊的要求,所以許多時候你會發(fā)現(xiàn)讓應(yīng)用自己處理用戶驗(yàn)證是最好的選擇。
不管應(yīng)用驗(yàn)證機(jī)制的具體實(shí)現(xiàn)方式如何,從體系上看它們實(shí)際上都是一樣的。首先,客戶程序發(fā)送用戶名字和密碼,然后應(yīng)用通過這些信息驗(yàn)證用戶的身份。例如,應(yīng)用可能在數(shù)據(jù)庫中查找客戶程序提供的用戶名字,然后比較客戶程序提供的密碼和數(shù)據(jù)庫中保存的密碼。
如果用戶名字和密碼都是正確的,應(yīng)用會生成一個鍵(一個唯一的字符串形式的Bit序列),然后把這個鍵發(fā)送給客戶程序,同時在一個鍵緩沖區(qū)中保存這個鍵。此后,客戶程序在每一個請求中把該鍵發(fā)送給應(yīng)用。對于每一個客戶程序發(fā)送的請求,應(yīng)用在鍵緩沖區(qū)中檢查客戶程序提供的鍵,根據(jù)檢查結(jié)果判斷客戶是否已經(jīng)通過身份驗(yàn)證。
實(shí)現(xiàn)這種驗(yàn)證機(jī)制時有幾個方面的問題需要考慮。首先,必須考慮在網(wǎng)絡(luò)上傳輸用戶證書和鍵時,如何保證它們的安全。如果Web服務(wù)的客戶程序是定制的,則把這些敏感信息發(fā)送給服務(wù)器之前,可以讓客戶程序先加密這些信息。然而,要正確地實(shí)現(xiàn)這一點(diǎn),還有一些問題需要解決,例如:如何同步客戶程序和服務(wù)器使用的密匙,如何在客戶端保證密匙的安全。許多時候,你應(yīng)該考慮用SSL加密客戶程序和服務(wù)器之間的通信過程,而不是自己實(shí)現(xiàn)加密。盡管使用SSL會帶來一定的性能影響,但對于大多數(shù)商務(wù)應(yīng)用來說,客戶程序和服務(wù)器之間傳送的數(shù)據(jù)都是不可泄漏的,安全遠(yuǎn)比有限的性能影響重要。
大多數(shù)情況下,Web服務(wù)上必須有一個支持客戶程序登錄Web服務(wù)的方法:
<WebMethod()>Public Function Logon(ByVal userId As _ String,ByVal pwd As String)As String Dim authKey As String If SecurityMgr.Logon(userId,pwd,authKey)Then Return authKey Else Throw New Exception( "用戶名字或密碼錯誤!") End If End Function
該方法通過Users數(shù)據(jù)庫表檢查用戶名字(userID)和密碼的合法性。如果用戶名字和密碼是合法的,該方法隨機(jī)生成一個鍵,并把這個鍵保存到名為AuthKeys的數(shù)據(jù)庫表。另外,該方法還在名為LastUsed的字段中保存當(dāng)前的日期和時間。此后,程序可以利用LastUsed字段確定鍵是否已經(jīng)過期。
接下來還要考慮如何在每一個后繼請求中發(fā)送鍵。一種可用的方法是,可以在每一個Web服務(wù)的方法中加入一個表示鍵的字符串參數(shù),指示客戶程序提供這個參數(shù)。但這里推薦使用SOAP頭。SOAP頭是一種擴(kuò)展機(jī)制,允許為SOAP協(xié)議增加新的功能。在.NET框架下,定義和使用SOAP頭是很方便的。同樣,用SOAP Toolkit 2.0處理SOAP頭也很方便。如果客戶程序使用的是其他SOAP工具,請首先檢查從客戶程序發(fā)送SOAP頭是否簡單易行。
要使用SOAP頭,首先要創(chuàng)建一個從SoapHeader派生的類,加入必要的公用成員:
Public Class authHeader Inherits SoapHeader Public authToken As String End Class
然后,聲明該類的實(shí)例為Web服務(wù)類的一個成員變量:
<WebService(Namespace:= "......")>_ Public Class Invoicing Inherits System.Web.Services.WebService '身份驗(yàn)證用的SOAP頭 Public authHdr As authHeader
接下來是關(guān)鍵部分。對于Web服務(wù)中每一個需要該SOAP頭的方法(對于本例,所有的方法都需要該SOAP頭,因?yàn)樗松矸蒡?yàn)證的鍵),加上一個SoapHeader屬性:
<WebMethod(),SoapHeaderAttribute("authHdr", Direction:=SoapHeaderDirection.In, Required:=True)>_ Public Function SubmitInvoice(ByVal invoiceDoc As _ String) As Integer
.NET框架從SOAP請求提取出SOAP頭,并用它填寫authHdr的authToken成員。Web服務(wù)的代碼讀取authHdr.authToken,檢查鍵是否合法。你可以為AuthKeys表編寫一個存儲過程檢查鍵的合法性,如果鍵是合法的,則更新LastUsed字段以反映最新的使用日期和時間。
在客戶端,已經(jīng)生成的Web服務(wù)代理有一個名為authHeaderValue的屬性??蛻舫绦虮仨毎言搶傩栽O(shè)置為一個新的authHeader實(shí)例,把它的authToken屬性設(shè)置為調(diào)用LogOn返回的鍵:
Private _inv As com.Invoicing Private Sub btnLogOn_Click(ByVal sender _ As System.Object, _ ByVal e As System.EventArgs)Handles btnLogOn.Click _inv =New com.Invoicing() '登錄到Web服務(wù) Dim authKey As String =_inv.Logon( _ txtUserName.Text,txtPwd.Text) '設(shè)定驗(yàn)證信息 _inv.authHeaderValue =New com.authHeader() _inv.authHeaderValue.authToken =authKey End Sub
客戶程序只有在首先實(shí)例化Web服務(wù)代理之后,才能執(zhí)行上述步驟。此后,客戶程序就可以保留和使用該代理的實(shí)例,且不必再每次都重新登錄或設(shè)置SOAP頭信息了。
利用SOAP頭發(fā)送驗(yàn)證信息能夠確保Web服務(wù)代碼簡潔,能夠允許客戶程序一次設(shè)置SOAP頭信息之后反復(fù)使用。這種驗(yàn)證體系思路清楚,且使得客戶程序和Web服務(wù)的代碼具有更好的可讀性。
四、應(yīng)付“拒絕服務(wù)”攻擊
在為Web服務(wù)實(shí)現(xiàn)安全機(jī)制之前,有兩個問題必須清楚。首先,如果安全子系統(tǒng)利用數(shù)據(jù)庫連接之類的緊缺資源來確定發(fā)出請求的用戶是否具有合法身份,系統(tǒng)將面臨“拒絕服務(wù)”攻擊。要避免這個問題,必須修改前面給出的示范驗(yàn)證系統(tǒng)。
一種修改的辦法是,創(chuàng)建一個驗(yàn)證鍵的hash碼,把鍵發(fā)送到客戶端之前,把hash碼連接到鍵的后面。這樣,在每一個客戶請求中,可以得到鍵以及附加到鍵后面的hash碼。你可以方便地重新為客戶程序返回的鍵構(gòu)造出hash碼,把這個hash碼和客戶程序返回的hash碼比較,如果兩者不能匹配,則說明客戶程序返回的鍵非法,這時就不必再訪問數(shù)據(jù)庫驗(yàn)證鍵的合法性了。在MSDN的一篇文章中,Mary Kirtland詳細(xì)地說明了這種機(jī)制,介紹了MSDN小組如何在“Favorites”Web服務(wù)中使用這種機(jī)制(參見參考資源“Authentication and Authorization”)。
其次,在使用其他人開發(fā)的Web服務(wù)時應(yīng)該慎重。公用Web服務(wù)可能由于“拒絕服務(wù)”攻擊或其他原因而關(guān)閉,如果在Web應(yīng)用中使用了公用的Web服務(wù),應(yīng)當(dāng)保證Web應(yīng)用能夠妥善地處理這類情形。編寫Web服務(wù)的客戶程序時應(yīng)該考慮到最壞的情形。如果客戶程序是一個運(yùn)行關(guān)鍵任務(wù)的應(yīng)用,則不應(yīng)該依賴于公用Web服務(wù)執(zhí)行其核心任務(wù)。
總而言之,實(shí)現(xiàn)Web服務(wù)安全機(jī)制的辦法不止一種,選擇時必須考慮多種因素,包括網(wǎng)絡(luò)環(huán)境和客戶端情況。自己實(shí)現(xiàn)驗(yàn)證機(jī)制具有最好的靈活性。只要選擇了一種合適的機(jī)制,Web服務(wù)安全可能變得既容易實(shí)現(xiàn),又容易使用。
- 1Web服務(wù)安全技術(shù)大比拼
- 2上海OA:由說到做,從知到行(by AMT 夏敬華 徐家?。?
- 3ebXML與Web Services相輔相成
- 4用Perl和XML輕松開發(fā)多種界面的Web服務(wù)
- 5促進(jìn)術(shù)語標(biāo)準(zhǔn)化 W3C出版“網(wǎng)絡(luò)服務(wù)字匯表”
- 6存儲管理市場概覽(AMT 張艷 編譯)
- 7CKM的實(shí)現(xiàn)途徑
- 8《電子內(nèi)容》雜志信息科技100強(qiáng)(Econtent 100)(陳贛峰)
- 9架起結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)之間的橋梁(AMT 唐曉輝 編譯)
- 10上海OA軟件市場2006年將達(dá)20億歐元
- 11Perspective:關(guān)于網(wǎng)絡(luò)服務(wù)的5大謊言
- 12用專家網(wǎng)絡(luò)進(jìn)行隱性上海OA
- 13OA辦公軟件系統(tǒng)中任務(wù)管理是企業(yè)老板最關(guān)心的功能
- 14上海OA和信息技術(shù)有什么關(guān)系?(by AMT 仲英豪編譯)
- 15企業(yè)技術(shù)官員關(guān)注數(shù)據(jù)安全與交換問題
- 16新“IP”與“IQ”
- 17傳統(tǒng)OA辦公軟件廠商即將面臨的威脅
- 18泛普軟件在打造中國第一企業(yè)云在線協(xié)同管理平臺
- 19文獻(xiàn)綜述:戰(zhàn)略聯(lián)盟中知識資源的共享利用(by AMT 王玉榮)
- 20異中有同同中有異
- 21如何認(rèn)識Web服務(wù)
- 22如何運(yùn)用上海OA促進(jìn)發(fā)展
- 23WSDL適合你的B2B后端應(yīng)用軟件嗎?
- 24協(xié)作,“讓我們暢談”
- 25信息生命周期管理7步法
- 26何謂知識型企業(yè)?
- 27怎樣建立一個合理的知識結(jié)構(gòu)
- 28上海OA提升企業(yè)競爭力
- 29Web服務(wù)防黑談(二)
- 30客戶服務(wù)中的上海OA
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
版權(quán)所有:泛普軟件 渝ICP備14008431號-2 渝公網(wǎng)安備50011202501700號 咨詢電話:400-8352-114