HTTP安全性和ASP.NET Web服務(wù)

申請免費試用、咨詢電話：400-8352-114

HTTP安全性和ASP.NET Web服務(wù)

摘要：目前，基于 HTTP 的安全機制是保證您的 Web 服務(wù)安全的最好方法。了解如何結(jié)合使用 Microsoft IIS 與 Microsoft ASP.NET 來保證 Web 服務(wù)的安全。

注意：本文假設(shè)您已經(jīng)比較熟悉如何配合使用 SSL 和 IIS。
　　
簡介
　　
有一個一直讓 Web 服務(wù)開發(fā)人員感到頭疼的課題，那就是：如何使 IIS 和 ASP.NET Web 服務(wù)協(xié)同工作以提供安全性?，F(xiàn)在，我們通過 IIS 來處理安全問題，并通過 ASP.NET 進行調(diào)節(jié)。ASP.NET 可以接受 IIS 提供的身份標識信息并使用該信息來了解調(diào)用者是誰，或者利用代碼訪問安全性在 Web 服務(wù)上執(zhí)行特定操作。對于許多人而言，最大的問題是如何使 .NET 應(yīng)用程序利用內(nèi)置的 IIS 安全保護功能。在不遠的將來，WS-Security 將是您的更佳選擇。在那一天到來之前，HTTP 級的安全保護將是我們許多人用來保證信息安全的方法。

當以安全的方式執(zhí)行 Web 方法時，必須涉及以下各項：

保密使偵聽對話的實體不能直接看到數(shù)據(jù)。

完整性向接收者提供對 SOAP 消息所作更改進行檢測的能力。

身份驗證回答“調(diào)用者是誰”的問題。

授權(quán)回答“調(diào)用者是否有權(quán)訪問該 Web 方法”的問題。

認可證明所發(fā)生的操作，以防止客戶端在事務(wù)處理中欺詐或否認。
　　
這些安全保護功能常常是配合使用的。身份驗證允許授權(quán)和認可的發(fā)生。SSL 提供的保密措施也包括完整性和身份驗證機制。本文假設(shè)您已經(jīng)比較熟悉如何配合使用 SSL 和 IIS。如果您不熟悉，請查看本文末尾的資源。同時，建議您查找安裝了證書服務(wù)器的 Microsoft? Windows? 服務(wù)器，或者在可用的 Windows 服務(wù)器上安裝證書服務(wù)器。這將對理解本文有關(guān) SSL 的部分有所幫助。

使用 SSL 進行加密和簽名
　　
任何時候當您需要對基于 HTTP 的 SOAP 消息進行保密時，都應(yīng)該通過 SSL 運行服務(wù)。它將對通過線路查看數(shù)據(jù)傳輸?shù)膶嶓w隱藏 Web 服務(wù)中的數(shù)據(jù)。

為了使用本節(jié)中的數(shù)據(jù)，在您的 Web 服務(wù)器的根目錄下必須安裝有 X.509 證書。。正確安裝證書后，您便可以為虛擬目錄或特定文件選擇強制執(zhí)行 SSL 身份驗證。

　　
打開 Internet Information Services 管理控制臺的步驟

在“開始”菜單中單擊“運行”。

在“打開”編輯框中，鍵入 inetmgr。

單擊“確定”。

這樣，IIS 管理控制臺就打開了。

為虛擬目錄或特定文件請求 SSL 就是在 IIS 中選擇正確的選項。要選擇“正確的選項”，請瀏覽到 IIS 管理控制臺中的虛擬目錄。如果您想為可以通過給定的虛擬目錄進行訪問的所有 Web 服務(wù)請求 SSL，請右鍵單擊該虛擬目錄，單擊“屬性”，然后單擊“目錄安全性”選項卡。

如果只保護某個特定的 Web 服務(wù)，請右鍵單擊與該 Web 服務(wù)關(guān)聯(lián)的 .asmx 文件，單擊“屬性”，然后單擊“文件安全性”選項卡。不管執(zhí)行哪個步驟，您都將看到一個與圖 1 類似的對話框。請在“安全通信”下，單擊“編輯”，將打開如圖 2 所示的“安全通信”對話框。

圖 1：IIS 管理控制臺中的“安全性”選項卡

圖 2：“安全通信”對話框

默認情況下“需要安全通道 (SSL)”復選框沒有被選中，請選中該復選框以請求 SSL。SSL 支持 40 位和 128 位加密。加密使用的位數(shù)越多，破譯和找出原始位就越困難。這就是為特定的 .asmx 文件或整個 Web 服務(wù)啟用 SSL 所要做的全部工作。這樣，只要 Web 服務(wù)器的證書不受威脅，所有 Web 服務(wù)客戶端和 Web 服務(wù)本身都將是安全的。SSL 使用包含公鑰的 X.509 證書，可能還包含一個私鑰。如果私鑰被外部用戶知道，則使用公鑰加密的通信就可能會被外部用戶偵測到，從而變得不安全。

一旦您將資源設(shè)置為通信時需要 SSL，則發(fā)送者和接收者之間傳送的信息就將被加密并簽名。也就是說，外部用戶將無法閱讀消息的內(nèi)容。如果外部用戶改變了消息的字節(jié)數(shù)，消息接收者可以檢測到更改。

身份驗證
　　
為了利用 IIS 給您提供的身份驗證，您需要編輯與您的 Web 服務(wù)關(guān)聯(lián)的 Web.config 文件。要使用戶的身份在 HttpContext 中可用，您需要將 /configuration/system.web/authentication/@mode 屬性設(shè)置為 Windows。當 IIS 使用以下身份驗證方式之一時，必須設(shè)置模式屬性：基本、簡要、集成 Windows 身份驗證 (NTLM/Kerberos) 或 X.509 證書。上述任何一種身份驗證提供的用戶憑據(jù)都必須映射回本地計算機或 Active Directory 中的用戶。

IIS 和正確的 Web.config 設(shè)置結(jié)合使用將使 Web 服務(wù)能夠發(fā)現(xiàn)調(diào)用者的身份標識。作為新增的優(yōu)點，請求上下文將假設(shè)調(diào)用者的身份。如果要利用 Windows 身份驗證，Web.config 文件應(yīng)該如下所示：

＜configuration＞
＜system.web＞
＜authentication mode="Windows" /＞
＜!-- 其他元素將放在此處 --＞
＜/system.web＞
＜/configuration＞

為了處理身份驗證、審核和認可，打開 Windows 身份驗證是很關(guān)鍵的。這樣做的目的是使您的 Web 方法以調(diào)用者的身份運行。所有記錄、訪問檢查等都是根據(jù)用戶的權(quán)限來執(zhí)行的。

為了強制 IIS 提供調(diào)用者的身份標識，您需要告訴 IIS 關(guān)閉匿名訪問。就是這么簡單，真的。要執(zhí)行此操作，請返回并打開 inetmgr（單擊“開始”-＞“運行”，然后鍵入 inetmgr）。瀏覽到所需的虛擬目錄。右鍵單擊虛擬目錄或 .asmx 文件（這取決于您需要對虛擬目錄中的所有文件實施身份標識還是僅對一個 Web 服務(wù)實施身份標識），然后單擊“屬性”。單擊“目錄安全性”選項卡，如圖 1 所示。在“匿名訪問和驗證控制”中，單擊“編輯”。將打開如圖 3 所示的“身份驗證方法”對話框。

圖 3：禁用匿名訪問的“身份驗證方法”對話框

“身份驗證方法”對話框允許您配置用戶訪問虛擬目錄或文件的方法。要通過 HTTP 信息頭傳遞用戶憑據(jù)，您可以使用基本或簡要身份驗證?；竞秃喴矸蒡炞C均不提供任何確保消息安全的機制。傳遞用戶憑據(jù)的機制由 RFC 2617: HTTP Authentication: Basic and Digest Access Authentication定義?；旧希褂靡粋€名為 Authorization 的 HTTP 信息頭來傳遞用戶名和密碼。對于基本身份驗證而言，用戶名/密碼組合是以明文的方式發(fā)送的。不過，也不全是這樣。實際上，用戶名和密碼是使用簡單明文形式的 base64 編碼方法來發(fā)送的。如果您不熟悉 base64 編碼，可以使用二進制數(shù)據(jù)并以文本形式提供這些數(shù)據(jù)。對數(shù)據(jù)進行編碼時，不使用機密/密鑰。如果選擇使用基本身份驗證，則只能接受通過 SSL 的憑據(jù)。這可以保護 Web 服務(wù)和調(diào)用者免受試圖攻擊通道以捕獲有效憑據(jù)集的實體的威脅。

還可以使用簡要身份驗證。如果選擇此選項，您必須了解，許多 SOAP 工具包都不支持簡要身份驗證。因而，可以使用 Web 服務(wù)的工具包數(shù)量將受到限制。如果想知道調(diào)用者的身份，而目標 SOAP 工具包支持簡要身份驗證并且 SOAP 消息的內(nèi)容不是特別重要，則請使用簡要身份驗證。簡要身份驗證使用名為 nonce 的共享機密為調(diào)用者的憑據(jù)進行加密。

基本和簡要身份驗證都使用質(zhì)詢-響應(yīng)機制。正因為如此，在 Web 方法調(diào)用發(fā)生之前，客戶端和接收器之間將發(fā)送多次請求和響應(yīng)。在基本身份驗證中，質(zhì)詢和響應(yīng)的速度都相當快。事實上，如果客戶端知道需要基本身份驗證，它會提早提供基本憑據(jù)。這種提速可以是需要驗證服務(wù)器證書并建立會話密鑰的、基于 SSL 的連接中的臨界值。在簡要身份驗證中，在憑據(jù)被加密前，需要交換 nonce。同樣，在 Web 服務(wù)代碼被執(zhí)行之前需要執(zhí)行一些握手操作。

要針對 Web 服務(wù)強制啟用這些項，只需要在“身份驗證方法”對話框中選中相應(yīng)的框即可。如果您確認只需要獲取已經(jīng)過身份驗證的用戶，請確保取消選中“匿名訪問”復選框。完成這一步后，您便可以在服務(wù)器端進行以下操作：

搜索調(diào)用者。

使用代碼訪問安全性限制調(diào)用者可以調(diào)用的方法。
　　
以下 Web 服務(wù)返回當前的調(diào)用者信息：

[WebMethod]
public string WhoAmI() {
return "正在作為用戶運行: " +
Thread.CurrentPrincipal.Identity.Name;
}

我們將修改一個調(diào)用該 Web 服務(wù)的簡單的控制臺應(yīng)用程序。開始時，客戶端如下所示：

static void Main(string[] args) {
localhost.Sample svc = new localhost.Sample();
try {
Console.WriteLine( svc.WhoAmI() );
} catch ( Exception ex ) {
Console.WriteLine( ex.ToString() );
} finally {
svc.Dispose();
}
}

如果沒有對 Web 服務(wù)/應(yīng)用程序應(yīng)用安全保護，Main 函數(shù)將打印以下信息：

圖 4：無安全保護運行，因而也沒有身份標識

如果您通過圖 3 中的對話框關(guān)閉匿名訪問，客戶端將無法訪問 Web 服務(wù)。相反，將顯示以下錯誤消息：

System.Net.WebException: 請求失敗，HTTP 狀態(tài) 401: 訪問被拒絕。

為什么會是這樣呢？默認情況下，Web 服務(wù)代理不包含任何關(guān)于調(diào)用者或要傳遞的憑據(jù)的信息。因為不能驗證自己的身份，調(diào)用 Web 方法的嘗試失敗，并且引發(fā)異常。如果您想為當前用戶傳遞正確的憑據(jù)，最簡單的方法是沿著當前用戶的默認憑據(jù)傳遞?？蛻舳酥械?try 塊需要進行修改才能讀?。?/FONT>