Sự khác nhau giữa bảo mật Giao thông & Bảo mật thư trong WCF

Question

Tôi đang xem xét bảo mật WCF &. Có một số chế độ bảo mật nhưng hình ảnh lớn là có 2 "lớp" chính mà bạn có thể bảo mật: Vận tải hoặc Thông báo.

Ai đó có thể giải thích điều này sâu hơn không? Tôi phải tưởng tượng điều gì khi tôi đang bảo trì Giao thông vận tải, nó hoạt động như thế nào, v.v.

Answer 1

nó là khá nhiều như bạn mong đợi, bảo mật vận chuyển đảm bảo việc vận chuyển - ví dụ: SSL qua HTTP, trong khi bảo mật thư bảo mật thư. Dưới đây là một cái nhìn tổng quan MSDN vì những lý do để sử dụng bảo mật thông điệp: http://msdn.microsoft.com/en-us/library/ms733137.aspx

và tổng quan cho vận chuyển: http://msdn.microsoft.com/en-us/library/ms729700.aspx

(Từ liên kết an ninh thông điệp): Windows Communication Foundation (WCF) có hai chế độ chính cho việc cung cấp bảo mật (Transport and Message) và một chế độ thứ ba (TransportWithMessageCredential) kết hợp cả hai. Chủ đề này thảo luận về bảo mật thư và lý do sử dụng nó.

Bảo mật thư là gì?

Bảo mật thư sử dụng đặc tả WS-Security để bảo mật thư. WS-Securityspecification mô tả các cải tiến đối với nhắn tin SOAP để đảm bảo tính bảo mật, toàn vẹn và xác thực ở cấp độ thông điệp SOAP (thay vì cấp độ truyền tải).

Trong ngắn gọn, bảo mật thư khác với bảo mật giao thông bằng cách đóng gói thông tin đăng nhập bảo mật và xác nhận quyền sở hữu với mọi thông báo bảo vệ (ký hoặc mã hóa). Việc áp dụng bảo mật trực tiếp cho thư bằng cách sửa đổi nội dung của nó cho phép thư được bảo mật tự chứa liên quan đến các khía cạnh bảo mật. Điều này cho phép một số tình huống không thể thực hiện khi sử dụng bảo mật giao thông.

lý do để sử dụng dịch vụ Message Security

Trong an ninh thông điệp cấp, tất cả các thông tin bảo mật được đóng gói trong tin nhắn. Bảo mật thư bằng bảo mật cấp thư thay vì bảo mật ở mức vận tải có các ưu điểm sau: • Bảo mật đầu cuối. Bảo mật truyền tải, chẳng hạn như Lớp cổng bảo mật (SSL) chỉ bảo mật các thông báo khi giao tiếp là điểm-điểm. Nếu thông điệp được định tuyến đến một hoặc nhiều trung gian SOAP (ví dụ như một bộ định tuyến) trước khi đạt đến máy thu cuối cùng, bản thân thông điệp không được bảo vệ khi người trung gian đọc nó từ dây. Ngoài ra, thông tin xác thực của khách hàng chỉ có sẵn cho người trung gian đầu tiên và phải được truyền lại cho người nhận cuối cùng trong thời trang ngoài băng, nếu cần. Điều này áp dụng ngay cả khi toàn bộ tuyến đường sử dụng bảo mật SSL giữa các bước nhảy cá nhân. Bởi vì bảo mật thư làm việc trực tiếp với thông báo và bảo mật XML trong đó, bảo mật vẫn giữ nguyên với thông báo bất kể có bao nhiêu trung gian tham gia trước khi nó đạt tới người nhận cuối cùng. Điều này cho phép một kịch bản bảo mật đầu cuối thực sự.

• Tăng tính linh hoạt. Các phần của tin nhắn, thay vì toàn bộ tin nhắn, có thể được ký hoặc mã hóa. Điều này có nghĩa là người trung gian có thể xem các phần của thông điệp dành cho họ.Nếu người gửi cần phải thực hiện một phần thông tin trong thông báo hiển thị cho người trung gian nhưng muốn đảm bảo rằng thông tin đó không bị giả mạo, nó có thể chỉ ký tên nhưng để nó không được mã hóa. Vì chữ ký là một phần của thông điệp, người nhận cuối cùng có thể xác minh rằng thông tin trong thư đã được nhận nguyên vẹn. Một kịch bản có thể có một dịch vụ trung gian SOAP định tuyến thư theo giá trị của tiêu đề Hành động. Theo mặc định, WCF không mã hóa giá trị Hành động nhưng ký nó nếu bảo mật thư được sử dụng. Do đó, thông tin này có sẵn cho tất cả các trung gian, nhưng không ai có thể thay đổi nó.

• Hỗ trợ cho nhiều lần vận chuyển. Bạn có thể gửi tin nhắn bảo mật qua nhiều phương tiện khác nhau, chẳng hạn như các đường ống có tên và TCP, mà không phải dựa vào giao thức bảo mật. Với bảo mật ở mức vận tải, tất cả thông tin bảo mật được đưa vào một kết nối truyền tải cụ thể và không có sẵn từ chính nội dung thư. Bảo mật thư làm cho thông báo an toàn bất kể bạn đang sử dụng phương tiện nào để truyền tải thông điệp và bối cảnh bảo mật được nhúng trực tiếp vào trong thư.

• Hỗ trợ nhiều thông tin đăng nhập và xác nhận quyền sở hữu. Bảo mật thông báo dựa trên đặc tả của WS-Security, cung cấp một khung công tác mở rộng có khả năng truyền bất kỳ loại yêu cầu nào bên trong thông báo SOAP. Không giống như bảo mật giao thông, bộ cơ chế xác thực hoặc xác nhận quyền sở hữu mà bạn có thể sử dụng không bị giới hạn bởi khả năng truyền tải. Bảo mật tin nhắn WCF bao gồm nhiều loại xác thực và truyền tải yêu cầu và có thể được mở rộng để hỗ trợ các loại bổ sung khi cần thiết. Vì những lý do đó, ví dụ, một kịch bản chứng chỉ liên kết là không thể nếu không có bảo mật thư. Để biết thêm thông tin về các kịch bản liên kết WCF hỗ trợ, hãy xem Liên kết và các Thẻ được cấp.

Answer 2

Với việc sử dụng phương tiện vận chuyển đảm bảo kênh bạn đang sử dụng, và gửi tin nhắn (nội dung) bạn đang gửi.

Answer 3

Bảo mật truyền tải, chẳng hạn như Lớp cổng bảo mật (SSL) chỉ đóng chặt các thông báo khi liên lạc là điểm-điểm. Nếu thông báo là được chuyển đến một hoặc nhiều trung gian SOAP (ví dụ: bộ định tuyến) trước khi đến máy thu cuối cùng, bản thân thông báo không được bảo vệ khi người trung gian đọc nó từ dây.

gây hiểu lầm. Bộ định tuyến hoặc chuyển mạch mạng (OSI Lớp 2 và 3) sẽ không có quyền truy cập vào nội dung thư nếu được mã hóa bằng bảo mật lớp Giao vận (chứng chỉ SSL phía máy chủ) vì chứng chỉ SSL bên dịch vụ là cần thiết để giải mã thông báo. Bảo mật lớp truyền tải đóng chặt thông điệp giữa máy khách và địa chỉ IP đích dự định vì chỉ có nhà cung cấp dịch vụ đích được giả định có chứng chỉ riêng SSL cần thiết để giải mã thông báo. Một trung gian SOAP sẽ chỉ có thể đọc nội dung nếu trung gian SOAP (tức là ESB) thực tế là đích đến tin nhắn thực sự thiết lập kênh truyền dẫn được mã hóa với máy khách, đảm bảo kênh an toàn từ máy khách đến máy chủ bất kể số lượng mạng hops, router và switch, vv (OSI lớp 2 và 3).

Bảo mật cấp thư sẽ thêm bảo mật vào thư và có thể mã hóa các phần của thư nếu ESB trung gian (SOAP trung gian) cần đọc phần của thư để đưa ra quyết định định tuyến (Định tuyến dựa trên nội dung) nhưng không được có thể đọc các phần khác của tin nhắn chỉ nên được truy cập bởi các hệ thống hạ lưu.