HTTP安全性和ASP.NET Web服務(wù)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

HTTP安全性和ASP.NET Web服務(wù)

摘要：目前，基于 HTTP 的安全機(jī)制是保證您的 Web 服務(wù)安全的最好方法。了解如何結(jié)合使用 Microsoft IIS 與 Microsoft ASP.NET 來(lái)保證 Web 服務(wù)的安全。

注意：本文假設(shè)您已經(jīng)比較熟悉如何配合使用 SSL 和 IIS。
　　
簡(jiǎn)介
　　
有一個(gè)一直讓 Web 服務(wù)開發(fā)人員感到頭疼的課題，那就是：如何使 IIS 和 ASP.NET Web 服務(wù)協(xié)同工作以提供安全性?，F(xiàn)在，我們通過 IIS 來(lái)處理安全問題，并通過 ASP.NET 進(jìn)行調(diào)節(jié)。ASP.NET 可以接受 IIS 提供的身份標(biāo)識(shí)信息并使用該信息來(lái)了解調(diào)用者是誰(shuí)，或者利用代碼訪問安全性在 Web 服務(wù)上執(zhí)行特定操作。對(duì)于許多人而言，最大的問題是如何使 .NET 應(yīng)用程序利用內(nèi)置的 IIS 安全保護(hù)功能。在不遠(yuǎn)的將來(lái)，WS-Security 將是您的更佳選擇。在那一天到來(lái)之前，HTTP 級(jí)的安全保護(hù)將是我們?cè)S多人用來(lái)保證信息安全的方法。

當(dāng)以安全的方式執(zhí)行 Web 方法時(shí)，必須涉及以下各項(xiàng)：

保密使偵聽對(duì)話的實(shí)體不能直接看到數(shù)據(jù)。

完整性向接收者提供對(duì) SOAP 消息所作更改進(jìn)行檢測(cè)的能力。

身份驗(yàn)證回答“調(diào)用者是誰(shuí)”的問題。

授權(quán)回答“調(diào)用者是否有權(quán)訪問該 Web 方法”的問題。

認(rèn)可證明所發(fā)生的操作，以防止客戶端在事務(wù)處理中欺詐或否認(rèn)。
　　
這些安全保護(hù)功能常常是配合使用的。身份驗(yàn)證允許授權(quán)和認(rèn)可的發(fā)生。SSL 提供的保密措施也包括完整性和身份驗(yàn)證機(jī)制。本文假設(shè)您已經(jīng)比較熟悉如何配合使用 SSL 和 IIS。如果您不熟悉，請(qǐng)查看本文末尾的資源。同時(shí)，建議您查找安裝了證書服務(wù)器的 Microsoft? Windows? 服務(wù)器，或者在可用的 Windows 服務(wù)器上安裝證書服務(wù)器。這將對(duì)理解本文有關(guān) SSL 的部分有所幫助。

使用 SSL 進(jìn)行加密和簽名
　　
任何時(shí)候當(dāng)您需要對(duì)基于 HTTP 的 SOAP 消息進(jìn)行保密時(shí)，都應(yīng)該通過 SSL 運(yùn)行服務(wù)。它將對(duì)通過線路查看數(shù)據(jù)傳輸?shù)膶?shí)體隱藏 Web 服務(wù)中的數(shù)據(jù)。

為了使用本節(jié)中的數(shù)據(jù)，在您的 Web 服務(wù)器的根目錄下必須安裝有 X.509 證書。。正確安裝證書后，您便可以為虛擬目錄或特定文件選擇強(qiáng)制執(zhí)行 SSL 身份驗(yàn)證。

　　
打開 Internet Information Services 管理控制臺(tái)的步驟

在“開始”菜單中單擊“運(yùn)行”。

在“打開”編輯框中，鍵入 inetmgr。

單擊“確定”。

這樣，IIS 管理控制臺(tái)就打開了。

為虛擬目錄或特定文件請(qǐng)求 SSL 就是在 IIS 中選擇正確的選項(xiàng)。要選擇“正確的選項(xiàng)”，請(qǐng)瀏覽到 IIS 管理控制臺(tái)中的虛擬目錄。如果您想為可以通過給定的虛擬目錄進(jìn)行訪問的所有 Web 服務(wù)請(qǐng)求 SSL，請(qǐng)右鍵單擊該虛擬目錄，單擊“屬性”，然后單擊“目錄安全性”選項(xiàng)卡。

如果只保護(hù)某個(gè)特定的 Web 服務(wù)，請(qǐng)右鍵單擊與該 Web 服務(wù)關(guān)聯(lián)的 .asmx 文件，單擊“屬性”，然后單擊“文件安全性”選項(xiàng)卡。不管執(zhí)行哪個(gè)步驟，您都將看到一個(gè)與圖 1 類似的對(duì)話框。請(qǐng)?jiān)凇鞍踩ㄐ拧毕?，單擊“編輯”，將打開如圖 2 所示的“安全通信”對(duì)話框。

圖 1：IIS 管理控制臺(tái)中的“安全性”選項(xiàng)卡

圖 2：“安全通信”對(duì)話框

默認(rèn)情況下“需要安全通道 (SSL)”復(fù)選框沒有被選中，請(qǐng)選中該復(fù)選框以請(qǐng)求 SSL。SSL 支持 40 位和 128 位加密。加密使用的位數(shù)越多，破譯和找出原始位就越困難。這就是為特定的 .asmx 文件或整個(gè) Web 服務(wù)啟用 SSL 所要做的全部工作。這樣，只要 Web 服務(wù)器的證書不受威脅，所有 Web 服務(wù)客戶端和 Web 服務(wù)本身都將是安全的。SSL 使用包含公鑰的 X.509 證書，可能還包含一個(gè)私鑰。如果私鑰被外部用戶知道，則使用公鑰加密的通信就可能會(huì)被外部用戶偵測(cè)到，從而變得不安全。

一旦您將資源設(shè)置為通信時(shí)需要 SSL，則發(fā)送者和接收者之間傳送的信息就將被加密并簽名。也就是說(shuō)，外部用戶將無(wú)法閱讀消息的內(nèi)容。如果外部用戶改變了消息的字節(jié)數(shù)，消息接收者可以檢測(cè)到更改。

身份驗(yàn)證
　　
為了利用 IIS 給您提供的身份驗(yàn)證，您需要編輯與您的 Web 服務(wù)關(guān)聯(lián)的 Web.config 文件。要使用戶的身份在 HttpContext 中可用，您需要將 /configuration/system.web/authentication/@mode 屬性設(shè)置為 Windows。當(dāng) IIS 使用以下身份驗(yàn)證方式之一時(shí)，必須設(shè)置模式屬性：基本、簡(jiǎn)要、集成 Windows 身份驗(yàn)證 (NTLM/Kerberos) 或 X.509 證書。上述任何一種身份驗(yàn)證提供的用戶憑據(jù)都必須映射回本地計(jì)算機(jī)或 Active Directory 中的用戶。

IIS 和正確的 Web.config 設(shè)置結(jié)合使用將使 Web 服務(wù)能夠發(fā)現(xiàn)調(diào)用者的身份標(biāo)識(shí)。作為新增的優(yōu)點(diǎn)，請(qǐng)求上下文將假設(shè)調(diào)用者的身份。如果要利用 Windows 身份驗(yàn)證，Web.config 文件應(yīng)該如下所示：

＜configuration＞
＜system.web＞
＜authentication mode="Windows" /＞
＜!-- 其他元素將放在此處 --＞
＜/system.web＞
＜/configuration＞

為了處理身份驗(yàn)證、審核和認(rèn)可，打開 Windows 身份驗(yàn)證是很關(guān)鍵的。這樣做的目的是使您的 Web 方法以調(diào)用者的身份運(yùn)行。所有記錄、訪問檢查等都是根據(jù)用戶的權(quán)限來(lái)執(zhí)行的。

為了強(qiáng)制 IIS 提供調(diào)用者的身份標(biāo)識(shí)，您需要告訴 IIS 關(guān)閉匿名訪問。就是這么簡(jiǎn)單，真的。要執(zhí)行此操作，請(qǐng)返回并打開 inetmgr（單擊“開始”-＞“運(yùn)行”，然后鍵入 inetmgr）。瀏覽到所需的虛擬目錄。右鍵單擊虛擬目錄或 .asmx 文件（這取決于您需要對(duì)虛擬目錄中的所有文件實(shí)施身份標(biāo)識(shí)還是僅對(duì)一個(gè) Web 服務(wù)實(shí)施身份標(biāo)識(shí)），然后單擊“屬性”。單擊“目錄安全性”選項(xiàng)卡，如圖 1 所示。在“匿名訪問和驗(yàn)證控制”中，單擊“編輯”。將打開如圖 3 所示的“身份驗(yàn)證方法”對(duì)話框。

圖 3：禁用匿名訪問的“身份驗(yàn)證方法”對(duì)話框

“身份驗(yàn)證方法”對(duì)話框允許您配置用戶訪問虛擬目錄或文件的方法。要通過 HTTP 信息頭傳遞用戶憑據(jù)，您可以使用基本或簡(jiǎn)要身份驗(yàn)證。基本和簡(jiǎn)要身份驗(yàn)證均不提供任何確保消息安全的機(jī)制。傳遞用戶憑據(jù)的機(jī)制由 RFC 2617: HTTP Authentication: Basic and Digest Access Authentication定義?；旧?，使用一個(gè)名為 Authorization 的 HTTP 信息頭來(lái)傳遞用戶名和密碼。對(duì)于基本身份驗(yàn)證而言，用戶名/密碼組合是以明文的方式發(fā)送的。不過，也不全是這樣。實(shí)際上，用戶名和密碼是使用簡(jiǎn)單明文形式的 base64 編碼方法來(lái)發(fā)送的。如果您不熟悉 base64 編碼，可以使用二進(jìn)制數(shù)據(jù)并以文本形式提供這些數(shù)據(jù)。對(duì)數(shù)據(jù)進(jìn)行編碼時(shí)，不使用機(jī)密/密鑰。如果選擇使用基本身份驗(yàn)證，則只能接受通過 SSL 的憑據(jù)。這可以保護(hù) Web 服務(wù)和調(diào)用者免受試圖攻擊通道以捕獲有效憑據(jù)集的實(shí)體的威脅。

還可以使用簡(jiǎn)要身份驗(yàn)證。如果選擇此選項(xiàng)，您必須了解，許多 SOAP 工具包都不支持簡(jiǎn)要身份驗(yàn)證。因而，可以使用 Web 服務(wù)的工具包數(shù)量將受到限制。如果想知道調(diào)用者的身份，而目標(biāo) SOAP 工具包支持簡(jiǎn)要身份驗(yàn)證并且 SOAP 消息的內(nèi)容不是特別重要，則請(qǐng)使用簡(jiǎn)要身份驗(yàn)證。簡(jiǎn)要身份驗(yàn)證使用名為 nonce 的共享機(jī)密為調(diào)用者的憑據(jù)進(jìn)行加密。

基本和簡(jiǎn)要身份驗(yàn)證都使用質(zhì)詢-響應(yīng)機(jī)制。正因?yàn)槿绱?，?Web 方法調(diào)用發(fā)生之前，客戶端和接收器之間將發(fā)送多次請(qǐng)求和響應(yīng)。在基本身份驗(yàn)證中，質(zhì)詢和響應(yīng)的速度都相當(dāng)快。事實(shí)上，如果客戶端知道需要基本身份驗(yàn)證，它會(huì)提早提供基本憑據(jù)。這種提速可以是需要驗(yàn)證服務(wù)器證書并建立會(huì)話密鑰的、基于 SSL 的連接中的臨界值。在簡(jiǎn)要身份驗(yàn)證中，在憑據(jù)被加密前，需要交換 nonce。同樣，在 Web 服務(wù)代碼被執(zhí)行之前需要執(zhí)行一些握手操作。

要針對(duì) Web 服務(wù)強(qiáng)制啟用這些項(xiàng)，只需要在“身份驗(yàn)證方法”對(duì)話框中選中相應(yīng)的框即可。如果您確認(rèn)只需要獲取已經(jīng)過身份驗(yàn)證的用戶，請(qǐng)確保取消選中“匿名訪問”復(fù)選框。完成這一步后，您便可以在服務(wù)器端進(jìn)行以下操作：

搜索調(diào)用者。

使用代碼訪問安全性限制調(diào)用者可以調(diào)用的方法。
　　
以下 Web 服務(wù)返回當(dāng)前的調(diào)用者信息：

[WebMethod]
public string WhoAmI() {
return "正在作為用戶運(yùn)行: " +
Thread.CurrentPrincipal.Identity.Name;
}

我們將修改一個(gè)調(diào)用該 Web 服務(wù)的簡(jiǎn)單的控制臺(tái)應(yīng)用程序。開始時(shí)，客戶端如下所示：

static void Main(string[] args) {
localhost.Sample svc = new localhost.Sample();
try {
Console.WriteLine( svc.WhoAmI() );
} catch ( Exception ex ) {
Console.WriteLine( ex.ToString() );
} finally {
svc.Dispose();
}
}

如果沒有對(duì) Web 服務(wù)/應(yīng)用程序應(yīng)用安全保護(hù)，Main 函數(shù)將打印以下信息：

圖 4：無(wú)安全保護(hù)運(yùn)行，因而也沒有身份標(biāo)識(shí)

如果您通過圖 3 中的對(duì)話框關(guān)閉匿名訪問，客戶端將無(wú)法訪問 Web 服務(wù)。相反，將顯示以下錯(cuò)誤消息：

System.Net.WebException: 請(qǐng)求失敗，HTTP 狀態(tài) 401: 訪問被拒絕。

為什么會(huì)是這樣呢？默認(rèn)情況下，Web 服務(wù)代理不包含任何關(guān)于調(diào)用者或要傳遞的憑據(jù)的信息。因?yàn)椴荒茯?yàn)證自己的身份，調(diào)用 Web 方法的嘗試失敗，并且引發(fā)異常。如果您想為當(dāng)前用戶傳遞正確的憑據(jù)，最簡(jiǎn)單的方法是沿著當(dāng)前用戶的默認(rèn)憑據(jù)傳遞。客戶端中的 try 塊需要進(jìn)行修改才能讀?。?/FONT>