教你如果保证WebService的通讯安全
Web Service现在是很通用的技术,在Web Service我们需要验证用户是否有使用此Web Service的权限,并且要保证在通讯过程中的数据安全,防止数据在传输过程中被网络窃听。
首先是如何保证Web Service被授权使用,在这里我说的是通过SoapHeader来判断调用Web服务的用户。
1.定义一个安全上下文,并且继承于SoapHeader类
public class SecurityContext : SoapHeader
...{
public string UserID;
public string Password;
}
UserID是定义的用户名,Password是密码,当然这个UserID和密码是可以通过数据库获得的,在这里,我们固定这两个变量的值
2.在Web Service中定义一个公开的变量,类型是SecurityContext
public SecurityContext m_SecurityContext;
3.定义一个校验用户名和密码的方法
private bool ValidateUser()
...{
if (m_SecurityContext == null)
...{
throw new Exception(/"没有指定用户名和密码/");
}
//这里可以直接访问数据库来验证密码
if (m_SecurityContext.UserID.ToLower() == (new AppSettingsReader()).GetValue(/"DTUser/", typeof(string)).ToString().ToLower()
&& m_SecurityContext.Password == (string)(new AppSettingsReader()).GetValue(/"DTPassword/", typeof(string)))
...{
return true;
}
else
...{
return false;
}
}
4.在公开的,提供给客户调用的Web Service方法里调用校验的方法,如[WebMethod]
[SoapHeader(/"m_SecurityContext/")]
public DataSet GetChangedDepts(string DeptCode)
...{
if (!ValidateUser())
...{
return null;
}
return m_ServiceAll.GetChangedDepts(DeptCode);
}
5.在调用方制定用户名和密码
//实例化Web Service
MyWebService service = new MyWebService();
//实例化SoapHeader(用户上下文)
service.SecurityContextValue = localhost.SecurityContext();
//指定用户名和密码
service.SecurityContextValue.UserID = /"张三/";
service.SecurityContextValue.Password = /"12345/";
在指定完用户名和密码后才能调用Web Service的方法
上面所说的是如何保证Web Service的授权使用,但是在实际使用中,客户端传输到Web Service的用户名和密码都是以需要进行加密。因为Http的数据传输是以明文方式进行传输的,如果不加密,很可能被侦听到数据的传输而得到调用Web Service的用户名和密码。我们这里所说的是采用SSL的加密方式来调用Web Service. [Page]
1.首先我们需要配置一个SSL站点
要想为某个IIS网站创建数字证书,首先必须使用“Web服务器证书向导” 功能为该网站生成一个证书请求文件。进入“控制面板→管理工具→Internet 信息服务(IIS)管理器”,在IIS管理器窗口中展开“网站”目录,右键点击要使用SSL安全加密机制功能的网站,在弹出菜单中选择“属性”,然后切换到“目录安全性”标签页(如图),接着点击“服务器证书”按钮。在“IIS证书向导”窗口中选择“新建证书”选项,点击“下一步”,选中“现在准备证书请求,但稍后发送”,接着在“名称”栏中为该证书起个名字,在“位长”下拉列表中选择“密钥的位长”,这里要注意,位长不能设置的过大,否则会影响通信质量;接着设置证书的单位、部门、和地理信息,在站点“公用名称栏”中输入该网站的域名,然后指定证书请求文件的保存位置,这里笔者将该证书请求文本文件保存在“d://certreq.txt”。这样就完成了证书请求文件的生成。
完成了证书请求文件的生成后,就可以开始申请 IIS网站证书了。但这个过程需要证书服务(Certificate Services)的支持。Windows 2003系统默认状态没安装此服务,需要手工添加。
安装证书服务
在“控制面板”中运行“添加或删除程序”,切换到“添加/删除Windows组件”页,在“Windows 组件向导”对话框中,选中“证书服务”选项,接下来选择CA类型,这里笔者选择“独立根CA”,然后为该CA服务器起个名字,设置证书的有效期限,建议使用默认值“5年”即可,最后指定证书数据库和证书数据库日志的位置后,就完成了证书服务的安装。
完成了证书服务的安装后,就能开始申请IIS网站证书了。运行 Internet Explorer浏览器,在地址栏中输入“http://localhost/CertSrv/default.asp”。接着在 “Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接,然后在证书申请类型中点击“高级证书申请”链接,在高级证书申请窗口中点击“使用BASE64编码的 CMC或PKCS#10文件提交….”链接,接着将证书请求文件的内容复制到 “保存的申请”输入框中,这里笔者的证书请求文件内容保存在“d:// certreq.txt”,最后点击“提交”按钮。
这个语句指定了远程证书校验的回调函数。在指定了远程证书校验的回调函数后,就可以开始实例化WebService
虽然完成了IIS网站证书的申请后,但这时它还处于挂起状态,需要颁发后才能生效。在“控制面板→管理工具”中,运行“证书颁发机构”程序。在“证书颁发机构”左侧窗口中展开目录,选中“挂起的申请”目录,在右侧窗口找到刚才申请的证书,鼠标右键点击该证书,选择“所有任务→颁发”。
接着点击 “颁发的证书” 目录,打开刚刚颁发成功的证书,在 “证书”对话框中切换到“详细信息”标签页。点击“复制到文件”按钮,弹出证书导出对话框,一路下一步,在“要导出的文件”栏中指定文件名,这里笔者保存证书路为为“d://cce.cer”,最后点击“完成”。
在IIS管理器的“目录安全性”标签页中,点击“服务器证书 ”按钮,这时弹出“挂起的证书请求”对话框,选择“处理挂起的请求并安装证书”选项,点击“下一步”后,指定好刚才导出的IIS 网站证书文件的位置,接着指定SSL使用的端口,建议使用默认的“443”,最后点击“完成”按钮.
完成了证书的导入后,IIS网站这时还没有启用SSL安全加密功能,需要对IIS服务器进行配置。
选择需要加密访问的站点目录(如果希望全站加密,可以选择整个站点),右键单击打开属性页,在“目录安全性”标签页,点击安全通信栏的“编辑”按钮,选中“ 要求安全通道(SSL)”和“要求128位加密”选项,最后点击“确定”按钮即可。如果需要用户证书认证等高级功能,也可以选择要示客户证书选择,还可以把特定证书映射为windows用户帐户。
我们现在就配置好了一个带SSL的虚拟目录,将我们的WebService放入这个虚拟目录中,我们访问WebService时会弹出一个对话框要求我们确认证书。那么我们使用怎样的方式可以用代码来调用使用SSL加密的WebService呢?
1.首先在调用的代码里定义一个静态的方法
private static bool CheckValidationResult(object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors errors)
...{ // Always accept
return true;
} [Page]
这个方法总是返回true是用于忽略客户端证书时使用,如果要使用客户端证书,可能会用到中间两个参数,这里我没有研究,大家可以研究一下
2.在调用方初始化时加入下面的代码
ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(CheckValidationResult);
上面所说的给大家抛砖引玉,通过SoapHeader来保证WebService的授权使用,通过SSL来保证数据的加密,防止网络侦听