WCF分布式安全开发实践(4):传输安全模式之Windows身份验证:Transport_Windows_NetTcpBinding

Posted on 2009-08-18 23:52 Frank Xu Lei 阅读(1631) 评论(8)   编辑 收藏 网摘 所属分类: WCF分布式安全开发实践, SOA and EAI

    本节介绍的内容主要是：主要是传输安全模式的Windows身份验证方式，基于NetTcpBinding绑定协议的实现过程。
    为什么此安全方式不需要配置证书，他与自定义验证方式的Windows验证有什么不同？本文都会介绍。以下是本节主要内容：Windows身份验证基本概念，然后WCF传输安全模式之Windows身份验证、服务端配置、客户端配置、总结。
     此节内容因为是在 WCF分布式安全开发实践(2):传输安全模式之基本身份验证（Windows账户密码）:Transport_Basic_WSHttpBinding 。我们在传输安全模式下页提供了提供了用户自定义对客户端凭据的验证代码。与消息安全不同的是，这里我们要借助SSL来保证数据交互的安全。首先我们来介绍一下什么是传输安全模式的自定义UserNamePassword。
【1】Windows域验证：
    我们这里先介绍Windows验证的基础概念。 Kerberos V5和域控制器Kerberos V5服务安装在每个域控制器上，而Kerberos V5客户机则安装在每个Windows Server 2003工作站和服务器上。
Windows Server 2003系统使用域名服务(DNS)查询定位最近的可用域控制器。该域控制器则会在用户登录期间对该用户起首选KDC的作用。如果首选KDC失效，则Windows 2003 Server系统将确定由另一个KDC提供验证。
   Kerberos V5验证过程是按以下步骤工作的：
(1) 客户机中的用户，使用口令或智能卡向KDC(Key Distribution Center)发出验证请求。
(2) KDC向客户机发出一个特别的授权票证(Ticket Granting Ticket，简称TGT)。客户机系统使用该TGT访问售票服务(Ticket Granting Service，简称TGS)，它是域控制器中Kerberos V5验证机制的一部分。
(3) 然后，TGS向客户机发布一个服务票证(Service Ticket)，客户机使用服务票证来请求网络服务。服务票证用来证明服务和用户的身份。
【2】传输安全模式之Windows身份验证:
       传输安全模式之Windows身份验证需要服务器不需要一个服务器提供有效的可用于安全套接字层 (SSL) 的 X.509 证书。 这里使用Tcp协议来保证数据传输安全。客户端提供有效的Windows 用户名和密码。验证有域服务器完成。

1.身份验证（服务器）:不需要提供证书，Windows集成身份验证
2.身份验证（客户端）:Windows集成身份验证
3.绑定协议：TCP

   WCF传输安全模式身之Windows身份份验证的架构如下：
    
【3】服务端配置：
    我们就要对WCF服务端进行配置，直接使用配置文件，这里简单。也可以使用代码来完成。
    （1）服务类定义：
     这里服务类就一个方法就是更具用户的name来打印调用时间，代码如下：

 //1.服务契约
    [ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/" )]
    public interface  IWCFService
    {
        //操作契约
        [OperationContract]
        string SayHello(string  name);

    }
    //2.服务类，继承接口。实现服务契约定义的操作
    public class  WCFService : IWCFService
    {
        //实现接口定义的方法
        public string SayHello(string  name)
        {
            Console.WriteLine("Hello! {0},Calling at {1} " , name,DateTime.Now.ToLongTimeString());
            return "Hello! " +  name;
        }
    }

    （2）传输安全模式配置：
       使用传输安全模式，采用客户端Windows身份验证策略，transport安全模式下，netTcpBinding绑定默认使用的Windows方式，而且启用签名和加密特性。配置信息如下：

       < netTcpBinding >
       < binding name = " BindingConfigration " >
         < security mode = " Transport " >
           < transport clientCredentialType = " Windows "   />
         </ security >
       </ binding >
     </ netTcpBinding >

   这个这里不适用配置也会生效，等价于以下设置

       < netTcpBinding >
       < binding name = " BindingConfigration " >
         < security mode = " Transport " >
           < transport clientCredentialType = " Windows "   protectionLevel = " EncryptAndSign " />
         </ security >
       </ binding >
     </ netTcpBinding >

    基于netTcpBinding来实现传输安全模式下的Windows身份验证好处就在这里，可以直接使用其提供的加密和签名功能。
 【4】客户端配置：
    这个过程和之前的传输安全模式下，添加服务的过程一样。直接引用。
    （1）引用元数据：
    因为服务的元数据交换节点启用了TCP协议，我们在客户端项目添加元数据地址net.tcp://localhost:9003/mex查找服务信息，如图：
   
   这个证明我们的服务端证书设置已经起作用，而且是可信的。现在我们点击Yes。继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样，会产生客户端相关代码文件。输入NameSpace，等待完成即可。  
    （2）配置文件：
    客户端配置文件使用默认设置，主要是安全模式的设置要如下，与服务端匹配。使用Basic方式。这样我们才能提供自定义用户名和密码。

    （3）测试代码：
    等待代码生成结束，我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前，通道客户端服务代理类的ClientCredentials.Windows.ClientCredentia属性设置Windows用户名和密码。如下：

             /// /HTTP WSHttpBinding_IWCFService1
            WCFClient.ClientProxy.WCFServiceClient wcfServiceProxy  =   new  WCFClient.ClientProxy.WCFServiceClient( " NetTcpBinding_IWCFService " );
             // 通过代理调用SayHello服务
             string  sName  =   " Frank Xu Lei Transport Windows NetTcpBinding " ;
             string  sResult  =   string .Empty;
             // 设置Windows域账号密码
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.UserName  =   " FrankXuLei " ;
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.Password  =   " 12345678 " ;
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.Domain  =   " mydomain " ;
            sResult  =  wcfServiceProxy.SayHello(sName);
            Console.WriteLine( " Returned Result is {0} " , sResult);
             // For Debug
            Console.WriteLine( " Press any key to exit " );
            Console.Read();

  也可以通过代码设置：
ChannelFactory<IMySecureService> factory = new ChannelFactory<IMySecureService>( );
// Transport 安全模式之Windows身份验证
factory.Credentials.Windows.ClientCredential = new
NetworkCredential("FrankXuLei", "12345678", "mydomain");
（4）测试结果：
    启动宿主程序，然后启动客户端程序。宿主打印的消息，当我们Windows用户名和密码的时候，客户端成功调用服务，如图：

【5】总结
     Windows Communication Foundation (WCF) 服务和客户端。服务器不需要 X.509 证书，
   （1） 此处自是在借助传输安全Windows集成身份验证，需要Windows域服务器支持。
   （2）此方式该应用程序部署在具有 Kerberos 控制器保护的域中。
   （3）Windows 集成身份验证，负责提供的是身份验证。而安全由TCP传输来实现，我可以再传输安全配置里设置，启用特定的保护级别。
   （4）transport 在NetTcpBinding绑定下，默认客户端身份验证使用Windows身份验证。 默认的保护级别是加密并且签名EncryptAndSign。
   （5）给出今天的参考代码，供大家参考：

/Files/frank_xl/3.3.WCFServiceSecurityDemoFrankXuLei_Transport_Windows_NetTcpBinding.rar

参考文章：
1. WCF分布式安全开发实践(2):传输安全模式之基本身份验证（Windows账户密码）:Transport_Basic_WSHttpBinding
2. http://www.jojy.cn/bbs/thread-1474-1-1.html
3. http://gnaw0725.blogbus.com/logs/18971316.html

---

【老徐的博客】
【作      者】：Frank Xu Lei
【地      址】：http://www.cnblogs.com/frank_xl/
【中文论坛】：微软WCF中文技术论坛
【英文论坛】：微软WCF英文技术论坛