我一直在寻找一些东西,但我找不到答案。 WCF Security Best Practices 说尽可能使用 Windows 身份验证。如果您需要签名,这能否提供不可否认性和数据完整性?
(这里最重要的问题是不可否认性。我正在使用 TLS,但试图确定我是否可以通过带有 TLS 或 MLS 的 Windows Auth 提供不可否认性。理论上,TLS 提供跳到跳数据完整性.)
【问题讨论】:
标签: wcf windows-authentication
【讨论】:
Windows 身份验证是最佳实践指南的首选和建议,因为它内置于所有 Microsoft 机器中。它不喜欢需要大量基础设施设置的证书。如果您的计算机已加入 Active Directory 域,它应该可以正常工作。
Windows 身份验证使用SPNEGO 协商使用哪种身份验证方法,Kerberos 或 NTLM。只要有可能,客户端和服务器将首先尝试选择 Kerberos。否则,将使用 NTLM。
要回答您关于消息是否可以签名的问题,Kerberos 和 NTLM 都可以用于 签名 和 加密消息。作为 WCF 程序员,它应该对您透明。您需要做的就是将ProtectedLevel 设置为EncryptAndSign。如果您不相信我,您可以在设置 Windows 身份验证后查看网络跟踪。您应该会看到消息已加密。
使用 Windows 身份验证时,WCF 将调用 SSPI 进行身份验证和消息加密。我不会介绍 SSPI 的细节。 Here 是 NTLM 加密消息的 SSPI 调用,here 是 Kerberos 加密消息的 SSPI 调用。您可以在 Windbg 中设置一个断点来证明这一点。
虽然在上面的链接中没有明确说明,this link 明确指出上面提到的 EncryptMessages 方法可以提供数据完整性(签名)和隐私(加密) .
回到你最初关于 Windows 身份验证是否支持non-repudiation 的问题,这实际上是一个更大的问题。 数据签名对于non-repudiation 是必要的,但还不够。 WCF 还提供审计功能来记录操作或事务。这是为了保证用户不能拒绝执行操作或发起交易。因此,为了支持non-repudiation,您还应该将SuppressAuditFailure 设置为false,以确保审核始终正常运行。
【讨论】: