全面接触 WSE 3.0 和 Windows Communication Framework (Indigo)

Slides:



Advertisements
Similar presentations
下一代 Windows 通讯基础 Windows Communication Foundation ( 代码名 “Indigo”) 简介 谢 晓 软件设计工程师 陈耀文 部门经理 Windows 服务器产品部 微软亚洲工程院(上海)
Advertisements

電子商務安全防護 線上交易安全機制.
微软与高校信息化 李 志 霄 博士 首席技术官 微软(中国)有限公司.
四資二甲 第三週作業 物件導向程式設計.
第3届全国高校 软件定义网络(SDN)应用创新开发大赛
第九章 無線網路.
网格 及其应用的一些相关技术 高能所计算中心 于传松
企業如何建置安全的作業系統 Windows XP 網路安全
建设数字化的卫生监督体系 深 圳 市 卫 生 监 督 所 2006年4月.
第1章 概述.
第8章 系統架構.
網頁技術簡介.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
网 站 设 计 与 建 设 Website design and developments
大專院校校園e 化 PKI、智慧卡應用與整合.
第十一章 網路安全 (Network Security)
“ SNA 解決方案 ” ● TN3270 Servers ● SNA LAN Gateway
利用LoadRunner进行 性能测试.
第1章 程式語言與Visual Basic的基礎
第ㄧ章 認識 VB 2008 與主控台應用程式 注意:本投影片僅供上課使用,非經同意,請勿散播或轉載。
第一章 認識Visual C 環境架構 1-1 認識Visual C Visual Studio 概觀
.NET Framework 3.0 Windows WorkFlow Foundation 工作流设计
第9章 電子商務安全防範.
Microsoft .NET 第4組 十月15, 2002 B 陳東傑 B 蔣佳勳
国家“十一五”规划教材 数据库原理与应用教程(第3版).
国家“十一五”规划教材 数据库原理与应用教程(第3版).
W371 如何使网络设备更好的和Windows Vista工作
IIS網站的安全性管理 羅英嘉 2007年4月.
軟體原型 (Software Prototyping)
團隊研發能力 – 抗煞一號 二十天之內,完成抗煞一號的研發.
電子商務 E-Commerce 梁榮亮 B
如何促進即時路況資訊傳播以利導航應用產業發展
IGRS2.0体系架构 闪联 源于中国的国际标准.
从UNIX到Windows的 电信软件移植实践
.NET 簡介.
.NET 簡介.
第1章 .NET与C# 为什么要设计一门新的编程语言? C#在微软的.Net平台中占据什么样的地位?
BizTalk Server 2004.
第5章 方案工程(Solutions Engineering)
ARC314 消息传递 -面向消息的中间件设计基础
鄭士康 國立台灣大學 電機工程學系/電信工程研究所/ 資訊網路與多媒體研究所
Windows 2003 server 進階介紹 麋鹿.
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
Visual Studio Team System 简介
授課老師: 林娟娟 教授 報告人 : 黃聖峯 黃崑源
Web Services 开发 杨永智 MCT/MVP 微软校园大使.
課程名稱:_____________ 指導教授:_____________
XML Web Service 开发 第1章 XML Web Service 第2章 XML Web Service 体系结构
DevDays ’99 The aim of this mission is knowledge..
Microsoft SQL Server 2008 報表服務_設計
Breaking and Fixing Authentication over TLS
Network Application Programming(3rd Edition)
第1章 Java语言概述 学习目标 本章要点 上机练习 习 题.
劉崇汎 崑山科技大學 電腦與通訊系 DLL的建立與引用 劉崇汎 崑山科技大學 電腦與通訊系
橫跨電腦、手機與軟體的全方位端點管控解決方案
21世纪高职高专规划教材 C#语言程序设计 李继武 彭德林 主 编 张 珑 赵 松 周建辉 副主编
CON223 UDDI:服务的发现和搜索.
一個基於Web Service的 洪氾預警系統
Aspect Oriented Programming
模式与实践:Windows Mobile 5.0应用程序架构
2019/5/3 JAVA Socket(UDP).
指導教授:梁明章 A 許之青 國立高雄大學 2010/06/25
Web Service 尹伟铭
瞻前顧後 Windows程式開發方式的重要演進
IEEM 5352 Enterprise Integration
Common Security Problems in Business and Standards
蔺华 ISV开发合作经理 平台及开发技术部 微软(中国)有限公司
整合私有雲、公有雲 打造企業「最適雲」.
助教:廖啟盛 JAVA Socket(UDP) 助教:廖啟盛
Windows Workflow Foundation CON 230
Presentation transcript:

全面接触 WSE 3.0 和 Windows Communication Framework (Indigo) 莫淘 软件架构专家 Developer & Platform Evangelism Microsoft Corporation ABSTRACT WSE 2.0 considerably simplified the development and deployment of secure Web services by enabling developers to add message level security to applications built on the principles of service-orientation and the emerging Web Services (WS-*) specifications. This session details the WSE 3.0 release which adds significant new functionality including, enabling the ASMX programming model over multiple transports (e.g. http, tcp), substantially improved security policy to enable common security messaging scenarios, MTOM for message attachments, interoperability with Indigo and conformance to the latest WS specifications. Based around the themes of Visual Studio 2005 integration, cross platform interoperability and standards support, WSE 3.0 release continues to provide a productive and easy to use platform for developing secure Web services today.

.NET Web Services ASMX 是 .NET Framework 级别上对WEB服务的实现 WSE 是对ASMX的扩展 支持基本的规范(Basic profile) 对简单的服务的支持 没有实现 WS-* 规范 (WS-* specification) WSE 是对ASMX的扩展 可以用来对ASMX行为进行扩展 提供对一些 WS-* specs 的支持 支持完全的客户化 Indigo 提供对下一代 Web Services的实现 提供了对WS-*, Messaging, Queuing, Transactions等规范的一致性的编程模型 WSE provides a stepping stone to Indigo. WSE provides v.now for instances of Web services specifications

WSE 是安全的 WSE provides a stepping stone to Indigo. WSE provides v.now for instances of Web services specifications

安全的通讯 协议级别的安全 发送者必须信任仲裁者 信息由仲裁者解密 信息的整体被加密 在可以被使用的协议和加密方法上,有局限性 Encrypted Encrypted 发送者必须信任仲裁者 信息由仲裁者解密 信息的整体被加密 在可以被使用的协议和加密方法上,有局限性

安全的通讯 端对端的安全 独立于传输,提供端对端的信息安全 支持多种协议和加密机制 提供对部分信息的加密 发送者只需信任最终接受者 签名和数据可以存储在一起

安全的通讯 将数据和用户耦合在一起 WSE对信息的安全流转,有关键的作用 Nodes: Servers Devices Network Service Nodes: Servers Devices Network Elements Router Switch Gateway Links: Physical link Virtual (VPN) Channel (PVC..) Data: Bits Packets WSE对信息的安全流转,有关键的作用

WSE 3.0 支柱 方便和简单的构造安全的WEB服务 可以非常方便的利用WS-* 规范和.NET Framework v2.0 面向服务的系统(Service Oriented System)的开发 WSE 3.0 基于 .NET Framework 2.0,提供了面向 Indigo 的兼容能力

典型的安全场景(1) 使用 X509 证书进行用户验证 Internet Intranet 用户名和密码 机密信息,使用密钥加密请求 WEB服务 应用服务器 验证用户名和密码 机密信息,使用密钥加密反馈

典型的安全场景(2) 安全场景的模式 这些模式是基于行业中的最佳时间而总结出来的 每一个场景代表了一种安全的断言 UsernameOverX509Security AnnonymousOverX509Security UsernameOverTransportSecurity KerberosSecurity MutualX509Security

安全策略 策略 策略 安全策略是一种部署时期考虑的问题 只接受利用服务器证书结合Username/Password 的方式 呼叫者需要具有管理员的权限 策略 只接受Kerberos的认证方式

WSE 3.0中的策略文件 以一种策略断言(assertion)的方式,对传入和传出的信息的需求进行描述 使得一部分安全问题,可以在部署时期进行考虑 策略文件很简单 支持使用关守安全断言(Turnkey security assertions)的方式,在策略文件中描述安全需求 支持策略文件中的新的对象模型 支持配置文件和代码两种方式(Declarative configuration or in code) // Set the ClientPolicy onto the proxy serviceProxy.SetPolicy("ClientPolicy");

策略文件工作体系架构 一个策略文件描述了一个输入管道 由策略文件转化信息格式 Security Custom Tracing 输入SOAP消息 Tracing Security Custom Application Processing 输出SOAP消息

使用策略文件和关守断言加密ASMX WEB服务

与Visual Studio 2005的集成性 集成在Visual Studio 2005 开发工具环境中 扩展了ASMX的编程模型 支持使用TCP作为传输方式 支持多种宿主环境-例如使用Console应用作为宿主 性能的提升 支持更快的签名和XML的处理 支持的消息API SoapClient, SoapService

扩展ASMX编程模型 Demo Code public class StockService System.Web.Services.WebService { [WebMethod] public StockQuote[] StockQuoteRequest([string[] symbols) { } } static void Main(string[] args) Uri to = new Uri( "soap.tcp://StockService/StockQuote"); EndpointReference EPR = new EndpointReference(to); SoapReceivers.Add (EPR, typeof (StockService));

通过TCP调用ASMX WEB服务

大量数据在消息级别的安全性问题(1) 消息传输优化机制(MTOM) -Message Transmission Optimization Mechanism 在WSE3.0中,MTOM 代替了 DIME & WS-Attachments 好处 使用 WS-Security 规范,象保护SOAP信息一样来保护附件信息 简单的编程模型 有助于在传输级别减小消息的尺寸 MTOM - Message Transmission Optimization Mechanism

大量数据在消息级别的安全性问题(2) 基于服务级别的MTOM的支持 通过配置文件可以指定一个服务端点(Endpoint)如何支持 MTOM never Always optionally 任何byte[ ]类型的、超过一定尺寸临界的数据,都将被序列化成为MTOM类型 [WebMethod] public byte[ ] GetFileAsBytes (string fileName) { return CreateFileAsBytesResponse (fileName); } MTOM - Message Transmission Optimization Mechanism

使用 MTOM 发送大型数据

Secure Conversation Session 请求 Secure Conversation Token (SCT) SCT 传递给客户端 Multiple messages Signed and encrypted with SCT 客户端 服务端

安全会话的管理 有状态的安全会话令牌(SCT) SCT 取消 在WSE中,需要由服务来维护一个SCT的状态 服务端和客户端,有 2n 个SCT 在WSE 3.0中,状态信息可以被保留在 SCT 中 典型应用1 - 支持使用 SCT 重建一个会话 典型应用2 - 对Web farm的支持 SCT 取消 在 WSE 2.0 中的 SCT 是基于时间过期的机制 在 WSE 3.0 提供了一种取消的机制

WSE 的兼容性 WSE 2.0 在 .NET v2.0 还可以存在,但是… WSE 3.0 是WSE 2.0的一个全面的替代品 只是支持运行时(Runtime Time),没有设计时(Design Time)支持 只支持32位 WSE 3.0 是WSE 2.0的一个全面的替代品 WSE的主要版本之间,有兼容性 WSE 2.0 与 WSE 3.0 或者 Indigo 之间的互操作是不支持的 WSE 3.0 与 Indigo之间的互操作是支持的

WSE 3.0 - 通向 Indigo之路 WSE3与indigo Beta1之间,支持报文级别的互操作性 支持标准的互操作安全场景 的升级向导

Turnkey Security Assertions Scenarios based on industry best practices UsernameOverX509 Client authenticates with username/password Confidentiality provided by server certificate AnnonymousOverX509 Client is not authenticated by the server UsernameOverTransport Confidentiality provided by transport (SSL)

Turnkey Security Assertions Kerberos Client and server authentication and confidentially provided by Windows Key Distribution Center (KDC) MutualX509 Client and server authenticate each other via certificates, which are used for confidentiality Requires WS-Security 1.1 support X509MutualAuthenticationProfile WS-Security 1.0 compliant