基于WCF的分布系統安全模型研究與應用

劉曦

(四川省電力公司，四川 成都 610041）

基于WCF的分布系統安全模型研究與應用

劉曦

(四川省電力公司，四川 成都 610041）

1 引言

在企業內、外部各種軟件系統的建立過程中，利用面向服務架構技術[1]（Service-Oriented Architecture，SOA）構建了多種分布式的松散耦合系統。SOA技術能夠最大限度的利用現有軟件資源，整合業務和擴展功能。Windows通訊開發平臺[2]

（Windows Communication Foundation，WCF）是由微軟開發的一系列支持數據通信的應用程序框架。在企業級應用中，使用WCF實現基于SOA架構的分布式系統，能夠更好的利用WCF的靈活性，對業務層進行封裝，并發布為Web服務。

在對企業內辦公自動化軟件（Office Automation，OA）與統一通信系統（Unified Communication，UC）進行融合的過程中，利用了SOA技術構建了分布式應用融合平臺，這其中如何確保系統安全是面臨的主要問題之一。WCF提供了一個多功能可擴展的安全模型，可用于解決分布式系統中包括消息的傳輸與使用，用戶認證與服務授權等在內的系統安全問題，將WCF的安全模型應用于分布式應用系統中，有效地提供了企業級系統安全。

2 WCF安全機制

2.1 Web服務安全

SOA架構的技術基礎是簡單對象訪問協議[3]（Simple Object Access Protocol，SOAP）。第一代Web服務發布時，SOAP消息并沒有消息加密和防篡改機制，安全操作完全交由傳輸層負責。HTTP/HTTPS協議的安全功能被用來驗證用戶身份和保證消息安全[4]。但是，僅由傳輸層提供的安全措施，導致了Web服務的實現局限于傳輸層，這削弱了SOAP協議的平臺獨立性。為了使Web服務能夠承載更多功能，萬維網聯盟（World Wide Web Consortium，W3C）制定了Web服務規范WS-*，其中WS-Security在消息級別上提供了對Web服務的保護，在安全功能上擴展了SOAP協議。WCF在.NET平臺中自定義實現了WS-*規范的Web服務協議棧，在傳輸級別和消息級別提供了相應的安全機制。

2.2 傳輸安全

傳輸安全是指利用不同傳輸協議的安全功能，保證消息發送者和接受者之間的通信安全。通常使用安全套接字（Security Socket Layer，SSL）和傳輸層安全（Transport Layer Security，TLS）的組合，利用加密技術和數字簽名技術保證Web服務消息的內容。傳輸安全將所有的驗證機制綁定到傳輸實現上，不利于消息加密算法的擴展，同時SSL/TLS僅提供點對點的安全，當消息離開傳輸層后不再安全。

2.3 消息安全

消息安全使用WS-Security規范，在SOAP消息上確保消息的保密性和完整性，并完成身份驗證。在消息安全中，所有與安全有關的元數據，如數字簽名、加密的元素和密鑰等，都是以自包含的形式出現在SOAP消息中。消息安全與傳輸安全最大的區別在于，消息在離開傳輸層后不會破壞消息的安全性。

3 WCF驗證模型

3.1 聯合驗證

在利用WCF技術實現的分布式系統中，通常將用戶驗證和授權功能實現為Web服務，在調用Web服務時，需要驗證用戶身份和進行授權判斷。驗證不僅包括對客戶端的驗證，有時也需要對服務進行驗證。在WCF中的驗證通常是指客戶端與服務端的相互驗證，常用方式為聯合驗證[5,6]，即通過第三方安全令牌服務（Security Token Service，STS）對服務調用者驗證，驗證通過后頒發攜帶著調用者身份信息的安全令牌。STS本質上是一個WCF服務的實現。STS根據WS-Trust規范來頒發安全令牌，并向客戶端提供了4個操作：頒布、驗證、更新和取消，分別用于請求一個新的安全令牌、驗證一個現有令牌、更新一個過期令牌和取消一個不再使用的令牌。STS將Web服務從各種驗證方式和證書類型中分離出來，降低了系統和服務之間的耦合度。

3.2 域內驗證

當客戶端、服務和STS都在一個信任邊界之內時，由三者構成一個信任域，在一個信任域內驗證過程如圖1所示。

圖1 STS域內驗證模型

在STS域內驗證模型中，客戶端首先向STS請求安全令牌（Request Security Token，RST），RST消息中包含了客戶端憑證，用于驗證客戶端以及保護消息內容；然后，STS收到RST消息后，驗證客戶端憑證。如果驗證通過，則STS根據客戶端憑證建立一個會話密鑰和一個新的安全令牌，其中通過Web服務的密鑰對會話密鑰加密后生成安全令牌。將會話密鑰和安全令牌插入到請求安全令牌響應（Request Security Token Response，RSTR）中返回給客戶端。客戶端收到RSTR消息后提取會話密鑰和安全令牌，將安全令牌作為請求Web服務消息的客戶端證書，并使用會話密鑰保護消息；最后，Web服務收到調用服務請求后，驗證客戶端證書中的安全令牌是否有效，提取會話密鑰，用會話密鑰核實消息保護。如果Web服務驗證通過，則執行服務操作，并把操作結果返回給客戶端。

3.3 域間驗證

當存在多個信任域時，客戶端希望請求其他信任域內的服務時，需要在不同域中同時運行的STS之間建立信任關系，如圖2所示。2個域中運行的STS之間存在信任關系，域A中客戶端從本域中的STS處取得安全令牌，并利用域A的安全令牌訪問域B的STS并獲得一個域B的安全令牌；從而域A中的客戶端利用域B的安全令牌請求域B中公開的服務。對于客戶端而言，STS與STS之間的處理是透明的，客戶端僅需在本信任域STS處驗證，就可以跨域訪問服務，從而實現了單點登錄的功能。

圖2 STS域間驗證模型

4 WCF授權策略

WCF提供了2種實現授權的方法，基于用戶角色和基于聲明。基于用戶角色的授權方式利用角色來賦予用戶進行系統操作的適當權限和訪問資源的許可。在WCF中，用戶身份和對應的角色分別由IIdentity和IPrincipal接口來表示，包括了對用戶身份的驗證和對用戶角色的驗證。

在某些情形下，基于角色的授權不足以建模和授權數據。WFC提供了基于聲明的授權方式。聲明是在特定場景下描述某個對象（客戶端或用戶）身份的信息，或是作用于某個特定資源的一個動作。在WCF中，會把通過驗證的用戶憑證和安全令牌映射到一組聲明上，并將這些聲明傳遞給請求的服務。這些聲明不僅包含客戶端身份信息，同時還包含了服務執行驗證判斷所需要的信息。

5 安全模型的應用

在將辦公自動化軟件OA系統與統一通信UC系統進行融合時，使用了SOA技術架構，采用WCF的安全模型進行安全驗證和服務調用，能夠更加安全有效地利用現有資源，并具有更高靈活性和擴展性。OA系統主要功能包括人事管理、客戶管理、采購管理、質量管理、考勤管理、會議申請、物料申請和財務管理等；UC系統主要功能包括通訊錄服務、短信服務、語音與視頻呼叫服務、即時消息服務和郵件服務等。為了有效的地融合2個系統，除了構建各個服務，還需要對2個系統的用戶管理和訪問授權模塊進行重構，使之適應分布式系統的安全訪問模型。融合后的系統基本框架示意，如圖3所示。

圖3 系統框架示意圖

在OA系統和UC系統建立了各自的STS服務，并且在2個STS服務之間建立信任關系。客戶端根據被調用服務所在的信任域（OA系統或UC系統），到對應的STS服務請求會話安全令牌，攜帶安全令牌調用之前請求的服務。當訪問跨域服務時，客戶端會先到本域的STS處進行驗證并得到安全令牌，之后根據本域的安全令牌訪問建立信任關系的其他域STS獲得可訪問最終服務的令牌，并訪問最終服務。

⑴安全模型的選擇

在OA系統與UC系統融合時，為了保持服務和消息的跨平臺特性，采用了消息安全模型；同時，由于涉及到2個系統，使用聯合安全驗證模型，保證系統的擴展性。在WCF提供的豐富可配置環境中，使用預定義的安全配置模式wsFederationHttpBinding，就可以指定使用消息安全和聯合驗證模式，從而建立相應的安全策略，并在服務運行時執行這些策略。在服務端配置wsFederationHttpBinding綁定，公開收到安全令牌的服務聯合端點。

在Security元素中的Mode屬性設置為Message，表示使用消息安全模式驗證客戶端和保護消息。IssuedTokenType表示使用的安全令牌類型為SAML1.1，因此STS服務必須支持頒布SAML1.1令牌。

⑵基于聲明的授權配置

在OA系統和UC系統的STS服務中，定義了針對不同服務和操作的各類聲明。在ClaimTypeRequirements元素中，服務端僅配置當前服務進行授權所需的聲明類型是否必須，如用戶名稱聲明和用戶權限聲明。在IssuerMetadata元素中指明安全令牌頒發機構的元數據地址，客戶端可據此發現STS端點。

⑶服務端的授權驗證

為了便于管理和維護，采用了集中化授權邏輯，分別定義了OA信任域的授權管理器OaAuthorizationManager類和UC信任域的授權管理器UcAuthorizationManager類，二者繼承自抽象類ServiceAuthorizationManager，并重寫了方法CheckAccessCore。CheckAccessCore方法接受WCF操作上下文參數，對每個傳入請求集中驗證聲明信息，判斷是否允許訪問。

⑷構建OA_STS和UC_STS

在實現OA系統和UC系統的STS服務時，使用Windows身份驗證基礎架構（Windows Identity Foundation，WIF），提供了支持基于聲明的安全模式的架構。分別定義了OA系統STS服務OaSecurityTokenService類和UC系統STS服務UcSecurityTokenService類，二者繼承自抽象類SecurityTokenService，定義了STS的關鍵功能。通過構造函數接受STS配置實例，來指定特定功能；通過GetScope方法來驗證一個安全令牌是否可以提供給客戶端需要使用的服務，并提供2個證書，用以加密和簽名此令牌；通過GetOutputClaimsIdentity方法為生成的安全令牌提供聲明，最后公開實現的OA_STS和UC_STS服務。

⑸生成客戶端代理

最后，使用SvcUtil工具或者添加服務引用的方式生成客戶端代理類，并在客戶端配置中可以看到2個綁定ws2007FederationHttpBinding、ws2007HttpBinding。前者用于確定與最終服務的通信參數，后者用于確定與相應STS服務的通信參數。

6 結束語

WCF完全遵循了WS-*的標準，利用WCF的安全模型能夠有效地解決的分布式系統中傳輸和消息安全、驗證和授權策略等問題，同時不損失系統的擴展性。此外，WCF技術還提供對事務、安全和編碼等的統一管理，協調了各服務器之間的系統操作。因此，在辦公自動化軟件OA系統與統一通信UC系統進行融合時，使用WCF技術構建分布式系統不失為一個理想的選擇。

[1]王建偉.基于Web Services的SOA架構設計方法的研究[D].大連:大連海事大學,2006.

[2]鄭文軒.基于WCF的分布式程序的研究和實現[D].西安:西安電子科技大學,2012.

[3]孟維然.SOAP協議的安全性研究與應用[D].沈陽:沈陽工業大學,2005.

[4]李俊旭,常朝穩.Webservice安全通信模型的研究[J].網絡安全技術與應用,2009(2):28-30.

[5]王洪添,張曉磊,于治樓.基于WIF的身份聯合管理的研究[J].信息技術與信息化,2010(3):32-33,70.

[6]劉志強.云計算中基于聲明的訪問控制研究[D].西安:西安電子科技大學,2013.

Research and Application of Security Model of WCF-based Distributed System

在分布式系統中安全方面的挑戰是面臨的主要問題之一，WCF提供了一個多功能可擴展的安全模型，提供了消息級別和服務級別的安全基礎設施。介紹了WCF的安全機制，分析和建立了WCF的驗證模型和授權策略，并以辦公自動化軟件與統一通信系統結合為例，分析和研究了如何利用WCF安全模型擴展并實現安全可靠的面向服務應用程序。

WCF SOA STS安全模型信任域

LIU Xi
(State Grid Sichuan Electric Power Company,Chengdu Sichuan 610041,China)

In distributed system,the security challenge is one of the main problems to be faced.WCF provides a multi-functional expandable security model,with message class and service class security infrastructure.Firstly,the security mechanism of WCF is introduced;then the WCF verification model and authorization policy are analyzed and constructed;finally by taking the combination of office automation software and united communication system as an example,the topic of how to use WCF security model to expand and achieve secure and reliable service oriented application program is analyzed and developed.

WCF;SOA;STS;security model;trust domain

TP311

A

1008-1739(2015)18-57-4

定稿日期：2015-08-26