WebService Security

Question

Ich entwickle ein Projekt, das aus einem Webservice und einer Client-Anwendung besteht. Es ist ein faires einfaches Szenario. Der Webservice ist mit einem Datenbankserver verbunden, und der Client verwendet den Webserver, um Informationen aus der Datenbank abzurufen.

Die Sache ist: 1. Die Client-Anwendung kann Daten nur nach einer vorherigen Authentifizierung anzeigen; 2. Alle zwischen dem Web Service und den Clients übertragenen Daten müssen vertraulich sein. 3. Datenintegrität sollte nicht beeinträchtigt werden;

Ich frage mich, was der beste Weg ist, um diese Anforderungen zu erfüllen. Das erste, worüber ich nachdachte, war, dem Server eine digitale Signatur zu schicken, die ein Client-Zertifikat enthielt, das auf dem Server gespeichert und als Vergleich für die Authentifizierung verwendet wurde. Aber ich habe ein wenig über die Sicherheit von Webdiensten geforscht und bin mir nicht mehr sicher, ob dies die beste Option ist.

Kann mir jemand eine Meinung dazu geben?

TIA

Answer 1

Sie sollten ein bekannt gutes Schema verwenden, um diese Art von sicherer Verbindung zu erreichen: SSL. Wenn die von Ihnen verwendeten Technologien (Programmiersprachen, Bibliotheken usw.) ein bekanntes SSL-Muster aufweisen, verwenden Sie dieses.

Wenn Ihre Sitzung sicher ist, benötigen Sie keine zusätzliche Datenverschlüsselung. Die neuesten Versionen von SSL sind nach heutigen Standards ziemlich stark.

Im Falle einer C# -Anwendung würde ich WCF mit SSL verwenden.

• http://en.wikipedia.org/wiki/Transport_Layer_Security
• http://www.codeproject.com/KB/WCF/WCF.aspx (obwohl ich machen würde, dass ich MSDN überprüft auch, um sicherzustellen, dass der Ansatz, den Sie am Ende mit auf dem neuesten Stand ist)

Ihr Kunde braucht sie können zu wissen, Vertrauen Sie dem Server, also benötigen Sie ein Serverzertifikat. Wenn Sie mit einem Client, der nur ein Kennwort benötigt, um auf diese Daten zugreifen zu können, einverstanden sind, benötigen Sie keine Client-Zertifikate.

Answer 2

Die gesamte Kommunikation zwischen dem Client und dem Webdienst sollte verschlüsselt sein. als die Stärke kommt von der Art, wie Sie mit Verschlüsselungsschlüsseln umgehen.

microsoft's wcf hat Nachrichtenauthentifizierung mit Zertifikaten und anderen Optionen.

Sie können einen Signaturalgorithmus (wie md5) verwenden, um die "Daten" zu signieren, die Sie an den Client senden (innerhalb der Nachricht), aber ein Angreifer kann das auch tun, also wäre eine stärkere Option öffentliche private Schlüssel, um die Daten mit den Signaturen zu verschlüsseln ... aber jetzt müssen Sie die privaten Schlüssel schützen.

Wie wichtig sind Ihre Daten?