locked
WCF 的傳輸安全性層級 RRS feed

  • 問題

  • 大家好:

        在下最近開發程式,使用了 wcf 技術,目前在思考要使用那一種安全層級。

    於 Message and Transport Security 這個網址的內容,得知了 Message 與 Transport  兩種層級的差異。

    關於 transport 有一句如下: 

    Security is applied on a point-to-point basis, with no provision for multiple hops or routing through intermediate application nodes.

    並指出,通常 Security 安全層級較適用於 intranet、point to point 的環境下。

    在下不太理解,於 transport 層級下,資料應該會經過加密,也會進行雙方身份確認的流程,

    在傳輸過程中,經由了多個節點,為何仍無法確保安全性呢?

    請大家指教,謝謝。




    • 已編輯 JoeSeom 2017年4月25日 上午 03:14
    • 已編輯 Kiki.Yang 2017年5月3日 上午 02:33 modify
    2017年4月25日 上午 02:50

解答

  • Transport Security 是在資料出去前用協定加密,像是 SSL/TLS 或憑證這種加密,它不會因為 mis-routing 發生安全問題。

    Message Security 是在進 Transport 之前對資料做加密,但是傳輸是 TCP/IP 協定,Message 也管不到這件事。

    這裡有張圖可以幫你釐清 Message Security / Transport Security 的關係:https://msdn.microsoft.com/en-us/library/ff648863.aspx

    你只需要記住,只要敏感資料要通過 Internet (若是大型園區,就算 Intranet 也要做),就一定要做加密,並用安全的傳輸通道傳送。


    強力監督SQL Injection問題!!

      • 小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
      • 雲端學堂Facebook: http://www.facebook.com/studyazure

    • 已提議為解答 Bill ChungMVP 2017年4月29日 上午 06:51
    • 已標示為解答 JoeSeom 2017年5月3日 上午 03:12
    2017年4月27日 上午 08:40

所有回覆

  • "no provision for multiple hops or routing through intermediate application nodes."

    簡單的說是它無法確定會不會有 mis-routing 的問題,也就是它無法確保訊息會因為 Internet 上的 routing 節點設定問題導致送到不對的地方,或是封包寄丟了。那不是 Transport Security 能管得了的。


    強力監督SQL Injection問題!!

      • 小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
      • 雲端學堂Facebook: http://www.facebook.com/studyazure

    2017年4月27日 上午 03:18
  • 謝謝小朱大大的回答:

        在下對於 mis-routing 的架構原理不甚了解,所以仍有些疑問。

    假設因為 中間 routing 節點設定的問題,導致 Transport Security

    無法確保封包送至正確的地方,那麼 Message Security 能夠確保這一點嗎?

     


    2017年4月27日 上午 08:21
  • Transport Security 是在資料出去前用協定加密,像是 SSL/TLS 或憑證這種加密,它不會因為 mis-routing 發生安全問題。

    Message Security 是在進 Transport 之前對資料做加密,但是傳輸是 TCP/IP 協定,Message 也管不到這件事。

    這裡有張圖可以幫你釐清 Message Security / Transport Security 的關係:https://msdn.microsoft.com/en-us/library/ff648863.aspx

    你只需要記住,只要敏感資料要通過 Internet (若是大型園區,就算 Intranet 也要做),就一定要做加密,並用安全的傳輸通道傳送。


    強力監督SQL Injection問題!!

      • 小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
      • 雲端學堂Facebook: http://www.facebook.com/studyazure

    • 已提議為解答 Bill ChungMVP 2017年4月29日 上午 06:51
    • 已標示為解答 JoeSeom 2017年5月3日 上午 03:12
    2017年4月27日 上午 08:40