Việc bảo mật trong WCF được xác định trong 4 tính năng quan trọng:
Bảo mật (Confidentiality): đảm bảo các bên không có thẩm quyền sẽ không thể xem được thông điệp mật được truyền giữa bên gửi và bên nhận. Điều này đạt được thông qua việc sử dụng các thuật toán mã hóa.
Toàn vẹn (Integrity): đảm bảo bên nhận sẽ nhận được chính xác thông điệp mà bên gửi đã gửi. Để làm được điều này, bên gửi phải sử dụng chữ ký điện tử (digital signature) trên các thông điệp gửi.
Chứng thực (Authentication): tính năng này dùng để kiểm tra người gửi và người nhận là ai và họ có được biết bởi hệ thống hay không.
Quyền hạn (Authorization): tại thời điểm này, chúng ta đã biết được người gửi hoặc người nhận là ai. Tuy nhiên, cần phải biết được liệu họ có được cấp quyền để thực hiện hành động mà họ đang yêu cầu từ ứng dụng hay không[4][18].
Việc bảo mật trong WCF được mở rộng trên nhiều thành phần trong kiến trúc WCF. Mục tiêu chính của việc bảo mật trong WCF là để cung cấp tính toàn vẹn
(integrity), bảo mật (confidentility), chứng thực (authentication), quyền hạn (authorization) và kiểm soát (auditing) đối với các ứng dụng được xây dựng trên nền tảng WCF. Kiến trúc của WCF được phân ra thành các chức năng sau:
Mật truyền (Transfer security): chịu trách nhiệm cung cấp thông điệp bí mật (message confidentiality), toàn vẹn dữ liệu (data integrity) và xác thực các bên giao tiếp (authentication of communicating parties).
Quyền hạn (Authorization): chịu trách nhiệm cung cấp nền tảng cho việc đưa ra các quyết định về quyền hạn (authorization decisions).
Lưu vết (Auditing): chịu trách nhiệm cho việc ghi lại các sự kiện liên quan đến bảo mật để lưu vết.
Việc mật truyền (Transfer security) có thể được thực hiện bằng cách sử dụng một trong các chế độ bảo mật (security mode) sau[4][18]
:
Transport Security Mode: Tất cả 3 chức năng bảo mật được cung cấp bởi transport thường được dùng để truyền các thông điệp giữa Client và service. Chế độ này có ưu điểm là được sử dụng rất nhiều ở các nền tảng khác nhau, và độ phức tạp toán ít hơn. Tuy vậy nhược điểm là chỉ đảm bảo bảo mật các thông điểm từ điểm đến điểm (point to point).
Message Security Mode: Việc mật truyền (Transfer security) chỉ được cung cấp ở cấp độ thông điệp SOAP, có nghĩa là việc bảo mật được áp dụng trực tiếp đối với thông điệp SOAP ở cấp độ XML. Chế độ này có ưu điểm là không phụ thuộc vào giao thức vận chuyển, dễ mở rộng, đảm bảo bảo mật đầu cuối. Nhược điểm của nó là chậm hơn so với chế độ Transport do nó phải làm việc với XML.
Transport with Message Credential Security Mode: Việc mật truyền (Transfer security) được thực hiện trên cả tầng transport và message. Tầng transport cung cấp truyền thông bảo mật (communication confidential), toàn vẹn dữ liệu (data integrity) và chứng thực dịch vụ (service authentication). Tầng message cung cấp chứng thực Client (Client authentication).
Một số kịch bản bảo mật trong WCF như[4,18]:
Client Authentication với Transport–Level Security
Client Authentication với Message-Level Security
Trusted Subsystem
Message Security với Issued Tokens
Message Security với Mutual Certificates
Message Security với Windows Client không sử dụng Credential Negotiation
Message Security with a Windows Client
Message Security with a Certificate Client
Message Security with a User Name Client
Message Security with an Anonymous Client
Transport Security with Certificate Authentication
Transport Security with an Anonymous Client
Transport Security with Windows Authentication
Transport Security with Basic Authentication
Intranet Unsecured Client and Service
PHẦN III: XÂY DỰNG CHƢƠNG TRÌNH ỨNG DỤNG