从消息时间戳删除发送签名请求的秒数

时间:2014-01-15 11:27:33

标签: .net wcf httprequest wcf-client custom-binding

我有一个使用TransportSecurityBindingElement安全元素的WCF自定义绑定,但是客户端和(第三方)服务器上的时间准确性一直存在问题。

如何删除秒,使时间戳仅精确到分钟(我被告知服务器会接受这个)。

替代方案的想法是我在每次请求之前更新系统时间,但这假定(错误地)服务器时间是准确的。我也试图完全删除时间戳(可能不需要),但我得System.InvalidOperationExceptionSigning without primary signature requires timestamp.

.Net代码构建安全元素:

    Dim msgSecVer As System.ServiceModel.MessageSecurityVersion = ServiceModel.MessageSecurityVersion.WSSecurity10WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11BasicSecurityProfile10

    Dim tsbe As TransportSecurityBindingElement = SecurityBindingElement.CreateCertificateOverTransportBindingElement(msgSecVer)
    tsbe.EnableUnsecuredResponse = True
    tsbe.SetKeyDerivation(False)
    tsbe.AllowInsecureTransport = True
    tsbe.IncludeTimestamp = True

    'adding clock skew doesn't seem to make any difference?
    Dim clockSkew As TimeSpan = TimeSpan.FromMinutes(1)
    tsbe.LocalClientSettings.MaxClockSkew = clockSkew
    tsbe.LocalServiceSettings.MaxClockSkew = clockSkew

    Return tsbe

邮件标题,注释(可能超出)时间戳的准确性:

POST http://wwwqa.xxxx.com/services/
Content-Type: text/xml; charset=utf-8
VsDebuggerCausalityData: xxxx
SOAPAction: ""
Host: wwwqa.xxxx.com
Content-Length: 2400
Expect: 100-continue
Connection: Keep-Alive

<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" xmlns:u="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
    <s:Header>
        <o:Security s:mustUnderstand="1" xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
            <u:Timestamp u:Id="_0">
                <u:Created>2013-12-04T10:53:13.568Z</u:Created>
                <u:Expires>2013-12-04T10:58:13.568Z</u:Expires>
            </u:Timestamp>
            <o:BinarySecurityToken u:Id="uuid-bc441202-xxxx-xxxx-a176-02f2a61a6002-1" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3">....xxxx....</o:BinarySecurityToken>
            <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
                <SignedInfo>
                    <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                    <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
                    <Reference URI="#_0">
                        <Transforms>
                            <Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                        </Transforms>
                        <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
                        <DigestValue>xxxx</DigestValue>
                    </Reference>
                </SignedInfo>
                <SignatureValue>xxxx</SignatureValue>
                <KeyInfo>
                    <o:SecurityTokenReference><o:Reference URI="#uuid-bc441202-xxxx-xxxx-a176-02f2a61a6002-1"/></o:SecurityTokenReference>
                </KeyInfo>
            </Signature>
        </o:Security>
    </s:Header>

2 个答案:

答案 0 :(得分:2)

我看到完成它的唯一方法是转移到客户端中仅传输的安全性,然后在custom encoder中自行添加安全标头。生成安全标头包括:

  1. 生成时间戳并将其推入SOAP(简单)。
  2. 生成签名(硬)。请参阅here,GetSignature评论了我们的方法here。然后将其推送到SOAP。

    3. 要操作SOAP实现编码器,在WriteMessage方法中,您可以访问消息,将其加载到XmlDocument并对其进行操作(例如添加标题)。

答案 1 :(得分:-1)

如果您使用IIS运行WCF主机,则可以添加自定义写入模块 - .net DLL - 拦截IIS中的消息,读取,解析并删除秒,然后将消息传递给您WCF服务。

我记得,模块程序选择并读取HTTPContext,允许您以任何方式更改消息,晚上向标题和正文部分添加全新字段。

但是,只有在使用IIS来管理或管理Web服务时,此方法才有效。

以下是指向它的链接:http://www.iis.net/learn/get-started/introduction-to-iis/iis-modules-overview#Querying

相关问题
最新问题