安全地与分布式组件通信

Question

我正在为分布式应用程序设计身份验证和安全性。

要求是：-

1) 有两个分布式组件 A 和 B A 和 B 将始终安装在 Windows 环境中。 A 和 B 可以安装在两个相互不信任的不同 Windows 域中。

2）A和B使用WCF进行通信。

A 和 B 应该能够相互验证并安全地交换数据。

有哪些方法可以做到这一点？

可能的解决方案是：-

a) 实施 CA，向 A 和 B 颁发证书。这两个证书均由 rootCA 签名。但是这个解决方案需要我们实现一个 CA，成本太高

b) 在 A 上实现密钥生成服务。

这看起来像：-

CreateSymmetricKey(string userName, string password);

A 和 B 将拥有一个自签名证书。 A 和 B 之间交换的数据将使用自签名证书来保护。 身份验证是使用用户名和密码完成的。

这将生成一个对称密钥。 A 和 B 都将使用本地安全存储来存储此密钥。

该对称密钥将用于 A 和 B 之间通信的加密和身份验证。

您能建议其他可行的方法吗？

谢谢， 维韦克

Answer 1

一个CA没那么贵。 Windows 证书服务器内置于服务器操作系统中，可以配置以生成 Internet 托管的 CRL，或者，必要时您可以使用 makecert 创建根证书，然后从该根生成 X509 证书，然后生成 CRL，您可以将其手动加载到托管服务器上的证书存储中。

您将需要任一类型的 CRL 才能使 WCF 满意。