webservice数据加密

‘壹’ 怎么给WebService加上安全机制

简单一些继承SoapHeader加入账号密码之类的，然后使用ssl加密通讯过程也差不多了。
也可以使用客户端服务端约定使用一个加密key，然后加密webserver的某些或是全部调用参数，别人能看到webserver函数定义，但是不知道加密方式也就没办法了，当然最好把当前时间也加密到参数中防止重发攻击。也可以改进一下，借鉴ssl通讯过程，客户端生成临时加密key，然后使用公钥加密发给服务端，服务端使用私钥进行解密，然后双方使用临时加密key加密通讯参数。
当然你的客户端程序要混淆一下，或是核心加密过程使用非托管代码来写。

‘贰’ 调用webservice接口，加密的WSDL怎样用wsimport命令生成客户端代码

证书转成java识别的x509，然后连接时使用上才可以

~~~~~~~~~~~~~~~~~~

‘叁’ webservice 方法参数是二进制字节流需要加密吗

表里主键的ID或者其他select语句的条件啊，要不你怎么知道要返回的是那条记录的值。
___________________________________
看调用webservice的客户端需要什么值那就返回什么值，如果客户端需要的就是这张图片，则webservice返回图片的二进制流给调用者，就是Byte[]类型的值。
————————————————————
数据库返回的是Byte[]类型的值啊
————————————————————
SqlConnection conn=new SqlConnection()
conn.ConnectionString="Data Source=localhost;Database=test;User Id=sa;Pwd=sa";
string strSql="select * from 表名 where id=2";//这里假设获取id为2的图片
SqlCommand cmd=new SqlCommand(strSql,conn);
conn.Open();
SqlDataReader reader=cmd.ExecuteReader();
reader.Read();
Byte[] imgByte = (Byte[])reader["Image字段"];

imgByte里存放图片的二进制流。

‘肆’ 为tomcat服务器的webservice配置ssl加密

一般来说，先在系统中为用户注册密钥，然后客户端用密钥对用户发送请求进行加密。服务器端接受到请求后解密再进行处理。

‘伍’ WebService传输过程的加密，该怎么处理

您好，数据传输通过数据流，传输断对数据流进行加密，在接收端再进行解密。
参见：
/
x

spoonling 2014-05-17

‘陆’ 调用WebService返回的是加密的字符串，怎么解密成XML，谢谢！

""是BASE64编码的内容吧，亲！网页是没法传16进制数据的，都需要换成BASE64码才能放到网页里

‘柒’ Java怎么给WebService加密

http://blog.csdn.net/hulihui/archive/2008/10/01/3006882.aspx看看这个，我也在学

‘捌’ 请教webservice安全和加密的方法

众所周知，WebService访问API是公开的，知道其URL者均可以研究与调用。那么，在只允许注册用户的WebService应用中，如何确保API访问和通信的安全性呢？本文所指的访问与通信安全性包括：
访问安全性：当前访问者是注册合法用户
通信安全性：客户端与服务器之间的消息即使被第三方窃取也不能解密
本文安全的基本思路是：
注册用户登录时使用RSA加密
Web API调用参数使用DES加密（速度快）
Web API调用中包含一个身份票据Ticket
Web服务器保存当前Ticket的Session，包括：Ticket、DES加密矢量、注册用户基本信息
1 WebService身份验证

确保注册用户的访问安全，需要如下步骤：1）产生一个当前客户端机器票据（Ticket）；2）请求服务器RSA公钥（RSAPublicKey）；3）使用RSA加密登录口令及发布DES加密矢量（DESCipherVector）。

1.1 产生客户端机器票据Ticket

一般而言，可以由客户端机器根据自己的MAC、CPU序列号等唯一标识产生一个本机器的Ticket字符串票据，其目的是：唯一标识当前客户端，防止其它机器模仿本客户端行为。

1.2 请求服务器公钥RSAPublicKey

客户端携带票据Ticket向服务器请求RSA公钥RSAPublicKey。在服务器端，一般采取如下策略产生RSA加密钥匙：
Application_Start时产生一个1024或更长的RSA加密钥匙对。如果服务器需要长久运行，那么Application_Start产生的RSA可能被破解，替代方案是在当前Session_Start时产生RSA加密钥匙对
保存当前票据对应的客户帐号对象，即：Session[Ticket] = AccountObject，在确认身份后在填写AccountObject具体内容：帐号、RSA加密钥匙对、DES加密矢量
完成上述步骤后，服务器将RSAPublicKey传回给客户端。

1.3 加密登录口令及DES加密矢量

客户端获得RSAPulbicKey后，产生自己的DES加密矢量DESCipherVector（至少要8位及以上，该加密矢量用于以后的常规通信消息加密，因为其速度比RSA快）。接着，客户端使用RSAPublicKey加密登录帐号、口令及DESCipherVector，连同Ticket，发送到服务器并请求身份验证。登录API格式如下：

public void Login(string Ticket, string cipherLongID, string cipherPassword)；

如果验证成功，服务器将当前帐号信息、RSA钥匙、DESCipherVector等保存到会话Session[Ticket]中。

2 WebService通信安全性

2.1 加密WebService API参数

身份确认后，在客户端调用的WebService API中，必须包括参数Ticket，其它参数则均使用DESCipherVector加密。服务器端返回的消息也同样处理。例如，提交一个修改email的函数定义为：

public void ModifyEmail(string Ticket, string cipherEmai)；

2.2 客户端解密消息

客户端接收到服务器返回消息后，先做解密操作，如果成功则进入下步处理。否则抛出加密信息异常。

2.3 服务器端解密消息

服务器接收到客户提交的API请求后，首先验证Ticket的合法性，即查找Session中是否有该票据以验证客户身份。然后，解密调用参数。如果成功则进入下不操作，否则返回操作异常消息给客户端。

需要指出，如果第三方截获全部会话消息，并保留其Ticket，此时服务器端仍然认可这个第三方消息。但是，第三方不能浏览，也不能修改调用API的参数内容，此时解密参数时将抛出异常。

上面探讨了一个基于加密的WebService访问与通信安全方法，即使第三方获取消息，不能查看原始内容，也不能修改内容，保证了WebService API的安全性。

‘玖’ android如何调用SSl(https)加密的C#写的webservice

0. 准备工作及环境说明
0.1 检查JDK的环境变量是否正确(略)。我使用的是JDK 1.6
0.2 准备web服务器，这里选用TOMCAT 6.0
0.3 准备web service服务端和客户端(略，如果不会写的话可以用eclipse的工具生成)。
1. 生成证书
这里用到的文件，我们存放在D:/SSL/文件夹内，其中D:/SSL/server/内的文件是要交给服务器用的，D:/SSL/client/内的文件是要交给客户端用的。
1.1生成服务端证书
开始-运行-CMD-在dos窗口执行下执行命令：
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:/SSL/server/tomcat.keystore -dname "CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" -validity 3650 -storepass zljzlj -keypass zljzlj
2.so库保护，http://safe.ijiami.cn/使得C/C++ 层面的代码安全也得到防护。加上资源文件保护（图片、音频等文件的防查看和防修改）、xml 主配文件保护（对主配文件进行二次签名）、内存保护等措施，可以基本保证App的动态和静态安全。

‘拾’ Web Service和WCF的到底有什么区别

【1】Web Service：严格来说是行业标准，也就是Web Service 规范，也称作WS-*规范，既不是框架，也不是技术。
它有一套完成的规范体系标准，而且在持续不断的更新完善中。
它使用XML扩展标记语言来表示数据（这个是夸语言和平台的关键）。微软的Web服务实现称为ASP.NET Web Service.它使用Soap简单对象访问协议来实现分布式环境里应用程序之间的数据交互。WSDL来实现服务接口相关的描述。此外Web services 可以注册到UDDI中心.供其客户查找使用。
后来微软做了ASP.NET Web Service的安全，性能，数据加密、解密，托管宿主等多方面的扩展，称为WSE系列，这个是过度产品，最高到WSE3.0.后来就是WCF时代。
【2】ASP.NET Web Service：微软提供了Web服务的开发框架，属于ASP.NET Framework的一部分，但是支持早起的WS规范。比如SOAP1.1。
【3】WCF：WCF 是一个分布式应用的开发框架，属于特定的技术，或者平台。既不是标准也不是规范。
WCF其实一定程度上就是ASP.NET Web Service,因为它支持Web Service的行业标准和核心协议，因此ASP.NET Web Service和WSE能做的事情，它几乎都能胜任，跨平台和语言更不是问题（数据也支持XML格式化，而且提供了自己的格式化器）。
但是WCF作为微软主推一个通讯组件或者平台，它的目标不仅仅是在支持和集成Web Service,因为它还兼容和具备了微软早期很多技术的特性。
根据微软官方的解释，WCF（之前的版本名为“Indigo”）是使用托管代码建立和运行面向服务（Service Oriented）应用程序的统一框架。它使得开发者能够建立一个跨平台的安全、可信赖、事务性的解决方案，且能与已有系统兼容协作。WCF是微软分布式应用程序开发的集大成者，它整合了.Net平台下所有的和分布式系统有关的技术，如Enterprise Sevices(COM+).Net Remoting、Web Service(ASMX)、WSE3.0和MSMQ消息队列。以通信(Communiation)范围而论，它可以跨进程、跨机器、跨子网、企业网乃至于 Internet；以宿主程序而论，可以以ASP.NET，EXE，WPF，Windows Forms，NT Service，COM+作为宿主(Host)。WCF可以支持的协议包括TCP，HTTP，跨进程以及自定义，安全模式则包括SAML， Kerberos，X509，用户/密码，自定义等多种标准与模式。也就是说，在WCF框架下，开发基于SOA的分布式系统变得容易了，微软将所有与此相关的技术要素都包含在内，掌握了WCF，就相当于掌握了叩开SOA大门的钥匙 。如果你想对WCF学习系统化一些，必须向对如Enterprise Sevices(COM+).Net Remoting、Web Service(ASMX)、WSE3.0和MSMQ消息队列也有个详细的认识的话，你可以看看我的博客，在此之前我对WCF学习相关的知识都系统的进行了整理。这个是文章目录：老徐的博客：文章目录 。
还有一点就是，很多人对WCF学习感兴趣，当初我也是，直接奔WCF而来，其实在后来的学习中感觉吃力，因为WCF宣称的很多特性和优势，我们无法理解，更无法体会。文中提到了很多微软的早期技术如果都没有接触过，这些对比我们就无法有深刻的体会。
【4】结论：
那么我们看了这些分析以后，就可以知道以上的结论为什么错误了。
不能哪一个技术框架和行业标准作比较，任何对于二者的比较 都是错误的，因为两者根不不在同一个范畴里。就好比不能拿个汽车和交通法规比较一样。这是个误区。
Web Service太旧了：框架都版本的差异，功能特性上却是有新旧之分，但是对于特定的系统，适合自己的就是最好的。 Web Service 就是 ASP.NET Web Service：同样不是一个范畴。前者规范，后者是框架 WCF比Web Service性能好：不是一个范畴， WCF 比 ASP.NET Web Service快：不一定，需要特定的限制条件，WCF使用BasicHttpBinding的时候与ASP.NET Web Service协议一样。 WCF比Web Service速度快：同样概念不严格。 WCF比Web Service强大：WCF却是集成了多种微软的分布式技术，但是这里应该严格说是：ASP.NET Web Service WCF比 Web Service安全：不严格。其次WCF也可以开发完全裸奔的应用程序。 Web Service必将被WCF取代；Web Service不会被WCF取代！前者是一套广泛使用的规范。如果说WCF能取代的是ASP.NET Web Service，因为二者都是.NET平台上的技术。 WCF其实就是Web Service：WCF在某些情况下不遵守 Web服务规范，也就是可以开发非服务性质的应用。而且不能简单等同。 WCF非常简单，其实没有什么：WCF虽然是个服务开发框架，但是如果你深入学习，会发现WCF架构的强大之处。单单是WCF安全这一块已经相当的复杂了。况且还要统一编程模型，兼容和支持许多早期的分布式技术。很多人轻易下这样的结论，一定是仅仅看了一些文章或书籍，不一定写过代码。高手不会这样武断地下结论。

在WCF支持的各种协议中：每种协议中消息都有不同的传输格式、不同的编码格式等等，WCF 以统一的方式来调用各种编码器、进行传输。假如以后有新的协议出现，WCF并不用更改现有的框架、只用针对该协议做扩展就可以支持该协议了。这就很好地适应了变化，可以说WCF是封装变化的绝佳实践。
再来谈谈你的问题，WCF与Web 服务是什么关系，WCF 能够创建兼容 Web 服务的服务，也就是说可以创建能够与Web 服务互联互通的服务，他们两个并不能用简单包含或者等同关系来表述。WCF 是一套框架，用来创建各种服务。其中包括创建 Web服务（采用 basicHttpBinding绑定的服务就是一个Web 服务）。

WCF可以不依赖于IIS。
WCF可以配置成BasicHttpBinding来兼容（或者说变身成）WS。
WCF可以基于TCP或者MessegeQueue来传输数据。
WCF的可配置性比WS强，比如安全性。
WCF可以是有状态的，并支持事务。
WCF 支持多种通信协议 Http/Https 、TCP/UDP、MSMQ、命名管道、对等网、
消息可达性、事务流等。
WCF 可以与ASP.NET 集成、共享一个上下文（HttpContext）。
WCF 支持多种消息传输格式 :text,binary,mtom,Json 等。
WCF 安全性要强：支持对称安全、非对称安全、消息安全、传输安全、
SSL 流安全、Windows 流安全等。
WCF 支持多种会话模式：单向、双向、请求/响应。
WCF 支持REST 。
WCF 支持多种格式化方式。DataContractSerializer、XmlSerializer、
DataContractJsonSerializer 等。
WCF 支持 WAS hosting、Windows 服务 hosting、Self-Hosting、IIS hosting 等。
WCF 支持多种并发模式：单例、单调、会话 。