Есть уже существующее решение - распределенная система которая использует WCF и NetTCPBinding. Трафик принято решение было шифровать на канальном уровне, т.е. защищенное VPN соединение и вперед. Но по факту оказалось что не во всех регионах такую тему реально организовать, по сему возникла острая необходимость шифровать трафик непосредственно нашими средствами. 
Все что нагуглил по защите трафика в WCF это различные сертификаты и обычные, для такого случая, сервера аутентификации которые подтверждают/раздают сертификаты.
Достаточно геморно все это для развертывания, заказчик негодует, больше чем Онотоле   
Кто-нибудь знает иной вариант криптования трафика, без сертификатов, т.е. пара сессионных ключей, или вариант с обменом ключей при начале связи, и.т.п.
Нашел пример чувака который на сессию генерит пару открытый и закрытый ключ. Отправляет серваку открытый, а дальше общаются по открытому ключу. Я чет только не понимаю в случае дуплесного канала как оно живет. Сервак же закрытый ключ не знает %)

Просмотрите доклды Ефимцевой Натальи : http://www.techdays.ru/speaker/Efimceva_Nataliya.html

та же самая головоломка, только у меня юзеры из базы, т.е. userNamePasswordValidationMode="Custom"
ломаю голову работает ли кастомная валидация без сертификатов   

на свой вопрос я нашел ответ
http://msdn.microsoft.com/ru-ru/library/ms731172.aspx