Если служба размещена в IIS 7+, довольно просто добавить поддержку ограничений IP без необходимости изменения какого-либо кода. Вы можете использовать модуль «Ограничения адресов и доменов» для ограничения входящих подключений к сервису на уровне сайта или виртуального каталога.
http://technet.microsoft.com/en-us/library/cc731598(WS.10).aspx
В противном случае, если вы хотите выйти за рамки простых ограничений IP, вам, скорее всего, потребуется изменить код и использовать какое-то хранилище аутентификации для достижения этой цели. Я думаю, что сложно оценить, что лучше / правильнее, учитывая ограниченную предоставленную информацию. Например, если рассматриваемая служба является службой WCF, вы можете использовать проверку подлинности Windows и / или NTLM без изменений кода, если вызывающие абоненты являются клиентами .NET, просто изменив конфигурации привязки сервера WCF и клиента.
Правильный подход будет учитывать риск подверженности, если оставить регистрационную службу незащищенной, и связать ее с усилиями по ее обеспечению. Нет единого подхода, подходящего для такого рода вопросов.