SEC304IIS身份验证与许可授权工作方式.ppt

TechEd 2002 SEC304: IIS身份验证与许可授权工作方式 议程 网络安全基本概念 IIS安全体系架构 IIS进程模型 IIS验证方式 授权 基于ASP.NET应用的验证和授权 IIS 6.0新特性 网络安全基本概念 验证 身份识别–你是谁? 授权和访问控制 访问控制–你能访问什么数据和服务? 完整性 如何确保数据在传输过程中没有被修改? 私密性 如何只让接收者看到数据? IIS体系架构状态机 IIS 5.0体系架构进程模型 验证场景 匿名验证 匿名验证 使用匿名帐号 (IUSR_machinename)访问资源 进程身份: LocalSystem或IWAM_machinename 匿名帐号可任意配置 进程身份可通过COM+任意配置 需要平衡折衷安全与性能 基本验证 基本验证 进程身份: IWAM or LocalSystem 使用验证后的用户身份访问资源 优点 大众化 几乎所有的HTTP客户端支持基本验证 支持一跳式委托 缺点 明文密码 (Base64编码) 通过线路传输 保留在服务器中 应使用SSL保护数据传输 摘要验证 摘要验证 优点 不用明码方式传输密码 可通过代理服务器工作 IIS不知道密码 缺点 中等程度的安全措施 需要IE 5 或更高版本浏览器支持 不支持委托 需要使用活动目录 活动目录保存密码 (可解密得到) Windows集成验证 基于