第12章–数据访问安全性.docVIP

第 12 章 – 数据访问安全性 构建安全的 ASP.NET 应用程序身份验证、授权和安全通信 J.D. Meier、Alex Mackman、Michael Dunner 和 Srinath Vasireddy Microsoft Corporation 2002 年 10 月 有关构建安全的 ASP.NET 应用程序 的起点和完整概述，请参见“登录页面”。 总结 本章介绍了有助于您开发安全的数据访问策略的建议和指导。涵盖的主题包括从 ASP.NET 对数据库使用 Windows 身份验证、保护连接字符串、在数据库中安全存储凭据、防止 SQL 注入式攻击以及使用数据库角色。 内容 介绍数据访问安全性 身份验证 授权 安全通信 用最少的权限连接 创建具有最少权限的数据库帐户 安全存储数据库连接字符串 数据库的身份验证用户 SQL 注入式攻击 审核 SQL Server 的进程标识 总结 当您创建基于 Web 的应用程序时，必须使用安全的方法来访问和存储数据。本章讲述一些重要的数据访问问题。本章将帮助您： ● 连接到 SQL Server? 时在 Microsoft? Windows? 操作系统身份验证和 SQL 身份验证之间进行选择。 ● 安全存储连接字符串。 ● 决定是否将原调用方的安全上下文传递给数据库。 ● 利用连接池。 ● 防范 SQL 注入式攻击。 ● 在数据库中安全存储凭据。 本章还介绍与角色使用有关的各种平衡手段（例如，在数据库中的角色与中间层应用的角色逻辑之间）。最后，将介绍一组重要的数据访问建议。 介绍数据访问安全性 图 12.1 显示与数据访问相关的重要安全性问题。 {Insert figure: CH12 - Data Access Security Overview.gif} 图 12.1 重要的数据访问安全性问题 下面总结图 12.1 中显示的重要问题（本章的其余部分将详细讨论这些问题）： 1. 安全存储数据库连接字符串。如果您的应用程序使用 SQL 身份验证连接到 SQL Server，或者连接到需要显式登录凭据的非 Microsoft 数据库，则这一点尤其重要。在这些情况中，连接字符串包含明文形式用户名和密码。 2. 使用正确的标识来访问数据库。利用调用进程的进程标识、一个或多个服务标识或者原调用方的标识（使用模拟/委派）可以执行数据访问。选择什么样的标识由数据访问模型（受信任的子系统还是模拟/委派）确定。 3. 保护通过网络传递的数据的安全。例如，保护登录凭据以及传入和传出 SQL Server 的机密数据。 注意：仅在您使用 SQL 身份验证而非 Windows 身份验证的网络上公开登录凭据。 SQL Server 2000 利用服务器证书支持 SSL。IPSec 还可以用于对客户端计算机（例如 Web 或应用程序服务器）和数据库服务器之间的通信进行加密。 4. 对数据库调用方进行身份验证。SQL Server 支持 Windows 身份验证（利用 NTLM 或 Kerberos）和 SQL 身份验证（利用 SQL Server 内置的身份验证机制）。 5. 向数据库调用方授权。权限与单独的数据库对象关联，也可以与用户、组或角色关联。 SQL Server 网关守卫 图 12.2 重点说明 SQL 服务器数据访问的重要网关守卫。 {Insert figure: CH12 - Data Access GateKeepers.gif} 图 12.2 SQL Server 网关守卫 重要的网关守卫包括： ● 选择的用于保存数据库连接字符串的数据存储。 ● SQL Server 登录（由在连接字符串中指定的服务器名确定）。 ● 数据库登录（由在连接字符串中指定的数据库名确定）。 ● 与单独的数据库对象关联的权限。 权限可分配给用户、组或角色。 受信任的子系统与模拟/委派 数据库访问权限的细化程度是一个需要考虑的关键因素。您必须考虑您是需要对数据库进行用户级授权（这需要模拟/委派模型），还是可以在应用程序中间层使用应用程序角色逻辑向用户授权（这需要受信任的子系统模型）。 如果数据库要求用户级授权，那么您需要模拟原调用方。尽管这种模拟/委派模型受支持，但是建议您使用受信任的子系统模型；在该模型中，在 IIS/ASP.NET 关口对原调用方进行检查，将它映射到某个角色，然后根据角色成员身份向它授权。然后，在应用程序或角色级别上使用服务帐户，或者使用应用程序的进程标识（比如 ASPNET 帐户），向应用程序的系统资源授权。 图 12.3 显示这两个模型。 {Insert figure: CH12 - Trusted Sub-system vs. Impersonation-D