{安全生产管理}中认证安全特征评述.pdfVIP

{安全生产管理}中认证安 全特征评述 ASP.NET中认证安全特征评述 NarcisioTumushabe,谭冠正(音译) (中南大学计算机科学与信息技术学院,湖南长沙410083) 摘要 :讨论了服务应用时支持安全的ASP.NET认证特征,微软的互联网信息服 务(IIS)和提供了安全模式,使Web开发者恰当地认证其使用者,并在应用过程中 获得正确的安全之本.三个层次的认证是基于表单的,身份证书和视窗认证.综述 文献仅限于上述三个领域. 关键词:表单;身份证书;视窗认证 中 图 分 类 号 :TP393108 文 献 标 识 码 :A 文 章 编 号:1000-1646(2003)03-0250-05 安全是开发人员和应用程序架构师首要关注的问题。由于不同类型的网站有 不同的安全需要，开发人员需要知道需要什么程度的安全运行，并为他们的程序 选择适当的安全模式。有些网站发布的信息不来自用户，而是通过搜索引擎等广 泛渠道来收集。另外一些网站，可能要收集用户的敏感信息，比如信用卡号码， 这些网站需要非常严格的安全措施，以避免来自外部的恶意攻击。 1 安全的基本操作 在 ASP.NET 应用程序的环境中安全的基本操作涉及三步即验证，授权和模拟。 验证的过程中认证用户身份,允许或拒绝请求。这涉及到接受用户凭据（如用户 名和密码）和凭证核对。经过身份验证，合法用户对资源的请求将得到满足。接 下来一段时间，用户请求资源无需再进行身份验证，直到用户退出这个 WEB 应用 程序。授权是给予用户访问特定资源的资格。模拟的过程，是使应用程序确认用 户的身份，从而获得要求的其他资源。基于模拟的身份，请求资源将被授予或者 拒绝。 2 的验证 验证是 Web 应用程序的安全一个重要的特征。在中，验证表现在两个层次上， [2]首先，Internet 信息服务（IIS）将执行必要的验证，然后把用户请求发送到 中，如图 1 所描述的。应用程序的 Web 服务器基本是 IIS 。因此，每个应用程序 可以继续利用 IIS 所提供的的安全性选项。当用户请求特定资源时，这一要求将 发送到 IIS 。IIS 验证用户的请求，然后把认证用户发送给工作进程。工作进程 将决定是否模拟验证 IIS 所提供的用户。如果文件中的模仿配置是启用的，工作 进程将模拟验证使用者。否则，将自行验证用户身份。毕竟，决定用户是否有权 访问这些资源。如果他们被允许，ASP.NET 提供请求的服务;否者他将一个 “拒绝 登入”的错误讯息传回给用户。 图 1IIS 和的安全流程 通过几种认证机制提供了内置的用户身份验证，[1.4]它们是基于表单的身份 验证，应用程序使用自定义身份验证模式的 Cookie 支持来确保安全；身份证书， 应用程序使用微软的身份证书来身份验证，身份证书是微软开发的一个 Web 单点 登录技术，还有视窗验证，Web 应用程序使用从集成视窗身份验证中获得的用户 名单来验证用户。 也有些应用程序不使用身份验证，或自行开发验证机制。在这种情况下，可 以把ASP.NET 中身份验证模式设置为关闭。本文将简要地涉及基于表单的,身份 证书和视窗认证。 2.1 基于表单的认证 基于表单的认证验证是用定制逻辑执行来验证用户，运用了 Cookie 而无需 担心 Session 管理。这使开发人员获得更多的权限去指定哪些文件在网站上可获 [3] 取和由何人获取，并可以识别的登录页。 这一机制将自动重定向未验证用户到 登录页，并请他们提供适当的凭据（例如，用户名/密码组合）。如果登录成功， 分配 cookie 给用户，并重定向到他们原先请求的特定资源。此 Cookie 允许用户 反复访问特定资源，而不必重新执行登录机制。显示如下： 图2 表单认证流程 在上图中，首先用户请求资源。这一请求将先到达 IIS ，由IIS 进行用户身 份验证的。如果 IIS 启用匿名访问，或者用户已成功通过验证，IIS 会将把请求 转到应用程序。中查看是否有有效的身份验