導(dǎo)言：

　　ASP.NET應(yīng)用程序的設(shè)置信息通常都存儲(chǔ)在一個(gè)名為Web.config的XML文件里。在教程的前面部分我們已經(jīng)好幾次修改過Web.config文件了.比如在第一章，我們創(chuàng)建名為Northwind的數(shù)據(jù)集時(shí)，數(shù)據(jù)庫連接字符串信息自動(dòng)的添加到Web.config文件的connectionStrings>節(jié)點(diǎn).再后來，在第3章里，我們手動(dòng)更新了Web.config文件，添加了一個(gè)pages>元素，對(duì)所有的ASP.NET頁面運(yùn)用DataWebControls主題.

　　由于Web.config文件包含了敏感的信息，比如連接字符串.所以確保Web.config文件內(nèi)容的安全性是很重要的，對(duì)未經(jīng)授權(quán)的訪問者應(yīng)隱藏這些敏感信息.默認(rèn)情況下，對(duì).config后綴名的文件的任何HTTP請(qǐng)求都由ASP.NET引擎來處理，它將返回“This type of page is not served”的信息，如圖1所示.這意味著訪問者無法通過在其瀏覽器的地址欄鍵入‘http://www.YourServer.com/Web.config'來訪問你的Web.config文件.

圖1：通過瀏覽器訪問Web.config將返回“This type of page is not served”的信息

　　但是如果某個(gè)攻擊者找到其它方法來訪問你的Web.config文件的內(nèi)容又怎么辦呢？他會(huì)做怎樣的修改？我們又采取怎樣的步驟來保護(hù)Web.config文件的這些信息呢？幸運(yùn)的是，Web.config文件的絕大多數(shù)節(jié)點(diǎn)并不包含敏感信息.如果攻擊者知道你的ASP.NET頁面使用的默認(rèn)的主題的名字又會(huì)搞哪些破壞呢？

　　Web.config文件的某些節(jié)點(diǎn)包含了敏感信息，比如：connection strings, user names, passwords, server names, encryption keys等等.我們能在下面的這些節(jié)點(diǎn)找到這些信息：

.appSettings>
.connectionStrings>
.identity>
.sessionState>

　　在本文我們將考察保護(hù)這些敏感信息的技術(shù).就像我們將看到的那樣，.NET Framework 2.0版本包含了一個(gè)保護(hù)配置系統(tǒng)，我們可以使用它很容易地對(duì)選定的配置節(jié)點(diǎn)進(jìn)行加密和解密.

　　注意：在本文結(jié)尾部分，我們將看到微軟對(duì)從一個(gè)ASP.NET應(yīng)用程序連接到數(shù)據(jù)庫時(shí)的建議.除了對(duì)連接字符串進(jìn)行加密外，我們還可以連接到一個(gè)處于“安全模式”的數(shù)據(jù)庫使你的系統(tǒng)更強(qiáng)大.

第一步：考察ASP.NET 2.0的保護(hù)配置選項(xiàng)

ASP.NET 2.0包含一個(gè)保護(hù)配置系統(tǒng)以對(duì)配置信息進(jìn)行加密和解密.這些方法包含在.NET Framework，可用來編程加密和解密配置信息.該保護(hù)配置系統(tǒng)使用provider model模式.它允許開發(fā)者選擇執(zhí)行哪種加密.

.NET Framework包含了2種protected configuration providers：

.RSAProtectedConfigurationProvider ：加密和解密時(shí)使用不對(duì)稱RSA運(yùn)算法則(RSA algorithm)

.DPAPIProtectedConfigurationProvider:加密和解密時(shí)使用Windows Data Protection API (DPAPI)

由于保護(hù)配置系統(tǒng)執(zhí)行的是provider design模式，因此我們可以創(chuàng)建自己的protected configuration provider并運(yùn)用到自己的程序里.具體過程可參閱文章《Implementing a Protected Configuration Provider》(http://msdn2.microsoft.com/en-us/library/wfc2t3az(VS.80).aspx)

　　RSA providers 和 DPAPI providers在加密和解密時(shí)使用“密匙”(keys)，這些“密匙”可以存儲(chǔ)在“機(jī)器級(jí)”(Machine-level)和“用戶級(jí)”(user-level).機(jī)器級(jí)密匙在這種情況下很理想：每個(gè)web應(yīng)用程序都運(yùn)行在自己專有的服務(wù)器上，或某個(gè)服務(wù)器上的多個(gè)應(yīng)用程序共享同樣的加密信息.而用戶級(jí)密匙在共享服務(wù)器環(huán)境里是比較理想的安全選擇.此時(shí)，同服務(wù)器上的其它程序不能對(duì)你加密的配置信息進(jìn)行解密.

　　本教程的示例將使用DPAPI provider和機(jī)器級(jí)密匙.具體來說，我們將對(duì)Web.config文件里的connectionStrings>節(jié)點(diǎn)進(jìn)行加密.對(duì)RSA provider以及用戶級(jí)密匙的更多信息請(qǐng)參考本文結(jié)束部分的外延閱讀資料.

　　注意：RSAProtectedConfigurationProvider 和DPAPIProtectedConfigurationProvider providers在machine.config文件里被分別組冊(cè)成RsaProtectedConfigurationProvider 和DataProtectionConfigurationProvider。當(dāng)我們對(duì)配置信息進(jìn)行加密或解密時(shí)我們需要提供相應(yīng)的provider名稱(即RsaProtectedConfigurationProvider 或 DataProtectionConfigurationProvider)；而不是實(shí)際的類型名(即RSAProtectedConfigurationProvider 和 DPAPIProtectedConfigurationProvider). 你可以在$WINDOWS$/Microsoft.NET/Framework/version/CONFIG文件夾里找到machine.config文件.

第二步：通過編程加密和解密配置節(jié)點(diǎn)

　　使用某個(gè)provider，我們只需要很少的幾行代碼就可以對(duì)某個(gè)配置節(jié)點(diǎn)加密或解密.這些代碼僅僅需要引用相應(yīng)的配置節(jié)點(diǎn)，調(diào)用其ProtectSection 或 UnprotectSection方法，再調(diào)用Save方法來執(zhí)行.另外，.NET Framework包含了一個(gè)很有用的命令行功能來進(jìn)行加密和解密，我們將在第3步考察該功能.

　　為了便于演示，我們需要?jiǎng)?chuàng)建一個(gè)包含按鈕的ASP.NET頁面，以便于對(duì)Web.config文件的connectionStrings>節(jié)點(diǎn)進(jìn)行加密和解密.

　　打開AdvancedDAL文件夾里的EncryptingConfigSections.aspx頁面，拖一個(gè)TextBox控件到頁面，設(shè)其ID為WebConfigContents；TextMode屬性為MultiLine；Width和Rows屬性分別為95% 和 15.該TextBox控件用于顯示W(wǎng)eb.config文件的內(nèi)容，以查看其內(nèi)容是否已經(jīng)加密了.當(dāng)然，在現(xiàn)實(shí)程序里，我們不可能將Web.config文件的內(nèi)容顯示出來.

　　在該TextBox控件下面添加2個(gè)Button控件，ID分別為EncryptConnStrings 和 DecryptConnStrings；設(shè)其Text屬性為“Encrypt Connection Strings” 和 “Decrypt Connection Strings”.

此時(shí)你的界面看起來和下面的差不多：

圖2：在頁面上添加一個(gè)TextBox控件和2個(gè)Button控件

　　接下來，在頁面初次登錄時(shí)我們需要在ID為WebConfigContents的TextBox控件里將Web.config文件的內(nèi)容顯示出來。在頁面的后臺(tái)類里添加如下的代碼，該代碼添加了一個(gè)名為DisplayWebConfig的方法，在Page_Load事件處理器里，當(dāng)Page.IsPostBack 為 false時(shí)便調(diào)用該方法:

protected void Page_Load(object sender, EventArgs e)
{
 // On the first page visit, call DisplayWebConfig method
 if (!Page.IsPostBack)
 DisplayWebConfig();
}

private void DisplayWebConfig()
{
 // Reads in the contents of Web.config and displays them in the TextBox
 StreamReader webConfigStream =
 File.OpenText(Path.Combine(Request.PhysicalApplicationPath, "Web.config"));
 string configContents = webConfigStream.ReadToEnd();
 webConfigStream.Close();

 WebConfigContents.Text = configContents;
}

　　該DisplayWebConfig方法調(diào)用File class類來打開應(yīng)用程序的Web.config文件；調(diào)用StreamReader class類將內(nèi)容讀入一個(gè)字符串；再調(diào)用Path class類來獲取Web.config文件的物理地址.這3個(gè)類都位于System.IO命名空間.所以我們應(yīng)該在后臺(tái)類的頂部添加using System.IO聲明，又或者在這些類的前面添加“System.IO.”前綴.

　　接下來，我們需要為這2個(gè)按鈕的Click事件添加事件處理器，在一個(gè)DPAPI provider里使用機(jī)器級(jí)密匙對(duì)connectionStrings>節(jié)點(diǎn)進(jìn)行加密和解密.在設(shè)計(jì)器里，雙擊這2個(gè)按鈕以添加Click事件處理器，添加如下代碼：

protected void EncryptConnStrings_Click(object sender, EventArgs e)
{
 // Get configuration information about Web.config
 Configuration config =
 WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);

 // Let's work with the connectionStrings> section
 ConfigurationSection connectionStrings = config.GetSection("connectionStrings");
 if (connectionStrings != null)
 // Only encrypt the section if it is not already protected
 if (!connectionStrings.SectionInformation.IsProtected)
 {
  // Encrypt the connectionStrings> section using the
  // DataProtectionConfigurationProvider provider
  connectionStrings.SectionInformation.ProtectSection(
  "DataProtectionConfigurationProvider");
  config.Save();
  
  // Refresh the Web.config display
  DisplayWebConfig();
 }
}

protected void DecryptConnStrings_Click(object sender, EventArgs e)
{
 // Get configuration information about Web.config
 Configuration config =
 WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);

 // Let's work with the connectionStrings> section
 ConfigurationSection connectionStrings =
 config.GetSection("connectionStrings");
 if (connectionStrings != null)
 // Only decrypt the section if it is protected
 if (connectionStrings.SectionInformation.IsProtected)
 {
  // Decrypt the connectionStrings> section
  connectionStrings.SectionInformation.UnprotectSection();
  config.Save();

  // Refresh the Web.config display
  DisplayWebConfig();
 }
}

　　這2個(gè)按鈕的事件處理器的代碼幾乎是一樣的.它們一開始都通過WebConfigurationManager class類的OpenWebConfiguration方法獲取當(dāng)前應(yīng)用程序的Web.config文件的信息. 該方法根據(jù)指定的有效路徑返回web配置文件。接下來，再通過Configuration class類的GetSection(sectionName)方法訪問Web.config文件的connectionStrings>節(jié)點(diǎn).該方法返回一個(gè)ConfigurationSection對(duì)象.

　　該ConfigurationSection對(duì)象包含了一個(gè)SectionInformation屬性，用來闡述加密節(jié)點(diǎn)的其它相關(guān)信息. 就像上面的代碼顯示的那樣，我們通過查看SectionInformation的IsProtected屬性來判斷是否對(duì)配置節(jié)點(diǎn)進(jìn)行了加密.此外，還可以通過SectionInformation的ProtectSection(provider) 和 UnprotectSection方法對(duì)節(jié)點(diǎn)進(jìn)行加密或解密.

　　ProtectSection(provider)方法有一個(gè)字符串類型的輸入?yún)?shù)，該參數(shù)指定了用來加密的protected configuration provider的名稱。在EncryptConnString按鈕的事件處理器里，我們將“DataProtectionConfigurationProvider”傳遞給ProtectSection(provider)方法，因此指明了用到的是DPAPI provider.而UnprotectSection方法可以確定加密時(shí)用到的provider，因此不需要任何的輸入?yún)?shù).

　　調(diào)用ProtectSection(provider) 或 UnprotectSection方法后，我還必須調(diào)用Configuration對(duì)象的Save method方法來進(jìn)行具體的操作. 一旦完成加密或解密并保存后，我們調(diào)用DisplayWebConfig方法將更新后的Web.config文件的內(nèi)容上傳到TextBox控件.

　　鍵入上述代碼后，在瀏覽器里測(cè)試EncryptingConfigSections.aspx頁面，最開始你將看到頁面將Web.config文件的connectionStrings>節(jié)點(diǎn)的內(nèi)容以純文本的形式展示出來.

圖3：顯示connectionStrings>節(jié)點(diǎn)的內(nèi)容

　　現(xiàn)在，點(diǎn)擊“Encrypt Connection Strings”按鈕，如果“請(qǐng)求確認(rèn)”(request validation)處于激活狀態(tài)的話，回傳頁面時(shí)將拋出一個(gè)HttpRequestValidationException異常，顯示一個(gè)消息：“A potentially dangerous Request.Form value was detected from the client.”。這個(gè)Request validation，在ASP.NET 2.0里默認(rèn)為處于激活狀態(tài)，禁止服務(wù)器接受含有未編碼的HTML的內(nèi)容，它被設(shè)計(jì)來保護(hù)服務(wù)器免受注入式腳本的攻擊.可以從頁面或應(yīng)用程序來禁止該功能.我們?cè)谠擁摻盟?，在頁面聲明代碼的頂部的的@Page標(biāo)記里ValidateRequest設(shè)置為false，如下：

%@ Page ValidateRequest="False" ... %>

　　在禁用該功能后，再次點(diǎn)擊“Encrypt Connection Strings”按鈕，頁面回傳后就可以訪問配置文件了，并用DPAPI provider對(duì)connectionStrings>節(jié)點(diǎn)進(jìn)行加密. TextBox控件然后將Web.config文件更新后的內(nèi)容顯示出來，如圖4所示，connectionStrings>節(jié)點(diǎn)的信息現(xiàn)在已經(jīng)被加密了.

圖4：點(diǎn)擊“Encrypt Connection Strings”按鈕對(duì)connectionString>節(jié)點(diǎn)進(jìn)行加密

在加密前，我暫時(shí)地將CipherData>元素里的內(nèi)容轉(zhuǎn)移了：

connectionStrings
 configProtectionProvider="DataProtectionConfigurationProvider">
 EncryptedData>
 CipherData>
 CipherValue>AQAAANCMnd8BFdERjHoAwE/...zChw==/CipherValue>
 /CipherData>
 /EncryptedData>
/connectionStrings>

　　注意：connectionStrings>元素指定了用來加密的provider(即DataProtectionConfigurationProvider).當(dāng)點(diǎn)擊“Decrypt Connection Strings”按鈕時(shí)UnprotectSection方法將會(huì)用到該信息.對(duì)于加密的連接字符串，系統(tǒng)可以自動(dòng)的對(duì)其解密.簡(jiǎn)而言之，我們不需要再對(duì)加密的connectionString>節(jié)點(diǎn)添加任何其它的代碼。我們來做個(gè)驗(yàn)證，打開以前的教程，比如(~/BasicReporting/SimpleDisplay.aspx頁面)，如圖5所示，頁面像我們期望的那樣工作正常，這就表明了經(jīng)過加密的連接字符串被ASP.NET頁面自動(dòng)解密了.

圖5：數(shù)據(jù)訪問層自動(dòng)解密連接字符串信息

　　為將加密的connectionStrings>節(jié)點(diǎn)恢復(fù)到純文本樣式，點(diǎn)擊“Decrypt Connection Strings”按鈕。頁面回傳后，你將看到Web.config文件里的連接字符串恢復(fù)到純文本樣式.此時(shí)，屏幕開起來像是最初登錄的樣子(見圖3)

第三步：用aspnet_regiis.exe對(duì)配置節(jié)點(diǎn)進(jìn)行加密

　　.NET Framework包含了很多的命令行工具，可以在$WINDOWS$/Microsoft.NET/Framework/version/ folder文件夾里找到這些工具.以第59章《使用SQL緩存依賴項(xiàng)SqlCacheDependency 》為例，我們用aspnet_regsql.exe命令行工具為SQL緩存依賴添加里必要的體系結(jié)構(gòu).該文件夾里的另一個(gè)有用的工具是ASP.NET IIS Registration tool (aspnet_regiis.exe). 就像其名字暗示的那樣，這個(gè)ASP.NET IIS Registration工具主要用來在微軟專業(yè)Web server，IIS上注冊(cè)ASP.NET 2.0應(yīng)用程序.

　　除了其與IIS相關(guān)的屬性外，該ASP.NET IIS Registration工具也可以對(duì)Web.config文件的配置節(jié)點(diǎn)進(jìn)行加密和解密. 下面的是使用aspnet_regiis.exe命令行工具對(duì)配置節(jié)點(diǎn)加密的常規(guī)代碼：

aspnet_regiis.exe -pef section physical_directory -prov provider

　　其中section是要加密的配置節(jié)點(diǎn)(比如“connectionStrings”)；physical_directory 為web應(yīng)用程序根節(jié)點(diǎn)的完整物理路徑；provider是用到的protected configuration provider的名稱(比如“DataProtectionConfigurationProvider”). 另外，如果你將web應(yīng)用程序在IIS里進(jìn)行了注冊(cè)了的話，你就可以用相當(dāng)路徑來代替絕對(duì)路徑：

aspnet_regiis.exe -pe section -app virtual_directory -prov provider

　　下面為使用aspnet_regiis.exe的例子，它用DPAPI provider，機(jī)器級(jí)密匙，對(duì)connectionStrings>節(jié)點(diǎn)進(jìn)行加密：

aspnet_regiis.exe -pef
"connectionStrings" "C:/Websites/ASPNET_Data_Tutorial_73_CS"
-prov "DataProtectionConfigurationProvider"

　　類似的，該aspnet_regiis.exe命令行工具也可以用來解密配置節(jié)點(diǎn)，不過我們要將-pef替換成-pdf或-pd。當(dāng)然，解密時(shí)不需要指定provider名稱.

aspnet_regiis.exe -pdf section physical_directory
 -- or --
aspnet_regiis.exe -pd section -app virtual_directory

　　注意：由于我們使用的是DPAPI provider，它使用的密匙是又電腦指定的，所以你必須在存儲(chǔ)web頁面的同一臺(tái)電腦上運(yùn)行aspnet_regiis.exe工具. 比如，你在本地電腦上運(yùn)行這個(gè)命令行，然后又將加了密的連接字符串上載到另一個(gè)服務(wù)器上，該服務(wù)器就無法對(duì)其進(jìn)行解密，因?yàn)榧用艿拿艹资窃诒镜仉娔X上指定的.如果是使用RSA provider的話就不存在這種局限性，因?yàn)镽SA provider可以將密匙(RSA keys)傳遞給另一臺(tái)電腦.

理解Database Authentication Options

　　在任何應(yīng)用程序向Microsoft SQL Server數(shù)據(jù)庫發(fā)出SELECT,INSERT,UPDATE,或DELETE請(qǐng)求之前，數(shù)據(jù)庫首先要確定請(qǐng)求者的身份.該過程可分為2種驗(yàn)證模式：authentication 和 SQL Server provides:

.Windows Authentication：在Visual Studio 2005的ASP.NET Development Server里運(yùn)行一個(gè)ASP.NET應(yīng)用程序時(shí),ASP.NET應(yīng)用程序假定身份(identity)為當(dāng)前登錄用戶。而如果運(yùn)行在Microsoft Internet Information Server (IIS)上的話，ASP.NET應(yīng)用程序假定身份(identity)為domainName/MachineName or domainName/NETWORK SERVICE,，雖然這些都可以用戶定制.

.SQL Authentication：驗(yàn)證的時(shí)候需要提供用戶ID和password，使用SQL authentication的話，可以由連接字符串來提供ID和password.

　　一般使用Windows authentication模式，因?yàn)槠涓踩?在Windows authentication模式下，連接字符串不需要用戶名和密碼，并且如果web服務(wù)器和數(shù)據(jù)庫服務(wù)器分屬不同的電腦的話，(credentials)認(rèn)證在網(wǎng)絡(luò)間傳輸時(shí)并不以純文本格式傳輸.而如果是SQL authentication模式的話，將對(duì)連接字符串進(jìn)行硬編碼，且認(rèn)證在web服務(wù)器和數(shù)據(jù)庫服務(wù)器之間以純文本格式進(jìn)行傳輸.

　　本教程使用的是Windows authentication.我們可以通過連接字符串來查看到底使用的是哪種認(rèn)證。本教程的Web.config文件的連接字符串如下：

Data Source=./SQLEXPRESS; AttachDbFilename=|DataDirectory|/NORTHWND.MDF; Integrated Security=True; User Instance=True

　　術(shù)語“Integrated Security=True”，以及缺少用戶名和密碼都表明我們使用的是Windows authentication模式。不過在一些連接字符串里用術(shù)語“Trusted Connection=Yes” 或 “Integrated Security=SSPI”來替換“Integrated Security=True”, 不過它們都表明使用的是Windows authentication.

下面的代碼顯示使用的是SQL authentication：

Server=serverName; Database=Northwind; uid=userID; pwd=password

　　假想某個(gè)攻擊者可以查看你的應(yīng)用程序的Web.config文件。如果你使用的是SQL authentication模式通過Internet連接到數(shù)據(jù)庫，攻擊者可以利用連接字符串通過SQL Management Studio或他自己網(wǎng)站上的ASP.NET頁面連接到你的數(shù)據(jù)庫.為降低風(fēng)險(xiǎn)，我們需要對(duì)Web.config文件的連接字符串進(jìn)行加密.

　　注意：關(guān)于SQL Server里不同認(rèn)證模式的更多信息應(yīng)參閱文章《Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication》(http://msdn2.microsoft.com/en-us/library/aa302392.aspx);關(guān)于Windows 和 SQL authentication不同之處的更多示例，應(yīng)參閱ConnectionStrings.com網(wǎng)站.

結(jié)語：

　　默認(rèn)情況下，ASP.NET應(yīng)用程序里的所有以.config為后綴的文件都不能通過瀏覽器訪問.這是因?yàn)檫@些文件可能包含了一些敏感信息，比如：數(shù)據(jù)庫連接字符串、用戶名和密碼等。 .NET 2.0包含的保護(hù)配置系統(tǒng)可以通過對(duì)指定的配置節(jié)點(diǎn)進(jìn)行加密來加以保護(hù).有2種內(nèi)置的protected configuration providers:一個(gè)使用RSA運(yùn)算法則，而另一個(gè)使用Windows Data Protection API (DPAPI).

　　本文考察了使用DPAPI provider來對(duì)配置信息進(jìn)行加密和解密.我們可以通過編程的方式，就像在第2步探討的那樣；也可以通過使用aspnet_regiis.exe命令行工具，就像在第3步探討的那樣。關(guān)于使用RSA provider及用戶級(jí)密匙的更多信息請(qǐng)參考本文的外延閱讀.

　　祝編程快樂！

作者簡(jiǎn)介

　　本系列教程作者 Scott Mitchell，著有六本ASP/ASP.NET方面的書，是4GuysFromRolla.com的創(chuàng)始人，自1998年以來一直應(yīng)用 微軟Web技術(shù)。大家可以點(diǎn)擊查看全部教程《[翻譯]Scott Mitchell 的ASP.NET 2.0數(shù)據(jù)教程》，希望對(duì)大家的學(xué)習(xí)ASP.NET有所幫助。