ASP.NET 安全性”。
• 企业服务
Enterprise Services 为应用程序提供基础结构级别的服务。这包括分布式事务和资源管理服务,如 .NET 组件的对象池。有关Enterprise Services 的详细信息,请参阅“企业服务安全性”。
• Web 服务
Web 服务使用基于 SOAP 的消息交换来防火墙移动数据和在异构系统之间移动数据,以此来实现数据交换和应用程序逻辑的远程调用。有关 Web 服务的详细信息,请参阅“Web 服务安全性”。
• .NET Remoting
.NET Remoting 提供了一种用于跨越进程和计算机边界访问分布式对象的框架。有关.NET Remoting的详细信息,请参阅“NET Remoting 安全性”。
• ADO.NET 和 Microsoft_ SQL Server™ 2000
ADO.NET 提供数据访问服务。 ADO.NET从一开始就是专门为分布式 Web 应用程序设计的,很适合用于与 Web 应用程序有着内在联系的分离方案。SQL Server 提供使用操作系统身份验证机制(Kerberos 或 NTLM)的集成式安全性。授权由可应用于单个数据库对象的登录和细化权限提供。有关数据访问安全性的详细讨论,请参阅“数据访问安全性”。
• Internet 协议安全性 (IPSec)
IPSec提供点对点的传输级别加密和身份验证服务。有关 IPSec 的详细信息,请参阅“安全通信”。
• 安全套接字层 (SSL)
SSL提供点对点的安全通信信道。通过该信道传输的数据都是加密的。有关 SSL 的详细信息,请参阅“安全通信”。
安全体系结构
图 3显示了远程应用程序层模型和前面介绍的各种技术提供的那些安全服务。身份验证和授权在分布于各层中许多点分别进行。这些服务主要由 Internet 信息服务 (IIS)、ASP.NET、Enterprise Services 和 SQL Server 提供。同时,安全通信信道在各层上应用,并从客户端浏览器或设备一直延伸到数据库。信道的安全性由安全套接字层 (SSL) 或 IPSec 联合提供保障。
图 3. 安全体系结构
各层之间的安全性
表 1摘要说明前面讨论的技术所提供的身份验证、授权和安全通信功能。
表 1:安全功能
技术 身份验证 授权 安全通信
IIS
匿名
基本
摘要式
Windows 集成 (Kerberos/NTLM)
证书
IP/DNS 地址限制
Web 权限
NTFS 权限;所请求文件的 Windows
访问控制列表 (ACL)
SSL
ASP.NET
无(自定义)
Windows
窗体
Passport
文件授权
URL 授权
主体权限
.NET角色
-
Web Services
Windows
无(自定义)
消息级别身份验证
文件授权
URL 授权
主体权限
.NET角色
SSL 和消息级别加密
Remoting
Windows
文件授权
URL 授权
主体权限
.NET角色
SSL 和消息级别加密
Enterprise Services
Windows
Enterprise Services (COM+)角色
NTFS权限
远程过程调用 (RPC) 加密
SQL Server 2000
Windows (Kerberos/NTLM)
SQL 身份验证
服务器登录
数据库登录
固定数据库角色
用户定义的角色
应用程序角色
对象权限
SSL
Windows 2000
Kerberos
NTLM
Windows ACLs
IPSec
身份验证
Windows 2000上的.NET Framework提供下面的身份验证选项:
• ASP.NET身份验证模式
• Enterprise Services身份验证
• SQL Server 身份验证
ASP.NET 身份验证模式
ASP.NET身份验证模式包括 Windows、窗体、Passport和无身份验证。
• Windows 身份验证。在这种身份验证模式下,ASP.NET 依靠 IIS 对用户进行身份验证并创建 Windows 访问令牌来表示经过身份验证的标识。IIIS 提供下列身份验证机制:
• 基本身份验证。基本身份验证要求用户以用户名和密码的形式提供证书以证明其标识。它是基于 RFC 2617提出的 Internet 标准。http://www.faqs.org/rfcs/rfc2617.html. Netscape Navigator 和 Microsoft Internet Explorer 都支持基本身份验证。用户证书以不加密的 Base64 编码格式从浏览器传送到 Web 服务器。由于 Web 服务器得到的用户证书是不加密的格式,因此 Web 服务器可以使用用户证书发出远程调用(例如,访问远程计算机和资源)。
注 基本身份验证只应与安全信道(通常是使用 SSL 建立的)一起使用。否则,用户名和密码很容易被网络监视软件窃取。如果使用基本身份验证,应在所有页(而不仅仅是登录页)上使用 SSL,因为在发出所有后续请求时都传递证书。有关联合使用基本身份验证和 SSL 的详细信息,详见“ASP.NET 安全性”。
• 摘要式身份验证。与 IIS 5.0 一起推出的摘要式身份验证与基本身份验证类似,但它从浏览器向 Web 服务器传送用户证书时不采用不加密的格式,而采用哈希格式。 因此,它更为安全,不过它要求使用 Int
• 企业服务
Enterprise Services 为应用程序提供基础结构级别的服务。这包括分布式事务和资源管理服务,如 .NET 组件的对象池。有关Enterprise Services 的详细信息,请参阅“企业服务安全性”。
• Web 服务
Web 服务使用基于 SOAP 的消息交换来防火墙移动数据和在异构系统之间移动数据,以此来实现数据交换和应用程序逻辑的远程调用。有关 Web 服务的详细信息,请参阅“Web 服务安全性”。
• .NET Remoting
.NET Remoting 提供了一种用于跨越进程和计算机边界访问分布式对象的框架。有关.NET Remoting的详细信息,请参阅“NET Remoting 安全性”。
• ADO.NET 和 Microsoft_ SQL Server™ 2000
ADO.NET 提供数据访问服务。 ADO.NET从一开始就是专门为分布式 Web 应用程序设计的,很适合用于与 Web 应用程序有着内在联系的分离方案。SQL Server 提供使用操作系统身份验证机制(Kerberos 或 NTLM)的集成式安全性。授权由可应用于单个数据库对象的登录和细化权限提供。有关数据访问安全性的详细讨论,请参阅“数据访问安全性”。
• Internet 协议安全性 (IPSec)
IPSec提供点对点的传输级别加密和身份验证服务。有关 IPSec 的详细信息,请参阅“安全通信”。
• 安全套接字层 (SSL)
SSL提供点对点的安全通信信道。通过该信道传输的数据都是加密的。有关 SSL 的详细信息,请参阅“安全通信”。
安全体系结构
图 3显示了远程应用程序层模型和前面介绍的各种技术提供的那些安全服务。身份验证和授权在分布于各层中许多点分别进行。这些服务主要由 Internet 信息服务 (IIS)、ASP.NET、Enterprise Services 和 SQL Server 提供。同时,安全通信信道在各层上应用,并从客户端浏览器或设备一直延伸到数据库。信道的安全性由安全套接字层 (SSL) 或 IPSec 联合提供保障。
图 3. 安全体系结构
各层之间的安全性
表 1摘要说明前面讨论的技术所提供的身份验证、授权和安全通信功能。
表 1:安全功能
技术 身份验证 授权 安全通信
IIS
匿名
基本
摘要式
Windows 集成 (Kerberos/NTLM)
证书
IP/DNS 地址限制
Web 权限
NTFS 权限;所请求文件的 Windows
访问控制列表 (ACL)
SSL
ASP.NET
无(自定义)
Windows
窗体
Passport
文件授权
URL 授权
主体权限
.NET角色
-
Web Services
Windows
无(自定义)
消息级别身份验证
文件授权
URL 授权
主体权限
.NET角色
SSL 和消息级别加密
Remoting
Windows
文件授权
URL 授权
主体权限
.NET角色
SSL 和消息级别加密
Enterprise Services
Windows
Enterprise Services (COM+)角色
NTFS权限
远程过程调用 (RPC) 加密
SQL Server 2000
Windows (Kerberos/NTLM)
SQL 身份验证
服务器登录
数据库登录
固定数据库角色
用户定义的角色
应用程序角色
对象权限
SSL
Windows 2000
Kerberos
NTLM
Windows ACLs
IPSec
身份验证
Windows 2000上的.NET Framework提供下面的身份验证选项:
• ASP.NET身份验证模式
• Enterprise Services身份验证
• SQL Server 身份验证
ASP.NET 身份验证模式
ASP.NET身份验证模式包括 Windows、窗体、Passport和无身份验证。
• Windows 身份验证。在这种身份验证模式下,ASP.NET 依靠 IIS 对用户进行身份验证并创建 Windows 访问令牌来表示经过身份验证的标识。IIIS 提供下列身份验证机制:
• 基本身份验证。基本身份验证要求用户以用户名和密码的形式提供证书以证明其标识。它是基于 RFC 2617提出的 Internet 标准。http://www.faqs.org/rfcs/rfc2617.html. Netscape Navigator 和 Microsoft Internet Explorer 都支持基本身份验证。用户证书以不加密的 Base64 编码格式从浏览器传送到 Web 服务器。由于 Web 服务器得到的用户证书是不加密的格式,因此 Web 服务器可以使用用户证书发出远程调用(例如,访问远程计算机和资源)。
注 基本身份验证只应与安全信道(通常是使用 SSL 建立的)一起使用。否则,用户名和密码很容易被网络监视软件窃取。如果使用基本身份验证,应在所有页(而不仅仅是登录页)上使用 SSL,因为在发出所有后续请求时都传递证书。有关联合使用基本身份验证和 SSL 的详细信息,详见“ASP.NET 安全性”。
• 摘要式身份验证。与 IIS 5.0 一起推出的摘要式身份验证与基本身份验证类似,但它从浏览器向 Web 服务器传送用户证书时不采用不加密的格式,而采用哈希格式。 因此,它更为安全,不过它要求使用 Int
相关文章
 我来说两句 |
对此文章发表了评论 |
评论列表 (最新 评论仅限网友观点!)
推荐文章
