标题: ASP教程之Asp的平安办理(7) [打印本页] 作者: 飘飘悠悠 时间: 2015-2-3 23:35 标题: ASP教程之Asp的平安办理(7) ASP.NET和ASP的比较,技术上比较已经没什么可说的了.新一代在大部分程度来说当然是比旧一代好了. 关键看你对所做软件的理解了.因人而定.会写的话也可能比ASP.NET写得更有效率和更方便重用平安 ASP 的最好平安做法
引言
平安办理的次要方针是包管 SLA 中划定的 ASP 和客户之间的秘密性、完全性和可用性的级别。最好做法可向 ASP 展现若何确保完成平安方针。
Active Directory 的次要平安优势
利用 Active Directory 办事,ASP 可更好地为外部用户和内部客户供应恰当的平安性。从基本上说,Active Directory 是 ASP 平安战略和帐户信息的中间地位。
ASP 可用 Active Directory 平安功效来自界说 ASP 的平安战略,回护体系不被非受权会见并防止能够的丧失。Active Directory 可供应多方面的平安优势。个中包含:
一次性登录到域
撑持尺度的 Internet 平安协定
可以将域顶用户和对象的办理委派给别人
一次性登录
具有多目次办事的 ASP 中,用户和客户会见分歧的收集资本能够需求停止屡次登录。Active Directory 经由过程为资本的会见供应一次性登录而改动了这类不用要的反复。一旦用户登录到域掌握器,一切收集资本城市依据此次登录的了局而受权或回绝会见。一次性登录供应了平安的身份验证,用于加密与收集之间的会话。登录进程凡是利用 Kerberos 身份验证协定,咱们将在文章的前面会商该协定。因为在客户或用户登录时,数据平安就已启动,所以一次性登录减小了损坏平安的威逼,由于客户和用户不需求去写多个暗码。别的,因为一切的帐户都一致在 Active Directory 中的一个中央,因而可对帐户的办理具有更多的掌握。
组战略承继和当地设置
ASP 情况中的 AD 容器有一个条理布局。一些容器可以为是其它容器的“父”容器。组战略具有承继性,即它可以从父容器传递给上面的子容器。当为父容器分派一个“组战略”时,该“组战略”也合用于父容器上面的一切容器。若更改子容器的设置,则可替换父容器传递上去的设置。假如子容器和父容器的“组战略”设置不兼容,则不承继父容器的设置,而且用户只吸收子容器的“组战略”设置。
撑持 Internet 尺度身份验证协定
Active Directory 办事供应对几种身份验证办法的撑持,如 Internet 尺度协定 Kerberos、公钥根基布局 (PKI) 和加密套接字协定层 (SSL) 上的轻型目次会见协定 (LDAP)。对这些协定的撑持意味着不管用户是外部毗连仍是经由过程 Internet 毗连,收集资本都能失掉回护。
平安的身份验证和收集协定
Windows 凡是利用 Windows NT LAN Manager (NTLM) 协定来停止收集身份验证。ASP 可使用几种加强的身份验证办法和收集协定(如 Internet 尺度协定 Kerberos、公钥根基布局、利用 Ipsec 的虚拟公用收集 (VPN)、加密套接字协定层 (SSL))来增强平安性。Windows 2000 供应对这些协定的撑持。
Kerberos 身份验证的长处:
疾速毗连。使用 Kerberos 身份验证,办事器不用转向域掌握器。它可经由过程反省客户供应的凭证来验证客户的身份。客户可一次取得对特定办事器的凭证并在全部 ASP 登录会话中反复利用。
互相身份验证。NTLM 答应办事器验证其客户的身份。它不答应客户验证办事器的身份,也不答应一台办事器验证另外一办事器的身份。NTLM 身份验证是为收集情况设计的,假定该情况中的办事器是真实的。Kerberos 协定不做这类假定。收集毗连两头的 ASP 和客户可以晓得另外一真个一方宣称是甚么人。
委派的身份验证。今世表客户机会见资本时,Windows 办事就摹拟成客户机。很多情形下,办事可经由过程会见当地盘算机上的资本为客户机完成其任务。NTLM 和 Kerberos 都可供应办事在当地摹拟其客户机时需求的信息。然而,一些散布式的使用法式是如许设计的:当毗连到其它盘算机上的后端办事时,前端办事必需摹拟客户机。Kerberos 协定有一个代办署理机制,答应当某个办事毗连到其它办事时摹拟其客户机。
公钥根基布局 (PKI)
公钥根基布局 (PKI) 是新呈现的尺度,合用于使用数字证书来验证用户的身份。PKI 利用三种手艺来供应防止平安损坏的回护:数字信封、数字签名和数字证书。这些手艺常常用于 Extranet 和 ASP 处理计划。可以使用 PKI 的例子有:
平安电子邮件
基于 PK 的平安电子邮件产物(包含 Microsoft Exchange),依托 PK 手艺完成:
Windows 2000 加密文件体系 (EFS) 撑持 Windows NT 文件体系 (NTFS) 中在磁盘上存储的文件的通明加密息争密。用户可指定要加密的一般文件或需求对其内容坚持加密格局的文件夹。使用法式可以像会见非加密文件一样会见用户的加密文件。然而,它们没法对任何其他用户的加密文件停止解密。
PKI 和 UPN
Windows 2000 PKI 履行一项平安办事,该办事利用证手札息来映照到存储于 Active Directory 中的帐户,以便肯定已验证身份的客户的会见权限。该目次操作可依据证书中的用户次要称号 (UPN) 来履行,或经由过程在目次中搜刮与客户证书中的属性、发表者或发表者和主题婚配的帐户来履行。假如 UPN 都不婚配,或发表者未被受权发表域身份验证的证书,则用户可以登录。如许,它就加强了登录的平安性。
经由过程 SSL 的平安 Web
加密套接字协定层 (SSL) 协定依附于基于 PK 的身份验证手艺,并利用基于 PK 的密钥协商来为每一个客户端/办事器会话生成独一的加密密钥。它们最常与基于 Web 的使用法式及 HTTP 协定(称为 HTTPS)相干联。
ASP 可经由过程利用加密的平安 SSL 通道,使用 SSL 协定停止保密的收集通信。办事器和客户端针对要利用的加密算法停止协商。它们还协商用于平安通信的保密的同享会话密钥。假如客户没有无效的受信赖的身份验证证书(它可以下降回绝办事进击的风险),则 ASP 可用 SSL 来避免(能够的)客户与 ASP 处理计划停止通信。您还可以用 SSL 协定来回护一切 Web 通信的通道,以回护秘密信息,例如团体信息和信誉卡号码。
虚拟公用收集 (VPN)
VPN 手艺利用了地道协定,该协定可以使 ASP 在公用 Internet 上创立公用数据网。换句话说,经由过程“同享管道”停止平安的地道客户通讯,VPN 能使 ASP 下降本钱。