web.config加密解密

2009-12-12 15:09

ASP.NET应用程序的设置信息通常都存储在一个名为Web.config的XML文件里。在教程的前面部分我们已经好几次修改过Web.config文件了.比如在第一章，我们创建名为Northwind的数据集时，数据库连接字符串信息自动的添加到Web.config文件的<connectionStrings>节点.再后来，在第3章里，我们手动更新了Web.config文件，添加了一个<pages>元素，对所有的ASP.NET页面运用DataWebControls主题. 由于Web.config文件包含了敏感的信息，比如连接字符串.所以确保Web.config文件内容的安全性是很重要的，对未经授权的访问者应隐藏这些敏感信息.默认情况下，对.config后缀名的文件的任何HTTP请求都由ASP.NET引擎来处理，它将返回“This type of page is not served”的信息，如图1所示.这意味着访问者无法通过在其浏览器的地址栏键入‘http://www.YourServer.com/Web.config’来访问你的Web.config文件. 图1：通过浏览器访问Web.config将返回“This type of page is not served”的信息 但是如果某个攻击者找到其它方法来访问你的Web.config文件的内容又怎么办呢？他会做怎样的修改？我们又采取怎样的步骤来保护Web.config文件的这些信息呢？幸运的是，Web.config文件的绝大多数节点并不包含敏感信息.如果攻击者知道你的ASP.NET页面使用的默认的主题的名字又会搞哪些破坏呢？ Web.config文件的某些节点包含了敏感信息，比如：connection strings, user names, passwords, server names, encryption keys等等.我们能在下面的这些节点找到这些信息： .<appSettings> .<connectionStrings> .<identity> .<sessionState> 在本文我们将考察保护这些敏感信息的技术.就像我们将看到的那样，.NET Framework 2.0版本包含了一个保护配置系统，我们可以使用它很容易地对选定的配置节点进行加密和解密. 注意： 在本文结尾部分，我们将看到微软对从一个ASP.NET应用程序连接到数据库时的建议.除了对连接字符串进行加密外，我们还可以连接到一个处于“安全模式”的数据库使你的系统更强大. 第一步：考察ASP.NET 2.0的保护配置选项 ASP.NET 2.0包含一个保护配置系统以对配置信息进行加密和解密.这些方法包含在.NET Framework，可用来编程加密和解密配置信息.该保护配置系统使用provider model模式.它允许开发者选择执行哪种加密. .NET Framework包含了2种protected configuration providers： .RSAProtectedConfigurationProvider ：加密和解密时使用不对称RSA运算法则(RSA algorithm) .DPAPIProtectedConfigurationProvider:加密和解密时使用Windows Data Protection API (DPAPI) 由于保护配置系统执行的是provider design模式，因此我们可以创建自己的protected configuration provider并运用到自己的程序里.具体过程可参阅文章《Implementing a Protected Configuration Provider》(http://msdn2.microsoft.com/en-us/library/wfc2t3az(VS.80).aspx) RSA providers 和 DPAPI providers在加密和解密时使用“密匙”(keys)，这些“密匙”可以存储在“机器级”(Machine-level)和“用户级”(user-level).机器级密匙在这种情况下很理想：每个web应用程序都运行在自己专有的服务器上，或某个服务器上的多个应用程序共享同样的加密信息.而用户级密匙在共享服务器环境里是比较理想的安全选择.此时，同服务器上的其它程序不能对你加密的配置信息进行解密. 本教程的示例将使用DPAPI provider和机器级密匙.具体来说，我们将对Web.config文件里的<connectionStrings>节点进行加密.对RSA provider以及用户级密匙的更多信息请参考本文结束部分的外延阅读资料. 注意： RSAProtectedConfigurationProvider 和DPAPIProtectedConfigurationProvider providers在machine.config文件里被分别组册成RsaProtectedConfigurationProvider 和DataProtectionConfigurationProvider。当我们对配置信息进行加密或解密时我们需要提供相应的provider名称(即RsaProtectedConfigurationProvider 或 DataProtectionConfigurationProvider)；而不是实际的类型名(即RSAProtectedConfigurationProvider 和 DPAPIProtectedConfigurationProvider). 你可以在$WINDOWS$/Microsoft.NET/Framework/version/CONFIG文件夹里找到machine.config文件. 第二步：通过编程加密和解密配置节点 使用某个provider，我们只需要很少的几行代码就可以对某个配置节点加密或解密.这些代码仅仅需要引用相应的配置节点，调用其ProtectSection 或 UnprotectSection方法，再调用Save方法来执行.另外，.NET Framework包含了一个很有用的命令行功能来进行加密和解密，我们将在第3步考察该功能. 为了便于演示，我们需要创建一个包含按钮的ASP.NET页面，以便于对Web.config文件的<connectionStrings>节点进行加密和解密. 打开AdvancedDAL文件夹里的EncryptingConfigSections.aspx页面，拖一个TextBox控件到页面，设其ID为WebConfigContents；TextMode属性为MultiLine；Width和Rows属性分别为95% 和 15.该TextBox控件用于显示Web.config文件的内容，以查看其内容是否已经加密了.当然，在现实程序里，我们不可能将Web.config文件的内容显示出来. 在该TextBox控件下面添加2个Button控件，ID分别为EncryptConnStrings 和 DecryptConnStrings；设其Text属性为“Encrypt Connection Strings” 和 “Decrypt Connection Strings”. 此时你的界面看起来和下面的差不多：   图2：在页面上添加一个TextBox控件和2个Button控件 接下来，在页面初次登录时我们需要在ID为WebConfigContents的TextBox控件里将Web.config文件的内容显示出来。在页面的后台类里添加如下的代码，该代码添加了一个名为DisplayWebConfig的方法，在Page_Load事件处理器里，当Page.IsPostBack 为 false时便调用该方法: protected void Page_Load(object sender, EventArgs e) {     // On the first page visit, call DisplayWebConfig method     if (!Page.IsPostBack)         DisplayWebConfig(); } private void DisplayWebConfig() {     // Reads in the contents of Web.config and displays them in the TextBox     StreamReader webConfigStream =         File.OpenText(Path.Combine(Request.PhysicalApplicationPath, "Web.config"));     string configContents = webConfigStream.ReadToEnd();     webConfigStream.Close();     WebConfigContents.Text = configContents; } 该DisplayWebConfig方法调用File class类来打开应用程序的Web.config文件；调用StreamReader class类将内容读入一个字符串；再调用Path class类来获取Web.config文件的物理地址.这3个类都位于System.IO命名空间. 所以我们应该在后台类的顶部添加using System.IO声明，又或者在这些类的前面添加“System.IO.”前缀. 接下来，我们需要为这2个按钮的Click事件添加事件处理器，在一个DPAPI provider里使用机器级密匙对<connectionStrings>节点进行加密和解密.在设计器里，双击这2个按钮以添加Click事件处理器，添加如下代码： protected void EncryptConnStrings_Click(object sender, EventArgs e) {     // Get configuration information about Web.config     Configuration config =         WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);     // Let's work with the <connectionStrings> section     ConfigurationSection connectionStrings = config.GetSection("connectionStrings");     if (connectionStrings != null)         // Only encrypt the section if it is not already protected         if (!connectionStrings.SectionInformation.IsProtected)         {             // Encrypt the <connectionStrings> section using the             // DataProtectionConfigurationProvider provider             connectionStrings.SectionInformation.ProtectSection(                 "DataProtectionConfigurationProvider");             config.Save();                         // Refresh the Web.config display             DisplayWebConfig();         } } protected void DecryptConnStrings_Click(object sender, EventArgs e) {     // Get configuration information about Web.config     Configuration config =         WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);     // Let's work with the <connectionStrings> section     ConfigurationSection connectionStrings =         config.GetSection("connectionStrings");     if (connectionStrings != null)         // Only decrypt the section if it is protected         if (connectionStrings.SectionInformation.IsProtected)         {             // Decrypt the <connectionStrings> section             connectionStrings.SectionInformation.UnprotectSection();             config.Save();             // Refresh the Web.config display             DisplayWebConfig();         } } 这2个按钮的事件处理器的代码几乎是一样的.它们一开始都通过WebConfigurationManager class类的OpenWebConfiguration方法获取当前应用程序的Web.config文件的信息. 该方法根据指定的有效路径返回web配置文件。接下来，再通过Configuration class类的GetSection(sectionName)方法访问Web.config文件的<connectionStrings>节点.该方法返回一个ConfigurationSection对象. 该ConfigurationSection对象包含了一个SectionInformation属性，用来阐述加密节点的其它相关信息. 就像上面的代码显示的那样，我们通过查看SectionInformation的IsProtected属性来判断是否对配置节点进行了加密.此外，还可以通过SectionInformation的ProtectSection(provider) 和 UnprotectSection方法对节点进行加密或解密. ProtectSection(provider)方法有一个字符串类型的输入参数，该参数指定了用来加密的protected configuration provider的名称。在EncryptConnString按钮的事件处理器里，我们将“DataProtectionConfigurationProvider”传递给ProtectSection(provider)方法，因此指明了用到的是DPAPI provider.而UnprotectSection方法可以确定加密时用到的provider，因此不需要任何的输入参数. 调用ProtectSection(provider) 或 UnprotectSection方法后，我还必须调用Configuration对象的Save method方法来进行具体的操作. 一旦完成加密或解密并保存后，我们调用DisplayWebConfig方法将更新后的Web.config文件的内容上传到TextBox控件. 键入上述代码后，在浏览器里测试EncryptingConfigSections.aspx页面，最开始你将看到页面将Web.config文件的<connectionStrings>节点的内容以纯文本的形式展示出来.   图3：显示<connectionStrings>节点的内容 现在，点击“Encrypt Connection Strings”按钮，如果“请求确认”(request validation)处于激活状态的话，回传页面时将抛出一个HttpRequestValidationException异常，显示一个消息：“A potentially dangerous Request.Form value was detected from the client.”。这个Request validation，在ASP.NET 2.0里默认为处于激活状态，禁止服务器接受含有未编码的HTML的内容，它被设计来保护服务器免受注入式脚本的攻击.可以从页面或应用程序来禁止该功能.我们在该页禁用它，在页面声明代码的顶部的的@Page标记里ValidateRequest设置为false，如下： <%@ Page ValidateRequest="False" ... %> 在禁用该功能后，再次点击“Encrypt Connection Strings”按钮，页面回传后就可以访问配置文件了，并用DPAPI provider对<connectionStrings>节点进行加密. TextBox控件然后将Web.config文件更新后的内容显示出来，如图4所示，<connectionStrings>节点的信息现在已经被加密了. 图4：点击“Encrypt Connection Strings”按钮对<connectionString>节点进行加密 在加密前，我暂时地将<CipherData>元素里的内容转移了： <connectionStrings     configProtectionProvider="DataProtectionConfigurationProvider"> <EncryptedData>     <CipherData>       <CipherValue>AQAAANCMnd8BFdERjHoAwE/...zChw==</CipherValue>     </CipherData> </EncryptedData> </connectionStrings> 注意： <connectionStrings>元素指定了用来加密的provider(即DataProtectionConfigurationProvider).当点击“Decrypt Connection Strings”按钮时UnprotectSection方法将会用到该信息.对于加密的连接字符串，系统可以自动的对其解密.简而言之，我们不需要再对加密的<connectionString>节点添加任何其它的代码。我们来做个验证，打开以前的教程，比如(~/BasicReporting/SimpleDisplay.aspx页面)，如图5所示，页面像我们期望的那样工作正常，这就表明了经过加密的连接字符串被ASP.NET页面自动解密了.   图5：数据访问层自动解密连接字符串信息 为将加密的<connectionStrings>节点恢复到纯文本样式，点击“Decrypt Connection Strings”按钮。页面回传后，你将看到Web.config文件里的连接字符串恢复到纯文本样式.此时，屏幕开起来像是最初登录的样子(见图3) 第三步：用aspnet_regiis.exe对配置节点进行加密 .NET Framework包含了很多的命令行工具，可以在$WINDOWS$/Microsoft.NET/Framework/version/ folder文件夹里找到这些工具.以第61章《Using SQL Cache Dependencies》为例，我们用aspnet_regsql.exe命令行工具为SQL缓存依赖添加里必要的体系结构.该文件夹里的另一个有用的工具是ASP.NET IIS Registration tool (aspnet_regiis.exe). 就像其名字暗示的那样，这个ASP.NET IIS Registration工具主要用来在微软专业Web server，IIS上注册ASP.NET 2.0应用程序. 除了其与IIS相关的属性外，该ASP.NET IIS Registration工具也可以对Web.config文件的配置节点进行加密和解密. 下面的是使用aspnet_regiis.exe命令行工具对配置节点加密的常规代码： aspnet_regiis.exe -pef section physical_directory -prov provider 其中section是要加密的配置节点(比如“connectionStrings”)；physical_directory 为web应用程序根节点的完整物理路径；provider是用到的protected configuration provider的名称(比如“DataProtectionConfigurationProvider”). 另外，如果你将web应用程序在IIS里进行了注册了的话，你就可以用相当路径来代替绝对路径： aspnet_regiis.exe -pe section -app virtual_directory -prov provider 下面为使用aspnet_regiis.exe的例子，它用DPAPI provider，机器级密匙，对<connectionStrings>节点进行加密： aspnet_regiis.exe -pef "connectionStrings" "C:/Websites/ASPNET_Data_Tutorial_73_CS" -prov "DataProtectionConfigurationProvider" 类似的，该aspnet_regiis.exe命令行工具也可以用来解密配置节点，不过我们要将-pef替换成-pdf或-pd。当然，解密时不需要指定provider名称. aspnet_regiis.exe -pdf section physical_directory -- or -- aspnet_regiis.exe -pd section -app virtual_directory 注意： 由于我们使用的是DPAPI provider，它使用的密匙是又电脑指定的，所以你必须在存储web页面的同一台电脑上运行aspnet_regiis.exe工具. 比如，你在本地电脑上运行这个命令行，然后又将加了密的连接字符串上载到另一个服务器上，该服务器就无法对其进行解密，因为加密的密匙是在本地电脑上指定的.如果是使用RSA provider的话就不存在这种局限性，因为RSA provider可以将密匙(RSA keys)传递给另一台电脑. 理解Database Authentication Options 在任何应用程序向Microsoft SQL Server数据库发出SELECT,INSERT,UPDATE,或DELETE请求之前，数据库首先要确定请求者的身份.该过程可分为2种验证模式：authentication 和 SQL Server provides: .Windows Authentication：在Visual Studio 2005的ASP.NET Development Server里运行一个ASP.NET应用程序时,ASP.NET应用程序假定身份(identity)为当前登录用户。而如果运行在Microsoft Internet Information Server (IIS)上的话，ASP.NET应用程序假定身份(identity)为domainName/MachineName or domainName/NETWORK SERVICE,，虽然这些都可以用户定制. .SQL Authentication：验证的时候需要提供用户ID和password，使用SQL authentication的话，可以由连接字符串来提供ID和password. 一般使用Windows authentication模式，因为其更安全.在Windows authentication模式下，连接字符串不需要用户名和密码，并且如果web服务器和数据库服务器分属不同的电脑的话，(credentials)认证在网络间传输时并不以纯文本格式传输.而如果是SQL authentication模式的话，将对连接字符串进行硬编码，且认证在web服务器和数据库服务器之间以纯文本格式进行传输. 本教程使用的是Windows authentication.我们可以通过连接字符串来查看到底使用的是哪种认证。本教程的Web.config文件的连接字符串如下： Data Source=./SQLEXPRESS; AttachDbFilename=|DataDirectory|/NORTHWND.MDF; Integrated Security=True; User Instance=True 术语“Integrated Security=True”，以及缺少用户名和密码都表明我们使用的是Windows authentication模式。不过在一些连接字符串里用术语“Trusted Connection=Yes” 或 “Integrated Security=SSPI”来替换“Integrated Security=True”, 不过它们都表明使用的是Windows authentication. 下面的代码显示使用的是SQL authentication： Server=serverName; Database=Northwind; uid=userID; pwd=password 假想某个攻击者可以查看你的应用程序的Web.config文件。如果你使用的是SQL authentication模式通过Internet连接到数据库，攻击者可以利用连接字符串通过SQL Management Studio或他自己网站上的ASP.NET页面连接到你的数据库.为降低风险，我们需要对Web.config文件的连接字符串进行加密. 注意： 关于SQL Server里不同认证模式的更多信息应参阅文章《Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication》(http://msdn2.microsoft.com/en-us/library/aa302392.aspx);关于Windows 和 SQL authentication不同之处的更多示例，应参阅ConnectionStrings.com网站. 结语： 默认情况下，ASP.NET应用程序里的所有以.config为后缀的文件都不能通过浏览器访问.这是因为这些文件可能包含了一些敏感信息，比如：数据库连接字符串、用户名和密码等。 .NET 2.0包含的保护配置系统可以通过对指定的配置节点进行加密来加以保护.有2种内置的protected configuration providers:一个使用RSA运算法则，而另一个使用Windows Data Protection API (DPAPI). 本文考察了使用DPAPI provider来对配置信息进行加密和解密.我们可以通过编程的方式，就像在第2步探讨的那样；也可以通过使用aspnet_regiis.exe命令行工具，就像在第3步探讨的那样。关于使用RSA provider及用户级密匙的更多信息请参考本文的外延阅读.   转自：http://hi.baidu.com/franchise3/blog/item/31ab89254463f139c8955983.html     另一篇文章（scg）： web.config加密解密批处理 发布时间: 2009-8-15 00:00 |  发布作者: catao |   |  查看: 21次 打开.Net Framework附带的SDK命令提示符。 加密命令： aspnet_regiis -pe "connectionStrings" -app "/encrypttest" -pe开关用来指定web.config中需求加密的节（Web.Config文档中的connectionStrings配置节）。 -app开关用来指定IIS里面的虚拟列表，假如为根列表互联网，为"/". 解密命令： aspnet_regiis -pd "connectionStrings" -app "/encrypttest" 唯一的区别就，咱们用-pd开关代替了-pe开关。 1、加密EncryptWebConfig.bat @echo off C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -pef "connectionStrings" "D:/Program Files/Microsoft.NET/ Pet Shop 4.0Web" PAUSE 2、解密DecryptWebConfig.bat @echo off C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/aspnet_regiis.exe -pdf "connectionStrings" "D:/Program Files/Microsoft.NET/ Pet Shop 4.0Web" PAUSE 解决窍门是： 进dos运行：aspnet_regiis -pa "NetFrameworkConfigurationKey" "NT AUTHORITY/NETWORK SERVICE" 假如运行出错，需求把列表 C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727 放入环境变量path中。 此时就能够胜利来访互联网了。 同样能够经过命令行来呈现“RSAProtectedConfigurationProvider”加密 目前把找到文档附在下面: 咱们假如想对web.config的数据库Databnse连接字符串停止加密的话，那么那里帮助了两个窍门。 窍门一、 应用“DataProtectionConfigurationProvider”形式加密，创建test.aspx文档，代码Code如下： 需求添加引用 using System.Web.Configuration; using System.IO; //加密 protected void Button1_Click(object sender, EventArgs e) { Configuration config = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath); ConfigurationSection section = config.GetSection("connectionStrings"); if (section != null && !section.SectionInformation.IsProtected) { section.SectionInformation.ProtectSection("DataProtectionConfigurationProvider"); config.Save(); } } //解密 protected void Button2_Click(object sender, EventArgs e) { Configuration config = WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath); ConfigurationSection section = config.GetSection("connectionStrings"); if (section != null && section.SectionInformation.IsProtected) { section.SectionInformation.UnprotectSection(); config.Save(); } } 总结：此窍门很方便，并且很简单，但安全safe性没有密钥加密高。 窍门二、 应用“RSAProtectedConfigurationProvider”形式来加密 test.aspx程式文档基本如上， 把 section.SectionInformation.ProtectSection("DataProtectionConfigurationProvider"); 改成 section.SectionInformation.ProtectSection("RSAProtectedConfigurationProvider"); 但那个时候你来访互联网的时候很有估计会呈现 说明: 在处理向该请求帮助效劳所需的配置文档时出错。请检查下面的特定错误详细消息并适当地改正配置文档。 考虑器错误消息: 未能应用帮助程式“RsaProtectedConfigurationProvider”停止解密。帮助程式返回错误消息为: 打不开 RSA 密钥容器。 那样的错误,解决窍门是： 进dos运行：aspnet_regiis -pa "NetFrameworkConfigurationKey" "NT AUTHORITY/NETWORK SERVICE" 假如运行出错，需求把列表 C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727 放入环境变量path中。 此时就能够胜利来访互联网了。 同样能够经过命令行来呈现“RSAProtectedConfigurationProvider”加密 留意：你也能够不运行 aspnet_regiis -pa "NetFrameworkConfigurationKey" "NT AUTHORITY/NETWORK SERVICE"命令来注册默认的 RsaProtectedConfigurationProvider 的RSA 密钥容器 窍门如下： １）创建唯一可导出的rsa密钥容器，命名为Key aspnet_regiis -pc "Key" -exp ２）在你要加密的消息前面指定密钥容器，如： 　　　　　 type="System.Configuration.RsaProtectedConfigurationProvider, System.Configuration, Version=2.0.0.0,Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a, processorArchitecture=MSIL" 　　　　　 keyContainerName="Key" 　　　　　 useMachineContainer="true"/> providerName="System.Data.SqlClient" /> 并且确保在configuration节的xmlns属性有如下值： ３）对配置文档停止加密 aspnet_regiis -pef "connectionStrings" "E:/project/Test" -prov "KeyProvider" 参数parameter分别为：需求加密的配置节、项目所在列表的物理路径、加密所应用的密钥容器名字 再看web.config文档，就会发明connectionStrings节已经被加密了，但是运行程式会发明程式仍然能够正确来访数据库Databnse。 此时，只需运行： aspnet_regiis -pdf "connectionStrings" "E:/project/Test" 就能够对web.config文档停止解密。 （留意，假如还那样有错误，那估计是您没有给生成的密匙文档足够的权限，去到 C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/RSA/MachineKeys 列表下， 找到刚生成的密匙文档，把network service用户的读取权限赋予给它，就能够了，直接用命令的话也能够：命令如下 aspnet_regiis -pa "Key" "NT AUTHORITY/NETWORK SERVICE" ，估计需求重新启动iis） ４）把密钥容器导出为xml文档 aspnet_regiis -px "Key" "e:/Key.xml" 那个命令只导出公钥，因此以后只能用于加密，而无法解密。 aspnet_regiis -px "Key" "e:/Keys.xml" -pri 那个则连私钥一起导出了，所以咱们要用那个。 ５）把密钥容器删除 aspnet_regiis -pz "Key" 删除后再运行程式，会提示出错： 考虑器错误消息: 未能应用帮助程式“KeyProvider”停止解密。帮助程式返回错误消息为: 打不开 RSA 密钥容器。 同理能够证明，在任何一台未安装正确的密钥容器Key的机器上，程式都无法对connectionStrings节停止解密，因此也就无法正常运行。 ６）导入key.xml文档 aspnet_regiis -pi "Key" "e:/Keys.xml" 此时，再运行程式会发明又能够解密了。证明加密与解密机制运行正常。 最后说一下那个机制所帮助的安全safe性保障能够运用在什么方面： 对winform程式的app.config停止加密实际意义并不大，由于无论问号，客户机都能够经过运行aspnet_regiis -pdf 来对配置文档停止解密，从而暴露敏感消息。 对于web.config停止加密的意义也仅限于，当web.config文档不小心泄露时，不会同时泄露敏感消息，假如使坏攻击者已经取得了在效劳器上运行程式的权限，那么同app.config相同，能够很简易经过经过运行aspnet_regiis -pdf 获取明文了。 还有，经过aspnet_regiis -pa "Key" "NT AUTHORITY/NETWORK SERVICE"控制对不相同用户对密钥容器的来访权限，因该还能够进一步获取一部份安全safe性，比如能够控制某些用户即使登录到效劳器上，也无法用aspnet_regiis -pdf对配置文档停止解密。