那些年朋友劝,该知道的ASP.NET -如何加密ASP.NET配置数据

ASP.NET 2.0推出了一个受保护的配置(protected configuration)特性,允许您使用数据加密API(DPAPI)或RSA加密对machine.config和web.config文件进行加密。开发者一直希望这种类型的功能,以便可以对连接字符串、账户证书等敏感数据加以保护。

可以进行加密的部分:

   appSettings:定义和存储定制应用值。

   connectionStrings:通过数据库连接字符串访问外部数据源。

   Identity:包含Web应用程序身份,其中可能包括模拟证书。

   SessionState:给当前应用程序配置会话状态设置。

这个工具包含大量的命令行选项,包括加密(pef)和解密(pdf)。您可以使用/?选项获得帮助。加密选项利用DPAPI加密数据。

加密

例:aspnet_regiis-pef "connectionStrings" "c:inetpubwwwroottrconfig"

   aspnet_regiis:ASP.NET IIS注册工具。

   -ped:加密一个配置文件配置部分的命令行选项。

    “connectionStrings”:被加密部分的名称。

    “c:inetpubwwwroottrconfig”:本地网站的物理地址。

解密

例:aspnet_regiis-pdf "connectionStrings" "c:inetpubwwwroottrconfig"

以上方法测试可以用,但存在一个问题:在IIS的配置界面内还是可以看到配置信息的,网站à属性àASP.NETà编辑配置

 

加密和解密配置节

可以使用 ASP.NET IIS 注册工具 (Aspnet_regiis.exe) 加密或解密 Web 配置文件的各节。在处理Web.config 文件时,ASP.NET 将自动解密已加密的配置元素。

Aspnet_regiis.exe 工具位于%windows%\Microsoft.NET\Framework\versionNumber 文件夹中。

加密 Web 配置节

要加密配置文件的内容,应将 Aspnet_regiis.exe 工具与 –pe 选项以及要加密的配置元素的名称一起使用。

使用–app 选项可标识将加密其 Web.config 文件的应用程序,使用 -site 选项可标识该应用程序所属的网站。

使用–prov 选项可标识将执行加密和解密的 ProtectedConfigurationProvider 的名称。如果未使用 -prov 选项指定提供程序,将使用配置为 defaultProvider 的提供程序。

注意

如果您使用的是指定自定义密钥容器的 RsaProtectedConfigurationProvider 实例,则必须在运行 Aspnet_regiis.exe 工具前创建密钥容器。

例:aspnet_regiis-pe "connectionStrings" -app "/SampleApplication" -prov"RsaProtectedConfigurationProvider"

注意

要解密和加密 Web.config 文件的某一节,ASP.NET 进程必须具有读取适当加密密钥信息的权限。

授予对 RSA 密钥容器的访问权限

默认情况下,RSA 密钥容器受到所在服务器上的NTFS 访问控制列表 (ACL) 的严密保护。这样能够限制可以访问加密密钥的人员,从而增强加密信息的安全性。

例:aspnet_regiis-pa "SampleKeys" "NT AUTHORITY\NETWORK SERVICE"

 

C#对配置文件进行加密和解密

public void encryption()//加密

{

Configuration config =WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);

ConfigurationSection configSection =config.GetSection("appSettings");

if(!configSection.SectionInformation.IsProtected)

{

configSection.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");

config.Save();

}

}

 

public void decryption()//解密

 

{

Configuration config =WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);

ConfigurationSection configSection =config.GetSection("appSettings");

if(configSection.SectionInformation.IsProtected)

{

configSection.SectionInformation.UnprotectSection();

config.Save();

}

}


 

解密 Web 配置节

要解密已加密的配置文件内容,应将 Aspnet_regiis.exe 工具与 -pd 开关以及要解密的配置元素的名称一起使用。使用 –app 和 -site 开关可标识将解密其 Web.config 文件的应用程序。无需指定 –prov 开关来标识 ProtectedConfigurationProvider 的名称,因为该信息是从受保护配置节的 configProtectionProvider 属性中读取的。

例:aspnet_regiis -pd "connectionStrings" -app"/SampleApplication"

部分信息摘于:http://msdn.microsoft.com/zh-cn/library/zhhddkxy%28v=VS.80%29.aspx

 

还有一种简单的加密方法

System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(pwd,"MD5"); 

1、md5不是加密算法,而是散列算法,数据变换过程和结果是不可逆的,即无法从md5编码逆向生成原文。

2、称作加密的,一定需要相应的解密,即数据变换必须是可逆的,或称双向的;简单举几个例子来说明什么叫可逆和不可逆:A=B+5,则B=A-5,可逆,异或运算也是可逆的;A=B%5(A等于B除以5之后的余数),则A的范围是0~4,假设为3,能够确定B吗?不行,3、8、13等都成立,这就是不可逆,“与、或”运算也是不可逆的。

3、md5编码实际上就是md5散列值,该值可以视作原始数据的摘要或者指纹,可以想象一下:根据新闻的摘要,能够还原出新闻的全文吗?根据一个人的指纹,就能知道这个人的所有信息吗(如性别、身高、体重、肤色等)?

4、md5经常被误以为是加密的根源是以下场景:对各种系统中的身份认证来说,“用户名+密码”的模式非常简单,故大量存在,很多编程人员为了将“密码”不明示,就对密码串进行md5散列,在数据库或文件中保存md5编码;但是,千万要注意,真正到了鉴别用户身份是否合法的时候,不是通过早先记录下来的md5编码生成原文再与用户当场输入的密码串进行比较,而是将用户当场输入的密码串也实施md5变换,比较的是前后两次生成的md5编码串。


©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页