ASP.NET應用程式的安全方案(三)—安全通訊

來源:互聯網
上載者:User
asp.net|安全|程式 摘要:本文ASP.NET應用程式安全的概念,介紹了各種安全通訊技術並進行了比較。


關鍵字:安全通訊 SSL IPSec RPC ASP.NET WEB應用


1. 前言
任何成功的應用程式安全性原則的基礎都是穩固的身分識別驗證和授權手段,以及提供機密資料的保密性和完整性的安全通訊。
許多應用程式在應用程式的各層之間傳輸機密資料:從資料庫到瀏覽器,或者相反。機密資料的例子包括銀行賬戶的詳細資料、信用卡號碼和薪金資料等。另外,當登入憑據在網路上傳輸時,應用程式必須保證憑據資訊的安全。

2. 安全通訊的特性
2.1 .保密性(privacy)
保密性用於確保資料的機密性,不能被那些可能安裝有網路監視軟體的竊聽者看到。通常通過加密來提供保密性。

2.2 完整性(integrity)
安全通訊通道必須確保資料在傳輸過程中不會有意或無意被修改。通常通過訊息驗證碼(MAC,Message Authentication Code)來提供完整性。

3. 安全通訊技術
3.1 安全套接層
安全套接層(Secure Sockets Layer)技術最常用於保護瀏覽器和Web伺服器之間的通道。不過也可以用於保護往返於運行了SQL Server 2000 的資料庫伺服器和WEB服務訊息和通訊。
當應用SSL時,用戶端使用HTTP協議並指定一個https://URL,而伺服器在TCP連接埠443上偵聽。

使用SSL後,由於SSL使用複雜的加密功能來對資料進行加密和解密,因此對應用程式的效能會產生影響,所以應改最佳化使用SSL的頁面。
在使用基本驗證和表單身分識別驗證時,因為是以明文的形式傳遞使用者名稱和密碼,因此應該使用SSL。一般說來,不但要在登入頁面使用,在後續的頁面上也應該使用SSL。

3.2 網際網路通訊協定安全性
網際網路通訊協定安全性(IPSec, Internet Protocol Security)提供了一種傳輸層安全通訊解決方案,可以保護兩個電腦之間-例如,一個應用程式伺服器和一個資料庫伺服器之間-來回傳遞資料。
IPSec 可以用於:

通過對兩台電腦之間來回傳送的所有資料進行加密來提供訊息的保密性。
在兩台電腦之間提供訊息完整性(不對資料進行加密)。
在兩台電腦之間(不是使用者之間)提供相互的身分識別驗證。
限制哪些電腦可以相互進行通訊。也可以將通訊限制為使用特定的IP協議和TCP/UDP連接埠。
3.3 遠端程序呼叫加密
遠端程序呼叫(RPC,Remote Procedure Call)加密,由分布式COM(DCOM)使用的RPC協議提供的一種身分識別驗證層級,這種層級將使得在用戶端和伺服器之間傳送的每個資料包都被加密。

4. 角色的授權的模式
《ASP.NET應用程式的安全方案(一)-身分識別驗證》。
《ASP.NET應用程式的安全方案(二)-授權》。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。