一、 簡介
當創建ASP.NET 2.0應用程序時,開發者通常都把敏感的配置信息存儲在Web.config文件中。最典型的示例就是數據庫連接字符串,但是包括在Web.config文件中的其它敏感信息還包括SMTP服務器連接信息和用戶憑證數據,等等。盡管默認情況下可以配置ASP.Net以拒絕所有對擴展名為.config的文件資源的HTTP請求;但是,如果一個黑客能夠存取你的web服務器的文件系統的話,那麼,Web.config中的敏感信息仍然能夠被竊取。例如,也許你不小心允許匿名FTP存取你的網站,這樣以來就允許一個黑客簡單地通過FTP協議下載你的Web.config文件。
幸好,通過允許加密Web.config文件中選擇的部分,例如<connectionStrings>節,或你的應用程序使用的一些定制config節,ASP.NET 2.0有助於緩解這個問題。配置部分能夠很容易地使用編碼或aspnet_regIIS.exe(一個命令行程序)預以加密。一旦被加密,Web.config設置即可避開"虎視眈眈"的眼睛。而且,當以編程方式從你的ASP.NET頁面中檢索加密的配置設置時,ASP.Net會自動地解密它讀取的加密部分。簡言之,一旦配置信息被加密,你就不需要在你的應用程序中編寫任何其它代碼或采取任何進一步的行為來使用該加密數據。
在本文中,我們將討論如何以編程方式加密和解密該配置設置部分,並且分析一下命令行程序aspnet_regIIS.exe的使用。然後,我們將評估ASP.NET 2.0提供的加密選項。另外,還會簡短地討論一下如何加密ASP.Net版本1.x中的配置信息。
二、 前提
在我們開始探討如何加密ASP.Net 2.0配置信息之前,請記住下列幾點:
1. 所有形式的加密都會包含某種秘密,而當加密和解密數據時都要使用這一秘密。對稱加密算法在加密和解密一個消息時使用同一把密鑰,而非對稱加密算法對於加密和解密卻使用不同的密鑰。無論使用哪種技術,最重要的還是看解密密鑰的安全保存程度。
2. ASP.NET 2.0提供的配置加密技術的設計目的在於,力圖阻止能夠以某種方式檢索你的配置文件的黑客的入侵。其實現思想是,如果在黑客的計算機上有你的Web.config文件;那麼,他不能破解該加密的部分。然而,當web服務器上的一個ASP.NET頁面從一個加密的配置文件請求信息時,該數據必須被解密才能使用(並且這時不需要你編寫任何代碼)。因此,如果一個黑客能夠把一個能夠查詢配置文件並顯示它的結果的ASP.NET web頁面上傳到你的系統,那麼,他就能夠以普通文本方式觀看被加密的設置。(詳細情況請參考本文提供的示例ASP.NET頁面,它展示了加密和解密Web.config文件中各部分的方法;如你所見,一個ASP.Net頁面能夠存取(並顯示)該加密數據的普通文本形式)
3. 加密和解密配置信息需要付出一定的性能代價。因此,通常是僅加密包含敏感信息的配置部分。比如說,可能不需要加密<compilation>或<authorization>配置部分。
三、 加密何種信息
在我們分析如何加密ASP.NET 2.0配置信息前,讓我們首先來看一下能夠加密什麼配置信息。使用.Net框架2.0提供的庫,開發人員能夠加密在Web.config或Machine.config文件中的絕大多數的配置部分。這些配置部分是一些作為<configuration>或<system.web>元素子結點的XML元素。例如,下面的示例Web.config文件中含有三個配置設置,顯式地定義為:
<connectionStrings>,<compilation>和<authentication>。
<?XML version="1.0"?>
<configuration XMLns="http://schemas.microsoft.com/.NetConfiguration/v2.0">
<connectionStrings>
<add name="MembershipConnectionString" connectionString="connectionString"/>
</connectionStrings>
<system.web>
<compilation debug="true"/>
<authentication mode="Forms" />
</system.web>
這些節中的每一個都可以有選擇地被加密,或者通過編程方式或通過ASPnet_regIIS.exe(一個命令行工具)實現。當被加密時,加密後的文本直接存儲在配置文件中。例如,如果我們要加密上面的<connectionStrings>節,那麼結果Web.config文件可能看起來如下所示:(注意:篇幅所限,我們省略了一大塊<CipherValue>)
<?XML version="1.0"?>
<configuration XMLns="http://schemas.microsoft.com/.NetConfiguration/v2.0">
<connectionStrings configProtectionProvider="DataProtectionConfigurationProvider">
<EncryptedData>
<CipherData>
<CipherValue>AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAed...GicAlQ==</CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
<system.web>
<compilation debug="true"/>
<authentication mode="Forms" />
</system.web>
另外,存在一些你不能使用這個技術加密的配置部分:
· <processModel>
· <runtime>
· <mscorlib>
· <startup>
· <system.runtime.remoting>
· <configProtectedData>
· <satelliteassemblIEs>
· <cryptographySettings>
· <cryptoNameMapping>
· <cryptoClasses>
為了加密這些配置部分,你必須加密這些值並把它存儲在注冊表中。存在一個ASPnet_setreg.ex
e命令行工具可以幫助你實現這一過程;我們將在本文後面討論這個工具。
【提示】Web.Config和Machine.Config之區別:
Web.config文件指定針對一個特定的web應用程序的配置設置,並且位於應用程序的根目錄下;而Machine.config文件指定所有的位於該web服務器上的站點的配置設置,並且位於$WindowsDIR$\Microsoft.Net\Framework\Version\CONFIG目錄下。
四、加密選項
開發人員可以使用ASP.NET 2.0提供程序模型來保護配置節信息,這允許任何實現都可以被無縫地插入到該API中。.Net框架2.0中提供了兩個內置的提供程序用於保護配置節信息:
· Windows數據保護API(DPAPI)提供程序(DataProtectionConfigurationProvider):這個提供程序使用Windows內置的密碼學技術來加解密配置節。默認情況下,這個提供程序使用本機的密鑰。你還能夠使用用戶密鑰,但是這要求進行一點定制。
· RSA保護的配置提供程序(RSAProtectedConfigurationProvider):使用RSA公鑰加密來加解密配置節。使用這個提供程序,你需要創建存儲用於加解密配置信息的公鑰和私鑰的密鑰容器。你能夠在一個多服務器場所下使用RSA,這只要創建可輸出的密鑰容器即可。
當然,如果需要的話,你還能夠創建自己的保護設置提供程序。
在本文中,我們僅討論使用DPAPI提供程序使用機器級密鑰。到目前為止,這是最簡單的方法,因為它不請求創建任何密鑰或密鑰容器。當然,其消極的一面在於:一個加密的配置文件僅能夠用於首先實現加密的web服務器上;而且,使用機器密鑰將允許加密的文本能夠被web服務器上的任何網站所解密。
五、以編程方式加密配置部分
System.Configuration.SectionInformation類對一個配置節的描述進行了抽象。為了加密一個配置節,只需要簡單地使用SectionInformation類的ProtectSection(提供程序)方法,傳遞你想使用的提供程序的名字來執行加密。為了存取你的應用程序的Web.config文件中的一個特定的配置節,你可以使用WebConfigurationManager類(在System.Web.Configuration命名空間中)來引用你的Web.config文件,然後使用它的GetSection(sectionName)方法返回一個ConfigurationSection實例。最後,你可以經由ConfigurationSection實例的SectionInformation屬性得到一個SectionInformation對象。
下面,我們通過一個簡單的代碼示例來說明問題:
privatevoid ProtectSection(string sectionName, string provider)
{
Configuration config = WebConfigurationManager.
OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection section = config.GetSection(sectionName);
if (section != null &&!section.SectionInformation.IsProtected)
{
section.SectionInformation.ProtectSection(provider);
config.Save();
}
}
private void UnProtectSection(string sectionName) {
Configuration config =WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection section = config.GetSectio n(sectionName);
if (section != null && section.SectionInformation.IsProtected)
{
section.SectionInformation.UnprotectSection();
config.Save();
}
你可以從一個ASP.Net頁面中調用這個ProtectSection(sectionName,provider)方法,其相應的參數是一個節名(如connectionStrings)和一個提供程序(如DataProtectionConfigurationProvider),並且它打開Web.config文件,引用該節,調用SectionInformation對象的ProtectSection(provider)方法,最後保存配置變化。
另一方面,UnProtectSection(provider)方法實現解密一個特定的配置節。在此,僅需要傳入要解密的節-我們不需要麻煩提供程序,因為該信息已經存儲在伴隨encrypted節的標記中(也即是,在上面的示例中的<connectionStrings>節,在被加密以後,它包含了提供程序:<connectionStringsconfigProtectionProvider="DataProtectionConfigurationProvider">)。
記住,一旦該數據被加密,當從一個ASP.NET頁面讀取它時(也即是,從一個SqlDataSource控件或以編程方式經由ConfigurationManager.ConnectionStrings[connStringName].ConnectionString讀取該連接字符串信息),ASP.Net會自動地解密該連接字符串並且返回普通文本值。換句話說,在實現加密後,你一點不需要改變你的代碼。相當酷,對不對?
從本文下載的示例ASP.Net 2.0網站中,你會發現有一個示例頁面,它展示了該站點的Web.config文件,其中有一個多行TextBox,還提供了相應的Web控件按鈕用於加密配置文件的各個部分。這個示例中也使用了上面已經討論過的ProtectSection()和UnProtectSection()方法。
六、 使用命令行工具ASPnet_regIIS.exe
你還能夠使用ASPnet_reg
IIS.exe命令行工具來加密和解密Web.config文件配置部分,你可以在"%WindowsDIR%\Microsoft.Net\Framework\version"目錄下找到這個工具。為了加密Web.config文件中的一個節,你可以在這個命令行工具中使用DPAPI機器密鑰,如下所示:
加密一個特定網站的Web.config文件的通用形式:
ASPnet_regIIS.exe -pef section physical_directory -prov provider
或:
ASPnet_regIIS.exe -pe section -app virtual_directory -prov provider
加密一個特定網站的Web.config文件的具體實例:
ASPnet_regIIS.exe -pef "connectionStrings" "C:\Inetpub\wwwroot\MySite" -prov "DataProtectionConfigurationProvider"
或:
ASPnet_regIIS.exe -pe "connectionStrings" -app "/MySite" -prov "DataProtectionConfigurationProvider"
解密一個特定網站的Web.config文件的通用形式:
ASPnet_regIIS.exe -pdf section physical_directory
或:
ASPnet_regIIS.exe -pd section -app virtual_directory
解密一個特定網站的Web.config文件的具體實例:
ASPnet_regIIS.exe -pdf "connectionStrings" "C:\Inetpub\wwwroot\MySite"
或:
你還能夠指定由ASPnet_regIIS.exe來執行Machine.config文件的加密/解密。
【提示】 加密ASP.Net版本1.x中的配置設置
為了保護ASP.NET版本1.x中的配置設置,開發者需要加密並把敏感的設置存儲在web服務器的注冊表中,並以一種"強"鍵方式存儲。配置文件中不是存儲加密的內容(如ASP.Net 2.0那樣),而只是包含一個到存儲該加密值的注冊表鍵的引用。例如:
<identity impersonate="true"
userName="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,userName"
passWord="registry:HKLM\SOFTWARE\MY_SECURE_APP\identity\ASPNET_SETREG,passWord" />
微軟為開發人員提供了aspnet_setreg.exe命令行工具,用於加密敏感的配置信息並且把它移動到一個"強"注冊表入口處。遺憾的是,這個工具僅針對特定的配置設置工作;相比之下,ASP.Net 2.0允許加密任何配置節。
有關於在一個ASP.Net 1.x應用程序中使用ASPnet_setreg.exe的更多信息請參考MSDN中的KB#32990。遺憾的是,這個命令行程序僅能加密配置設置中的預定義的節,並且不允許你加密你自己添加的數據庫連接字符串和其它敏感信息。
七、 結論
在本文中,我們學習了如何使用ASP.NET 2.0提供的不同的加密選項來保護配置節信息,還討論了如何使用編程技術和aspnet_regIIS.exe來分別加密Web.config中的配置節。保護你的敏感的配置設置有助於確保你的站點更難於被黑客攻擊-通過使其更難於發現敏感的配置設置。如今,ASP.Net 2.0已經提供了相對容易的加密和解密技術,開發者毫無理由不使用這種方式來保護你的敏感的配置設置。