本论文是一篇关于数据库论文网,关于基于ASP.Net的Web应用程序安全策略、安全体系设计相关函授毕业论文范文。免费优秀的关于数据库及用户及安全管理方面论文范文资料,适合数据库论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。
摘 要:Web应用存在于每个行业,面临着无处不在且不断增长的安全威胁.为此如何在网络中保证Web应用系统不受非法用户侵害成为当今系统开发需要解决的重要问题.Asp.Net是当前Web开发的主流技术之一,文章从Asp.Net技术简介入手,重点从身份验证与授权两方面论述了基于Asp.Net技术的应用系统安全策略、安全体系设计.
关 键 词:Asp.Net;Web应用;安全;身份验证;授权
该文网址 http://www.sxsky.net/benkelunwen/060116271.html
中图分类号:TP311.10
1ASP.Net技术介绍
1.1ASP.Net技术特点
Asp.Net是Microsoft公司推出的以.NetFramework为平台的动态Web开发技术.将传统ASP动态Web开发技术与.NETFramework相结合,使得Web应用程序的开发更快速、高效、敏捷、安全..NET提供了一种新环境,在这个环境中,可以开发出运行在Windows上的几乎所有应用程序.ASP.Net并不是ASP的简单升级,它使用.NetFramework中的各种服务器端编译型语言,支持.Net服务器控件、WebForm、ADO.NET、LINQ等高级特性.如今,很多互联网网站以及面向企业的Web应用系统都采用了Asp.Net技术,Asp.Net已经成为Web应用的主流技术之一.
这一技术具有世界级的工具支持,例如可以使用Microsoft公司最新的产品VisualStudio.进行开发;ASP.Net技术具有极强的适应性,由于ASP.Net是使用通用语言进行编译的运行程序,通用的语言基本库、数据机制以及消息机制的处理都可以实现与ASP.Net的Web应用的无缝整合.同时加之ASP.Net表现出语言独立性,使用者可以选用一种合适的语言进行程序的编写或者以多种语言编写.例如现在支持的编写语言有VB、C#、C++、Jscript以及F++等.这一技术具有简单、易学性,使用这一技术使得一些平常的任务,例如分布系统、客户端身份验证以及网站配置较为方便;具有高效可管理性.
1.2ASP.Net安全机制
ASP.Net技术的安全性支持有两种方式:验证与授权.其中ASP.Net技术的验证有三种:Windows验证、Passport验证、Forms身份验证机制.ASP.Net的授权方式一般有两种,一种是URL授权,另一种是使用角色进行授权.前者是由开发人员设置URL来给与权限,后者通过ASP.Net检查文件的访问控制表来实现对于授权的访问权限.
2Web应用程序安全体系
2.1Web应用程序安全体系概述
信息技术及计算机网络技术的不断发展要求我们着重考虑网络安全管理,为此需要制定一系列的安全规范来强化安全管理.Web应用程序安全体系应该包括信息的采集、传输、存储以及处理、应用等各个方面.主要的安全措施一般基于以下四个概念:首先是身份验证,它是安全控制的一层,是在对应用程序访问前的身份验证;其次是授权,可以决定经过身份验证的一方是否可以对特定的资源进行访问;然后是数据保护,这措施可以保护数据的完整性、保密性、非拒绝性,从而防止数据在传递以及存储中受到攻击;最后是审核,这是一个监视与记录的与安全性有关的事件的过程,但是较为被动,只能在受到了安全危害后才能起到作用.下面仅通过身份验证及授权两方面对系统的安全策略及系统设计进行论述.
2.2基于ASP.Net的Web应用程序安全体系分析
(1)身份验证
所谓验证,就是身份验证,是从用户处获取标识凭据(如用户名和密码)并通过某些授权机构验证那些凭据的过程.如果凭据有效,则提交这些凭据的实体已通过身份验证.在身份得到验证后,授权进程将确定该身份是否可以访问给定资源;而所谓授权,就是对进入应用程序的用户授予访问哪些页面或资源的权利.
ASP.NETwindows身份验证方式,是与IIS配合在一起的一种认证方式.在IIS中提供匿名身份验证、基本(base64编码)身份验证、摘 要式身份验证及基于客户端证书的身份验证、Windows集成(NTLM)身份验证、Windows集成的(Kerberos)身份验证.
ASP.NETPassport身份验证方式,是Microsoft提供的集中身份验证服务,该服务为成员站点提供单一登录和核心配置文件服务.
ASP.NETForms身份验证方式,使用此验证的应用程序不使用IIS身份验证,但IIS身份验证设置对于ASP.NET窗体身份验证过程很重要.必须启用IIS“匿名访问”设置,否则将会被拒绝访问.通过IIS验证后,ASP.NET开始执行自身的验证.此验证是一个过程,该过程允许应用程序直接从客户端请求方收集凭据并确定这些凭据的真实性.
国内主要用Windows身份验证模式及Forms身份验证模式.如果应用程序只使用由ActiveDirectory域控制器管理的Windows登录账户,那么Windows身份验证安全机制一般是最佳选择.利用Windows提供的安全机制,用户可以在无须正式登录网站的前提下使用访问受限的Web页面,页面将在用户请求的上下文中执行,页面代码对各种资源进行访问时则必须遵守Windows安全限制.Windows可以安全地存储和加密用户凭据,开发人员无须再实现这项功能.但Windows身份验证不适用于国际互联网环境.在Web环境中更为合理的方案是采用基于Forms的身份验证方案,使用自定义的数据库存储用户账户凭据和相关的用户配置数据.