本文英文原版及代碼下載：
http://www.asp.net/learn/data-access/tutorial-73-cs.aspx

Scott Mitchell 的ASP.NET 2.0數(shù)據(jù)教程之73：保護(hù)連接字符串及其它設(shè)置信息

導(dǎo)言：

ASP.NET應(yīng)用程序的設(shè)置信息通常都存儲(chǔ)在一個(gè)名為Web.config的XML文件里。在教程的前面部分我們已經(jīng)好幾次修改過Web.config文件了.比如在第一章，我們創(chuàng)建名為Northwind的數(shù)據(jù)集時(shí)，數(shù)據(jù)庫(kù)連接字符串信息自動(dòng)的添加到Web.config文件的<connectionStrings>節(jié)點(diǎn).再后來，在第3章里，我們手動(dòng)更新了Web.config文件，添加了一個(gè)<pages>元素，對(duì)所有的ASP.NET頁(yè)面運(yùn)用DataWebControls主題.

由于Web.config文件包含了敏感的信息，比如連接字符串.所以確保Web.config文件內(nèi)容的安全性是很重要的，對(duì)未經(jīng)授權(quán)的訪問者應(yīng)隱藏這些敏感信息.默認(rèn)情況下，對(duì).config后綴名的文件的任何HTTP請(qǐng)求都由ASP.NET引擎來處理，它將返回“This type of page is not served”的信息，如圖1所示.這意味著訪問者無法通過在其瀏覽器的地址欄鍵入‘http://www.YourServer.com/Web.config’來訪問你的Web.config文件.

圖1：通過瀏覽器訪問Web.config將返回“This type of page is not served”的信息

但是如果某個(gè)攻擊者找到其它方法來訪問你的Web.config文件的內(nèi)容又怎么辦呢？他會(huì)做怎樣的修改？我們又采取怎樣的步驟來保護(hù)Web.config文件的這些信息呢？幸運(yùn)的是，Web.config文件的絕大多數(shù)節(jié)點(diǎn)并不包含敏感信息.如果攻擊者知道你的ASP.NET頁(yè)面使用的默認(rèn)的主題的名字又會(huì)搞哪些破壞呢？

Web.config文件的某些節(jié)點(diǎn)包含了敏感信息，比如：connection strings, user names, passwords, server names, encryption keys等等.我們能在下面的這些節(jié)點(diǎn)找到這些信息：

.<appSettings>
.<connectionStrings>
.<identity>
.<sessionState>

在本文我們將考察保護(hù)這些敏感信息的技術(shù).就像我們將看到的那樣，.NET Framework 2.0版本包含了一個(gè)保護(hù)配置系統(tǒng)，我們可以使用它很容易地對(duì)選定的配置節(jié)點(diǎn)進(jìn)行加密和解密.

注意：
在本文結(jié)尾部分，我們將看到微軟對(duì)從一個(gè)ASP.NET應(yīng)用程序連接到數(shù)據(jù)庫(kù)時(shí)的建議.除了對(duì)連接字符串進(jìn)行加密外，我們還可以連接到一個(gè)處于“安全模式”的數(shù)據(jù)庫(kù)使你的系統(tǒng)更強(qiáng)大.

第一步：考察ASP.NET 2.0的保護(hù)配置選項(xiàng)

ASP.NET 2.0包含一個(gè)保護(hù)配置系統(tǒng)以對(duì)配置信息進(jìn)行加密和解密.這些方法包含在.NET Framework，可用來編程加密和解密配置信息.該保護(hù)配置系統(tǒng)使用provider model模式.它允許開發(fā)者選擇執(zhí)行哪種加密.

.NET Framework包含了2種protected configuration providers：

.RSAProtectedConfigurationProvider ：加密和解密時(shí)使用不對(duì)稱RSA運(yùn)算法則(RSA algorithm)

.DPAPIProtectedConfigurationProvider:加密和解密時(shí)使用Windows Data Protection API (DPAPI)

由于保護(hù)配置系統(tǒng)執(zhí)行的是provider design模式，因此我們可以創(chuàng)建自己的protected configuration provider并運(yùn)用到自己的程序里.具體過程可參閱文章《Implementing a Protected Configuration Provider》( http://msdn2.microsoft.com/en-us/library/wfc2t3az(VS.80).aspx )

RSA providers 和 DPAPI providers在加密和解密時(shí)使用“密匙”(keys)，這些“密匙”可以存儲(chǔ)在“機(jī)器級(jí)”(Machine-level)和“用戶級(jí)”(user-level).機(jī)器級(jí)密匙在這種情況下很理想：每個(gè)web應(yīng)用程序都運(yùn)行在自己專有的服務(wù)器上，或某個(gè)服務(wù)器上的多個(gè)應(yīng)用程序共享同樣的加密信息.而用戶級(jí)密匙在共享服務(wù)器環(huán)境里是比較理想的安全選擇.此時(shí)，同服務(wù)器上的其它程序不能對(duì)你加密的配置信息進(jìn)行解密.

本教程的示例將使用DPAPI provider和機(jī)器級(jí)密匙.具體來說，我們將對(duì)Web.config文件里的<connectionStrings>節(jié)點(diǎn)進(jìn)行加密.對(duì)RSA provider以及用戶級(jí)密匙的更多信息請(qǐng)參考本文結(jié)束部分的外延閱讀資料.

注意：
RSAProtectedConfigurationProvider 和DPAPIProtectedConfigurationProvider providers在machine.config文件里被分別組冊(cè)成RsaProtectedConfigurationProvider 和DataProtectionConfigurationProvider。當(dāng)我們對(duì)配置信息進(jìn)行加密或解密時(shí)我們需要提供相應(yīng)的provider名稱(即RsaProtectedConfigurationProvider 或 DataProtectionConfigurationProvider)；而不是實(shí)際的類型名(即RSAProtectedConfigurationProvider 和 DPAPIProtectedConfigurationProvider). 你可以在$WINDOWS$\Microsoft.NET\Framework\version\CONFIG文件夾里找到machine.config文件.

第二步：通過編程加密和解密配置節(jié)點(diǎn)

使用某個(gè)provider，我們只需要很少的幾行代碼就可以對(duì)某個(gè)配置節(jié)點(diǎn)加密或解密.這些代碼僅僅需要引用相應(yīng)的配置節(jié)點(diǎn)，調(diào)用其ProtectSection 或 UnprotectSection方法，再調(diào)用Save方法來執(zhí)行.另外，.NET Framework包含了一個(gè)很有用的命令行功能來進(jìn)行加密和解密，我們將在第3步考察該功能.

為了便于演示，我們需要?jiǎng)?chuàng)建一個(gè)包含按鈕的ASP.NET頁(yè)面，以便于對(duì)Web.config文件的<connectionStrings>節(jié)點(diǎn)進(jìn)行加密和解密.

打開AdvancedDAL文件夾里的EncryptingConfigSections.aspx頁(yè)面，拖一個(gè)TextBox控件到頁(yè)面，設(shè)其ID為WebConfigContents；TextMode屬性為MultiLine；Width和Rows屬性分別為95% 和 15.該TextBox控件用于顯示W(wǎng)eb.config文件的內(nèi)容，以查看其內(nèi)容是否已經(jīng)加密了.當(dāng)然，在現(xiàn)實(shí)程序里，我們不可能將Web.config文件的內(nèi)容顯示出來.

在該TextBox控件下面添加2個(gè)Button控件，ID分別為EncryptConnStrings 和 DecryptConnStrings；設(shè)其Text屬性為“Encrypt Connection Strings” 和 “Decrypt Connection Strings”.

此時(shí)你的界面看起來和下面的差不多：

圖2：在頁(yè)面上添加一個(gè)TextBox控件和2個(gè)Button控件

接下來，在頁(yè)面初次登錄時(shí)我們需要在ID為WebConfigContents的TextBox控件里將Web.config文件的內(nèi)容顯示出來。在頁(yè)面的后臺(tái)類里添加如下的代碼，該代碼添加了一個(gè)名為DisplayWebConfig的方法，在Page_Load事件處理器里，當(dāng)Page.IsPostBack 為 false時(shí)便調(diào)用該方法:

protected void Page_Load(object sender, EventArgs e)
{
// On the first page visit, call DisplayWebConfig method
if (!Page.IsPostBack)
DisplayWebConfig();
}

private void DisplayWebConfig()
{
// Reads in the contents of Web.config and displays them in the TextBox
StreamReader webConfigStream =
File.OpenText(Path.Combine(Request.PhysicalApplicationPath, "Web.config"));
string configContents = webConfigStream.ReadToEnd();
webConfigStream.Close();

WebConfigContents.Text = configContents;
}

該DisplayWebConfig方法調(diào)用File class類來打開應(yīng)用程序的Web.config文件；調(diào)用StreamReader class類將內(nèi)容讀入一個(gè)字符串；再調(diào)用Path class類來獲取Web.config文件的物理地址.這3個(gè)類都位于System.IO命名空間. 所以我們應(yīng)該在后臺(tái)類的頂部添加using System.IO聲明，又或者在這些類的前面添加“System.IO.”前綴.

接下來，我們需要為這2個(gè)按鈕的Click事件添加事件處理器，在一個(gè)DPAPI provider里使用機(jī)器級(jí)密匙對(duì)<connectionStrings>節(jié)點(diǎn)進(jìn)行加密和解密.在設(shè)計(jì)器里，雙擊這2個(gè)按鈕以添加Click事件處理器，添加如下代碼：

protected void EncryptConnStrings_Click(object sender, EventArgs e)
{
// Get configuration information about Web.config
Configuration config =
WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);

// Let's work with the <connectionStrings> section
ConfigurationSection connectionStrings = config.GetSection("connectionStrings");
if (connectionStrings != null)
// Only encrypt the section if it is not already protected
if (!connectionStrings.SectionInformation.IsProtected)
{
// Encrypt the <connectionStrings> section using the
// DataProtectionConfigurationProvider provider
connectionStrings.SectionInformation.ProtectSection(
"DataProtectionConfigurationProvider");
config.Save();

// Refresh the Web.config display
DisplayWebConfig();
}
}

protected void DecryptConnStrings_Click(object sender, EventArgs e)
{
// Get configuration information about Web.config
Configuration config =
WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);

// Let's work with the <connectionStrings> section
ConfigurationSection connectionStrings =
config.GetSection("connectionStrings");
if (connectionStrings != null)
// Only decrypt the section if it is protected
if (connectionStrings.SectionInformation.IsProtected)
{
// Decrypt the <connectionStrings> section
connectionStrings.SectionInformation.UnprotectSection();
config.Save();

// Refresh the Web.config display
DisplayWebConfig();
}
}

這2個(gè)按鈕的事件處理器的代碼幾乎是一樣的.它們一開始都通過WebConfigurationManager class類的OpenWebConfiguration方法獲取當(dāng)前應(yīng)用程序的Web.config文件的信息. 該方法根據(jù)指定的有效路徑返回web配置文件。接下來，再通過Configuration class類的GetSection(sectionName)方法訪問Web.config文件的<connectionStrings>節(jié)點(diǎn).該方法返回一個(gè)ConfigurationSection對(duì)象.

該ConfigurationSection對(duì)象包含了一個(gè)SectionInformation屬性，用來闡述加密節(jié)點(diǎn)的其它相關(guān)信息. 就像上面的代碼顯示的那樣，我們通過查看SectionInformation的IsProtected屬性來判斷是否對(duì)配置節(jié)點(diǎn)進(jìn)行了加密.此外，還可以通過SectionInformation的ProtectSection(provider) 和 UnprotectSection方法對(duì)節(jié)點(diǎn)進(jìn)行加密或解密.

ProtectSection(provider)方法有一個(gè)字符串類型的輸入?yún)?shù)，該參數(shù)指定了用來加密的protected configuration provider的名稱。在EncryptConnString按鈕的事件處理器里，我們將“DataProtectionConfigurationProvider”傳遞給ProtectSection(provider)方法，因此指明了用到的是DPAPI provider.而UnprotectSection方法可以確定加密時(shí)用到的provider，因此不需要任何的輸入?yún)?shù).

調(diào)用ProtectSection(provider) 或 UnprotectSection方法后，我還必須調(diào)用Configuration對(duì)象的Save method方法來進(jìn)行具體的操作. 一旦完成加密或解密并保存后，我們調(diào)用DisplayWebConfig方法將更新后的Web.config文件的內(nèi)容上傳到TextBox控件.

鍵入上述代碼后，在瀏覽器里測(cè)試EncryptingConfigSections.aspx頁(yè)面，最開始你將看到頁(yè)面將Web.config文件的<connectionStrings>節(jié)點(diǎn)的內(nèi)容以純文本的形式展示出來.

圖3：顯示<connectionStrings>節(jié)點(diǎn)的內(nèi)容

現(xiàn)在，點(diǎn)擊“Encrypt Connection Strings”按鈕，如果“請(qǐng)求確認(rèn)”(request validation)處于激活狀態(tài)的話，回傳頁(yè)面時(shí)將拋出一個(gè)HttpRequestValidationException異常，顯示一個(gè)消息：“A potentially dangerous Request.Form value was detected from the client.”。這個(gè)Request validation，在ASP.NET 2.0里默認(rèn)為處于激活狀態(tài)，禁止服務(wù)器接受含有未編碼的HTML的內(nèi)容，它被設(shè)計(jì)來保護(hù)服務(wù)器免受注入式腳本的攻擊.可以從頁(yè)面或應(yīng)用程序來禁止該功能.我們?cè)谠擁?yè)禁用它，在頁(yè)面聲明代碼的頂部的的@Page標(biāo)記里ValidateRequest設(shè)置為false，如下：

<%@ Page ValidateRequest="False" ... %>

在禁用該功能后，再次點(diǎn)擊“Encrypt Connection Strings”按鈕，頁(yè)面回傳后就可以訪問配置文件了，并用DPAPI provider對(duì)<connectionStrings>節(jié)點(diǎn)進(jìn)行加密. TextBox控件然后將Web.config文件更新后的內(nèi)容顯示出來，如圖4所示，<connectionStrings>節(jié)點(diǎn)的信息現(xiàn)在已經(jīng)被加密了.

圖4：點(diǎn)擊“Encrypt Connection Strings”按鈕對(duì)<connectionString>節(jié)點(diǎn)進(jìn)行加密

在加密前，我暫時(shí)地將<CipherData>元素里的內(nèi)容轉(zhuǎn)移了：

<connectionStrings
configProtectionProvider="DataProtectionConfigurationProvider">
<EncryptedData>
<CipherData>
<CipherValue>AQAAANCMnd8BFdERjHoAwE/...zChw==</CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>

注意：
<connectionStrings>元素指定了用來加密的provider(即DataProtectionConfigurationProvider).當(dāng)點(diǎn)擊“Decrypt Connection Strings”按鈕時(shí)UnprotectSection方法將會(huì)用到該信息.對(duì)于加密的連接字符串，系統(tǒng)可以自動(dòng)的對(duì)其解密.簡(jiǎn)而言之，我們不需要再對(duì)加密的<connectionString>節(jié)點(diǎn)添加任何其它的代碼。我們來做個(gè)驗(yàn)證，打開以前的教程，比如(~/BasicReporting/SimpleDisplay.aspx頁(yè)面)，如圖5所示，頁(yè)面像我們期望的那樣工作正常，這就表明了經(jīng)過加密的連接字符串被ASP.NET頁(yè)面自動(dòng)解密了.

圖5：數(shù)據(jù)訪問層自動(dòng)解密連接字符串信息

為將加密的<connectionStrings>節(jié)點(diǎn)恢復(fù)到純文本樣式，點(diǎn)擊“Decrypt Connection Strings”按鈕。頁(yè)面回傳后，你將看到Web.config文件里的連接字符串恢復(fù)到純文本樣式.此時(shí)，屏幕開起來像是最初登錄的樣子(見圖3)

第三步：用aspnet_regiis.exe對(duì)配置節(jié)點(diǎn)進(jìn)行加密

.NET Framework包含了很多的命令行工具，可以在$WINDOWS$\Microsoft.NET\Framework\version\ folder文件夾里找到這些工具.以第61章《Using SQL Cache Dependencies》為例，我們用aspnet_regsql.exe命令行工具為SQL緩存依賴添加里必要的體系結(jié)構(gòu).該文件夾里的另一個(gè)有用的工具是ASP.NET IIS Registration tool (aspnet_regiis.exe). 就像其名字暗示的那樣，這個(gè)ASP.NET IIS Registration工具主要用來在微軟專業(yè)Web server，IIS上注冊(cè)ASP.NET 2.0應(yīng)用程序.

除了其與IIS相關(guān)的屬性外，該ASP.NET IIS Registration工具也可以對(duì)Web.config文件的配置節(jié)點(diǎn)進(jìn)行加密和解密. 下面的是使用aspnet_regiis.exe命令行工具對(duì)配置節(jié)點(diǎn)加密的常規(guī)代碼：

aspnet_regiis.exe -pef section physical_directory -prov provider

其中section是要加密的配置節(jié)點(diǎn)(比如“connectionStrings”)；physical_directory 為web應(yīng)用程序根節(jié)點(diǎn)的完整物理路徑；provider是用到的protected configuration provider的名稱(比如“DataProtectionConfigurationProvider”). 另外，如果你將web應(yīng)用程序在IIS里進(jìn)行了注冊(cè)了的話，你就可以用相當(dāng)路徑來代替絕對(duì)路徑：

aspnet_regiis.exe -pe section -app virtual_directory -prov provider

下面為使用aspnet_regiis.exe的例子，它用DPAPI provider，機(jī)器級(jí)密匙，對(duì)<connectionStrings>節(jié)點(diǎn)進(jìn)行加密：

aspnet_regiis.exe -pef
"connectionStrings" "C:\Websites\ASPNET_Data_Tutorial_73_CS"
-prov "DataProtectionConfigurationProvider"

類似的，該aspnet_regiis.exe命令行工具也可以用來解密配置節(jié)點(diǎn)，不過我們要將-pef替換成-pdf或-pd。當(dāng)然，解密時(shí)不需要指定provider名稱.

aspnet_regiis.exe -pdf section physical_directory
-- or --
aspnet_regiis.exe -pd section -app virtual_directory

注意：
由于我們使用的是DPAPI provider，它使用的密匙是又電腦指定的，所以你必須在存儲(chǔ)web頁(yè)面的同一臺(tái)電腦上運(yùn)行aspnet_regiis.exe工具. 比如，你在本地電腦上運(yùn)行這個(gè)命令行，然后又將加了密的連接字符串上載到另一個(gè)服務(wù)器上，該服務(wù)器就無法對(duì)其進(jìn)行解密，因?yàn)榧用艿拿艹资窃诒镜仉娔X上指定的.如果是使用RSA provider的話就不存在這種局限性，因?yàn)镽SA provider可以將密匙(RSA keys)傳遞給另一臺(tái)電腦.

理解Database Authentication Options

在任何應(yīng)用程序向Microsoft SQL Server數(shù)據(jù)庫(kù)發(fā)出SELECT,INSERT,UPDATE,或DELETE請(qǐng)求之前，數(shù)據(jù)庫(kù)首先要確定請(qǐng)求者的身份.該過程可分為2種驗(yàn)證模式：authentication 和 SQL Server provides:

.Windows Authentication：在Visual Studio 2005的ASP.NET Development Server里運(yùn)行一個(gè)ASP.NET應(yīng)用程序時(shí),ASP.NET應(yīng)用程序假定身份(identity)為當(dāng)前登錄用戶。而如果運(yùn)行在Microsoft Internet Information Server (IIS)上的話，ASP.NET應(yīng)用程序假定身份(identity)為domainName\MachineName or domainName\NETWORK SERVICE,，雖然這些都可以用戶定制.

.SQL Authentication：驗(yàn)證的時(shí)候需要提供用戶ID和password，使用SQL authentication的話，可以由連接字符串來提供ID和password.

一般使用Windows authentication模式，因?yàn)槠涓踩?在Windows authentication模式下，連接字符串不需要用戶名和密碼，并且如果web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器分屬不同的電腦的話，(credentials)認(rèn)證在網(wǎng)絡(luò)間傳輸時(shí)并不以純文本格式傳輸.而如果是SQL authentication模式的話，將對(duì)連接字符串進(jìn)行硬編碼，且認(rèn)證在web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間以純文本格式進(jìn)行傳輸.

本教程使用的是Windows authentication.我們可以通過連接字符串來查看到底使用的是哪種認(rèn)證。本教程的Web.config文件的連接字符串如下：

Data Source=.\SQLEXPRESS; AttachDbFilename=|DataDirectory|\NORTHWND.MDF; Integrated Security=True; User Instance=True

術(shù)語(yǔ)“Integrated Security=True”，以及缺少用戶名和密碼都表明我們使用的是Windows authentication模式。不過在一些連接字符串里用術(shù)語(yǔ)“Trusted Connection=Yes” 或 “Integrated Security=SSPI”來替換“Integrated Security=True”, 不過它們都表明使用的是Windows authentication.

下面的代碼顯示使用的是SQL authentication：

Server=serverName; Database=Northwind; uid=userID; pwd=password

假想某個(gè)攻擊者可以查看你的應(yīng)用程序的Web.config文件。如果你使用的是SQL authentication模式通過Internet連接到數(shù)據(jù)庫(kù)，攻擊者可以利用連接字符串通過SQL Management Studio或他自己網(wǎng)站上的ASP.NET頁(yè)面連接到你的數(shù)據(jù)庫(kù).為降低風(fēng)險(xiǎn)，我們需要對(duì)Web.config文件的連接字符串進(jìn)行加密.

注意：
關(guān)于SQL Server里不同認(rèn)證模式的更多信息應(yīng)參閱文章《Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication》( http://msdn2.microsoft.com/en-us/library/aa302392.aspx );關(guān)于Windows 和 SQL authentication不同之處的更多示例，應(yīng)參閱ConnectionStrings.com網(wǎng)站.

結(jié)語(yǔ)：

默認(rèn)情況下，ASP.NET應(yīng)用程序里的所有以.config為后綴的文件都不能通過瀏覽器訪問.這是因?yàn)檫@些文件可能包含了一些敏感信息，比如：數(shù)據(jù)庫(kù)連接字符串、用戶名和密碼等。 .NET 2.0包含的保護(hù)配置系統(tǒng)可以通過對(duì)指定的配置節(jié)點(diǎn)進(jìn)行加密來加以保護(hù).有2種內(nèi)置的protected configuration providers:一個(gè)使用RSA運(yùn)算法則，而另一個(gè)使用Windows Data Protection API (DPAPI).

本文考察了使用DPAPI provider來對(duì)配置信息進(jìn)行加密和解密.我們可以通過編程的方式，就像在第2步探討的那樣；也可以通過使用aspnet_regiis.exe命令行工具，就像在第3步探討的那樣。關(guān)于使用RSA provider及用戶級(jí)密匙的更多信息請(qǐng)參考本文的外延閱讀.

祝編程快樂！

作者簡(jiǎn)介

Scott Mitchell，著有六本ASP/ASP.NET方面的書，是4GuysFromRolla.com的創(chuàng)始人，自1998年以來一直應(yīng)用 微軟Web技術(shù)。Scott是個(gè)獨(dú)立的技術(shù)咨詢顧問，培訓(xùn)師，作家，最近完成了將由Sams出版社出版的新作，24小時(shí)內(nèi)精通ASP.NET 2.0。他的聯(lián)系電郵為 mitchell@4guysfromrolla.com ，也可以通過他的博客 http://ScottOnWriting.NET 與他聯(lián)系。

Scott Mitchell 的ASP.NET 2.0數(shù)據(jù)教程之73：保護(hù)連接字符串及其它設(shè)置信息