那些年朋友劝,该知道的ASP.NET -如何加密ASP.NET配置数据
ASP.NET 2.0推出了一个受保护的配置(protected configuration)特性,允许您使用数据加密API(DPAPI)或RSA加密对machine.config和web.config文件进行加密。开发者一直希望这种类型的功能,以便可以对连接字符串、账户证书等敏感数据加以保护。
可以进行加密的部分:
appSettings:定义和存储定制应用值。
connectionStrings:通过数据库连接字符串访问外部数据源。
Identity:包含Web应用程序身份,其中可能包括模拟证书。
SessionState:给当前应用程序配置会话状态设置。
这个工具包含大量的命令行选项,包括加密(pef)和解密(pdf)。您可以使用/?选项获得帮助。加密选项利用DPAPI加密数据。
加密
例:aspnet_regiis-pef "connectionStrings" "c:inetpubwwwroottrconfig"
aspnet_regiis:ASP.NET IIS注册工具。
-ped:加密一个配置文件配置部分的命令行选项。
“connectionStrings”:被加密部分的名称。
“c:inetpubwwwroottrconfig”:本地网站的物理地址。
解密
例:aspnet_regiis-pdf "connectionStrings" "c:inetpubwwwroottrconfig"
以上方法测试可以用,但存在一个问题:在IIS的配置界面内还是可以看到配置信息的,网站à属性àASP.NETà编辑配置
加密和解密配置节
可以使用 ASP.NET IIS 注册工具 (Aspnet_regiis.exe) 加密或解密 Web 配置文件的各节。在处理Web.config 文件时,ASP.NET 将自动解密已加密的配置元素。
Aspnet_regiis.exe 工具位于%windows%\Microsoft.NET\Framework\versionNumber 文件夹中。
加密 Web 配置节
要加密配置文件的内容,应将 Aspnet_regiis.exe 工具与 –pe 选项以及要加密的配置元素的名称一起使用。
使用–app 选项可标识将加密其 Web.config 文件的应用程序,使用 -site 选项可标识该应用程序所属的网站。
使用–prov 选项可标识将执行加密和解密的 ProtectedConfigurationProvider 的名称。如果未使用 -prov 选项指定提供程序,将使用配置为 defaultProvider 的提供程序。
注意
如果您使用的是指定自定义密钥容器的 RsaProtectedConfigurationProvider 实例,则必须在运行 Aspnet_regiis.exe 工具前创建密钥容器。
例:aspnet_regiis-pe "connectionStrings" -app "/SampleApplication" -prov"RsaProtectedConfigurationProvider"
注意
要解密和加密 Web.config 文件的某一节,ASP.NET 进程必须具有读取适当加密密钥信息的权限。
授予对 RSA 密钥容器的访问权限
默认情况下,RSA 密钥容器受到所在服务器上的NTFS 访问控制列表 (ACL) 的严密保护。这样能够限制可以访问加密密钥的人员,从而增强加密信息的安全性。
例:aspnet_regiis-pa "SampleKeys" "NT AUTHORITY\NETWORK SERVICE"
C#对配置文件进行加密和解密
public void encryption()//加密
{
Configuration config =WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection configSection =config.GetSection("appSettings");
if(!configSection.SectionInformation.IsProtected)
{
configSection.SectionInformation.ProtectSection("DataProtectionConfigurationProvider");
config.Save();
}
}
public void decryption()//解密
{
Configuration config =WebConfigurationManager.OpenWebConfiguration(Request.ApplicationPath);
ConfigurationSection configSection =config.GetSection("appSettings");
if(configSection.SectionInformation.IsProtected)
{
configSection.SectionInformation.UnprotectSection();
config.Save();
}
}
解密 Web 配置节
要解密已加密的配置文件内容,应将 Aspnet_regiis.exe 工具与 -pd 开关以及要解密的配置元素的名称一起使用。使用 –app 和 -site 开关可标识将解密其 Web.config 文件的应用程序。无需指定 –prov 开关来标识 ProtectedConfigurationProvider 的名称,因为该信息是从受保护配置节的 configProtectionProvider 属性中读取的。
例:aspnet_regiis -pd "connectionStrings" -app"/SampleApplication"
部分信息摘于:http://msdn.microsoft.com/zh-cn/library/zhhddkxy%28v=VS.80%29.aspx
还有一种简单的加密方法
System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(pwd,"MD5");
1、md5不是加密算法,而是散列算法,数据变换过程和结果是不可逆的,即无法从md5编码逆向生成原文。
2、称作加密的,一定需要相应的解密,即数据变换必须是可逆的,或称双向的;简单举几个例子来说明什么叫可逆和不可逆:A=B+5,则B=A-5,可逆,异或运算也是可逆的;A=B%5(A等于B除以5之后的余数),则A的范围是0~4,假设为3,能够确定B吗?不行,3、8、13等都成立,这就是不可逆,“与、或”运算也是不可逆的。
3、md5编码实际上就是md5散列值,该值可以视作原始数据的摘要或者指纹,可以想象一下:根据新闻的摘要,能够还原出新闻的全文吗?根据一个人的指纹,就能知道这个人的所有信息吗(如性别、身高、体重、肤色等)?
4、md5经常被误以为是加密的根源是以下场景:对各种系统中的身份认证来说,“用户名+密码”的模式非常简单,故大量存在,很多编程人员为了将“密码”不明示,就对密码串进行md5散列,在数据库或文件中保存md5编码;但是,千万要注意,真正到了鉴别用户身份是否合法的时候,不是通过早先记录下来的md5编码生成原文再与用户当场输入的密码串进行比较,而是将用户当场输入的密码串也实施md5变换,比较的是前后两次生成的md5编码串。