课程咨询 :025-84812726

南京.NET培训 > 达内新闻 > .net培训课程指导:ASP.NET实现了更好的加密算法
  • .net培训课程指导:ASP.NET实现了更好的加密算法

    发布:.net培训      来源:南京达内      

  • .net培训课程指导:.NET 4.5 引进了一系列对 ASP .NET 处理加密的改进,并带来了新的 Protect 和 Unprotect API,以及众多不易察觉的更改。Levi Broderick 通过一系列文章介绍了其动机、改变及兼容问题。


    ASP.NET 需要两个密钥(解密钥和验证钥)来加密,而这一对合起来就叫做机器钥。机器钥可以在不同组件间重用。Levi 的第一篇文章里解释了 .NET4.0 的设计为何在某一组件上造成安全问题的同时,也给系统其他组件带来了更大的影响。


    同样,为开发者开放的 MachineKey.Encode 和 Decode API 也使用了同样的机器钥来加密。因此,开发人员将进一步引入来自他们本身的安全问题,从而再次造成了级联效应。


    Duong 和 Rizo 在一篇 IEEE 论文里已经着重强调了这些顾虑的大部分(以及其它方面)。尽管论文里提到的大多数问题已经在论文里被解决了,但还有一些关键问题仍然存在。


    作为解决方案,.NET 4.5 引入了以下改变--


    •机器钥的转换和上一版有显著区别:通过改变机器钥上某几位就可将其作为钥定义方法的钥衍生钥,以生成真正用于应用的密钥。
    •新 Protect 和 Unprotect API 将 MACing 和 encrypting 并作一步,然后将其命名为“保护(protecting)” 。编码(Encode)和解码(Decode) API 仍然存在,但不推荐使用。
    •引入一个名叫“目的(purpose)”的参数用来区分那些由于某些特定需要而进一步使用别的加密 API,以减少其它区域安全问题对其造成的影响。
    所有这些改变在默认情况下是关闭的,必须在 web config 中明确设置后才能开启(所有新的 ASP.NET 项目模板都使用该变化)。关于改变的所有细节都在 Levi Broderick 的第二篇文章里描述了。而第三篇文章则介绍了一些高级用法和使用技巧。


    应注意的是:本次改变不包括 membership 提供程序中的密码加密,此功能将分开处理。


    推荐文章

上一篇:开发者和ASP.NET:将要走向何方?

下一篇:.net培训课程指导:Web API和依赖注入

最新开班日期  |  更多

.NET工程师--周末班

.NET工程师--周末班

开班日期:01-20

.NET—零基础全日制

.NET—零基础全日制

开班日期:01-20

.NET—零基础周末班

.NET—零基础周末班

开班日期:01-20

.NET工程师--全日制班

.NET工程师--全日制班

开班日期:01-20

  • 地址:南京市龙蟠中路30号东来商务中心A座5楼
  • 课程培训电话:025-84812726     全国服务监督电话:400-827-0010
  • 服务邮箱 ts@tarena.com.cn
  • 2001-2016 达内时代科技集团有限公司 版权所有 京ICP证8000853号-56