采用UNIX認(rèn)證方式的B-S學(xué)籍管理系統(tǒng)的研究與開(kāi)發(fā).pdf

1、創(chuàng)建安全的Web應(yīng)用程序是一項(xiàng)極具挑戰(zhàn)性的工作。應(yīng)用程序的安全性取決于它最薄弱的環(huán)節(jié)，任何成功的應(yīng)用程序安全策略的基礎(chǔ)都是穩(wěn)固的身份驗(yàn)證和授權(quán)手段，以及提供機(jī)密數(shù)據(jù)的保密性和完整性的安全通信。安全通信是分布式應(yīng)用程序保護(hù)工作中不可或缺的部分，保護(hù)分布式應(yīng)用程序的目的是保護(hù)機(jī)密數(shù)據(jù)，這些數(shù)據(jù)包括傳遞到應(yīng)用程序和從應(yīng)用程序傳出的憑據(jù)，以及在應(yīng)用程序的各層之間傳遞的憑據(jù)。而一開(kāi)始就設(shè)計(jì)使用身份驗(yàn)證和授權(quán)會(huì)大大減少應(yīng)用程序安全事件的發(fā)生率。

2、 本文主要從以下三方面論述了如何綜合利用動(dòng)態(tài)網(wǎng)頁(yè)ASP.NET技術(shù)、HTML與XML技術(shù)、ADO.NET數(shù)據(jù)訪問(wèn)技術(shù)、SQLServer2000數(shù)據(jù)庫(kù)技術(shù)、密碼技術(shù)在基于WEB平臺(tái)上的學(xué)籍管理系統(tǒng)中實(shí)現(xiàn)穩(wěn)固的身份驗(yàn)證和授權(quán)手段，以及機(jī)密數(shù)據(jù)的保密。 一、為了降低應(yīng)用程序的風(fēng)險(xiǎn)，筆者沒(méi)有將口令原碼存儲(chǔ)在數(shù)據(jù)庫(kù)中，而是采用UNIX的口令認(rèn)證方式來(lái)作Web應(yīng)用認(rèn)證，在Windows平臺(tái)上先將口令用SHA1散列，再把加salt的SH

3、A1散列值存儲(chǔ)到數(shù)據(jù)庫(kù)中以增加攻擊者對(duì)受保護(hù)數(shù)據(jù)發(fā)起強(qiáng)力字典攻擊時(shí)所花費(fèi)的工作量，以提高基于表單身份驗(yàn)證的口令安全性。 二、通過(guò)窗體身份驗(yàn)證后創(chuàng)建包括用戶標(biāo)識(shí)名的GenericPrincipal對(duì)象，實(shí)現(xiàn)基于角色的URL授權(quán)，從而方便、安全地進(jìn)行權(quán)限分配。 三、通過(guò)系統(tǒng)合法用戶共享系統(tǒng)安全存儲(chǔ)的非對(duì)稱RSA密鑰實(shí)現(xiàn)教師信息表關(guān)鍵字段信息的加密解密，結(jié)合基于角色的授權(quán)，實(shí)現(xiàn)了機(jī)密數(shù)據(jù)的保密。 最后，對(duì)本論文的工作進(jìn)