写点什么

.NET 框架 2.0 中的证书应用

  • 2007-08-28
  • 本文字数:1274 字

    阅读完需:约 4 分钟

一直以来无论是 Web Form 应用、Windows Forms 应用还是 Mobile&Smart Device 应用,强密码保护的认证机制普遍缺失,点对点的非对称消息加密和数据内容签名因为缺少了这个可信赖的凭证也总是成为“沙丘上的城堡”,PKI 环境中的证书机制也许是解决上述问题一个不错的选择。

最新一期的 MSDN 杂志刊发了用证书保护.NET 2.0 应用的文章,文章提纲挈领地将如何使用证书,如何用证书完成 SSL,如何对 Web Service 调用进行保护,如何对代码、安全策略(.NET Framework 和 Active Directory)、自动下发机制、数据进行签名支持等进行了介绍。对于开发人员而言,这些内容应该是非常珍贵的,因为它解决了应用中一个两难的问题:

  1. 为了安全和实施简便,.NET 应用常常会选择集成活动目录域环境认证(或者是互信域认证)模式,这种情况普遍存在于 IT 环境相对比较好的企业内部,尤其被用于企业内部应用,企业分支机构(Branch Offices)的员工也通过包装的 SSPI 接口或者集成认证方式访问内部应用。但偶尔还会遇到很多信任域外的用户访问,出于安全考虑不能给他们开放域账号,但又想让他们访问企业信息资源的时候有个凭据;
  2. 应用本身定位于开放的互联网环境(跨域),采用用户名 / 密码的 Forms 认证方式,认证后的结果也“偷偷摸摸”地保存在某个调用上下文中(Session、Cookie)。如果进行一些无关痛痒的操作倒也无妨,但如果用于会有“别有用心”人特别惦记的一些操作时,例如:账户支付、医疗信息交换等,虽然算不上“裸奔”但也和“就穿着内衣过闹市”没什么区别。这些场景下,无论是法律规定,还是用户需求,往往都促使应用的设计者考虑一些跨信任域的强身份措施,以及在此基础上的非对称密码处理。

当“跨域”、“安全”、“简便”合并在一起的时候,好像现有技术手段中能胜任的寥寥无几,仅从.NET Framework 层面看证书机制也许是最易于实施的一种,它本身基于 PKI 的公钥体系下,可以为各主要的安全机制提供强密码保护。而且在 SOA 大行其道的今天,似乎架构师们更关注与互通(Inter-Communication)和互操作(Interoperation),大家常常谈的“互”其实更多的指消息,但往往忽略了如果调用双方互相都不认识这个“互”似乎也太牵强了,而证书机制恰好也适合这个场景。不仅如此,如果设计人员将安全边界界定到应用服务部分的话,对外交户的内容不会仅限于消息,想想看:

  • 您的应用不需要更新吗?如果需要更新的话,下发的、或者客户端应用调用的 Assembly、ActiveX 是您意愿中的那个版本吗?
  • 变基于规则和硬性逻辑的治理为基于策略的治理是一个趋势,但是最终发布的这个策略(适于某个应用,或者某组应用,甚至于适于企业发布的各个应用)能忠实地发布到用户一端,并在目标应用执行中被正确解读吗?
  • WS-* 协议组中,WS-SEC、XML-Signature 之类的似乎给出了很圆满的应用无关、平台不管、开发技术无所谓的 Web Service 安全方案,但他充其量只说了结果、宾语,没有提过程的主语——“谁”。

数据、组件、安全策略、Web Service 调用还有其他只要是与边界外对象交换的东西,如果需要,能用证书的就都给它用上证书好了,不过之前先要生成并分发好这些证书。

2007-08-28 21:16899
用户头像

发布了 61 篇内容, 共 10.7 次阅读, 收获喜欢 0 次。

关注

评论

发布
暂无评论
发现更多内容

在追求卓越的路上,面对压力时,推荐你这二个做法。

叶小鍵

百度生成式AI产品文心一言邀请测试,五大场景、五大能力革新生产力工具

飞桨PaddlePaddle

百度 飞桨 文心一言

Next.js 实践:从 SSR 到 CSR 的优雅降级

Crazy Urus

React nextjs SSR

TCP 三次握手,给我长脸了噢

程序员小富

TCP

DevData Talks 直播预告 | 微众银行的研发效能实践有哪些经验?

思码逸研发效能

研发效能 DevData Talks

Capital

Echo_Wish

学习 进步 笔记 资源 本质

使用价值三角方法来全方位分析产品

产品海豚湾

产品 产品经理 产品设计 产品运营 商业洞察

为什么 APISIX Ingress 是比 Emissary-ingress 更好的选择?

API7.ai 技术团队

最强阿里及大厂350道面试大全:框架+数据库+并发+开源+微服务

Java你猿哥

Java 数据库 架构 微服务 面经

最佳实践|焱融全闪存储实现与美的集团破千万 IOPS 性能

焱融科技

文件存储 分布式文件存储 高性能存储 全闪存储 美的

百度版ChatGPT:文心一言发布会盛大召开!

雪奈椰子

专业HTML文本编辑器:BBEdit 激活版

真大的脸盆

Mac Mac 软件 文本编辑器 文本编辑

软件测试/测试开发丨学习Docker就应该掌握的dockerfile语法与指令

测试人

Docker 软件测试 测试开发

设计模式-策略模式

蓬蒿

设计模式 策略模式

想到哪说到哪的AI

FN0

AIGC

易观:正视GPT-4功能缺陷与能力局限可更好探索大模型应用

易观分析

科技

【Docker】MacOs安装

Aldeo

Docker 云原生

Go语言实现策略模式

蓬蒿

策略模式

Toast的基本使用

梦笔生花

android Adapter toast

屡试不爽!一份阿里Java程序性能实战笔记,啃完让你程序快上200%

Java你猿哥

Java ssm 面经

干货 | BitSail Connector开发详解系列一:Source

字节跳动数据平台

开源 数据集成 数据引擎 企业号 3 月 PK 榜

两会代表热议采用ChatGPT指导论文写作:防范抄袭的探索与思考

GPU算力

人工智能 深度学习 ChatGPT

李彦宏文心一言发布会 highlight

B Impact

如何应用BI系统运营提效,一起看看瓴羊Quick BI的表现

对不起该用户已成仙‖

无需二次开发,SOAP-to-REST 简化企业用户的业务迁移和整合

API7.ai 技术团队

软件测试/测试开发丨Docker 镜像构建可以分享的快乐

测试人

Docker 软件测试 测试开发

2 万字长文:声明式配置技术概述

Peefy

DevOps 编程语言 开发者工具 #Kubernetes# #开源

openGemini正式加入openEuler DB SIG,携手开展全方面技术创新

华为云开源

时序数据库

关于文件传输协议,你不知道的事

镭速

全球运营商的新共识:2025走向自智网络L4

脑极体

自智网络

GPT-4炸圈--多模态大模型

江湖修行

人工智能 大模型 GPT ChatGPT GPT-4

.NET框架2.0中的证书应用_.NET_王翔_InfoQ精选文章