用ASP.NET加密Cookie数据
需积分: 16 145 浏览量
2008-10-11
16:12:33
上传
评论
收藏 43KB DOC 举报
用 ASP.NET 加密 Cookie 数据
Cookie 确实在 WEB 应用方面为访问者和编程者都提供了方便,然而从安全方
面考虑是有问题的,首先,Cookie 数据包含在 HTTP 请求和响应的包头里透明
地传递,也就是说聪明的人是能清清楚楚看到这些数据的
。其次,Cookie 数据以 Cookie 文件格式存储在浏览者计算机的 cache
目录里,其中就包含有关网页、密码和其他用户行为的信息,那么只要进入硬
盘就能打开 Cookie 文件。图 1 是一个 Cookie 文件的内容:
如果你未曾留意你的机器里有 Cookie 文件,可以按下列方法查看:打开
IE,选择“工具”菜单里的“Internet 选项”,然后在弹出的对话框里点击“设置”按
钮,在设置对话框里点击“查看”钮,就会打开一个窗口显示浏览器放在硬盘里
的所有缓存数据,其中就有大量的 Cookie 文件。
所以奉劝大家不要将敏感的用户数据存放在 Cookie 中,要么就通过加密
将这些数据保护起来。
在以前的 ASP 版本中没有加密的功能,现在.NET 构架在
System.Security.Cryptography 命名空间里提供了许多加密类可以利用。
一、.NET 的密码系统概要
简单地说,加密就是将原始字符(字节)串转变为完全不同的字符串的处
理过程,达到原始字符无法破译的目的。这个处理过程是用另一个字符串(称
为“密钥”),采取复杂的、混合的算法,“捣进”原始字符串。有时还使用一个称
为“初始向量”的字符串,在密钥捣进之前先打乱目标字符串,预防目标字符串
中较明显的内容被识破。加密的功效取决于所用密钥的大小,密钥越长,保密
性越强。典型的密钥长度有 64 位、128 位、192 位、256 位和 512 位。攻击
者唯一的方法是创建一个程序尝试每一个可能的密钥组合,但 64 位密钥也有
72,057,594,037,927,936 种组合。
目前有两种加密方法:对称加密(或称私有密钥)和非对称加密(或称公
共密钥)。对称加密技术的数据交换两边(即加密方和解密方)必须使用一个
保密的私有密钥。非对称加密技术中,解密方向加密方要求一个公共密钥,加
密方在建立一个公共密钥给解密方后,用公共密钥创建唯一的私有密钥。加密
方用私有密钥加密送出的信息,对方用公共密钥解密。保护 HTTP 传输安全的
SSL 就是使用非对称技术。
我们对 Cookie 数据的加密采取对称加密法。.NET 构架从基本的
SymmetricAlgorithm 类扩展出来四种算法:
资源评论
