[转载]如何加密ASP.NET配置数据[]

文章来源:/article/4935526.html

本文将说明如何通过加密方法保护存储在配置文件中的数据，并描述ASP.NET 2.0中的新特性。

首先概括叙述加密选项，然后继续说明配置文件中数据值的实际加密过程。

受保护的配置

ASP.NET 2.0推出了一个受保护的配置（protected configuration）特性，允许您使用数据加密API（DPAPI）或RSA加密对machine.config和web.config文件进行加密。开发者一直希望这种类型的功能，以便可以对连接字符串、账户证书等敏感数据加以保护。

这项功能允许开发者加密配置文件的一个或几个部分。下表列出了一些可以进行加密的部分：

appSettings：定义和存储定制应用值。

connectionStrings：通过数据库连接字符串访问外部数据源。

Identity：包含Web应用程序身份，其中可能包括模拟证书。

SessionState：给当前应用程序配置会话状态设置。

您不能使用受保护配置特性来配置web.config和machine.config文件的以下部分：

processMode

runtime

mscorlib

startup

system.runtime.remoting

configProtectedData

satelliteassemblies

cryptographySettings

cryptoNameMapping

cryptoClasses

.NET Framework提供两种方法加密配置文件：aspnet_regiis.exe命令行实用工具和开发者应用程序代码加密。本文主要说明命令行加密方法。

ASP.NET IIS注册工具

ASP.NET IIS注册工具（aspnet_regiis.exe）是.NET Framework框架的一个标准组成部分。它允许您更新一个ASP.NET应用程序的脚本映射，使其指向与工具相关的ASP.NET ISAPI版本，因为一个系统中可能存在几个ASP.NET版本。您还可以用这个工具来显示所有已安装ASP.NET版本的状况，注册与工具关联的ASP.NET版本，创建客户-脚本目录，并执行其它配置操作。

这个工具包含大量的命令行选项，包括加密（pef）和解密（pdf）。您可以使用/？选项获得帮助。加密选项利用DPAPI加密数据。下面我将以列表A中的web.config文件为例进行说明：

列表A

List B
<?xml version=”1.0″?>
<configuration xmlns=”http://schemas.microsoft.com/.NetConfiguration/v2.0″>
<appSettings>
<add key=”site” value=”TechRepublic.com” />
</appSettings>
<connectionStrings configProtectionProvider=”RsaProtectedConfigurationProvider”>
<EncryptedData Type=http://www.w3.org/2001/04/xmlenc#Element
xmlns=”http://www.w3.org/2001/04/xmlenc#”>
<EncryptionMethod Algorithm=”http://www.w3.org/2001/04/xmlenc#tripledes-cbc” />
<KeyInfo xmlns=”http://www.w3.org/2000/09/xmldsig#”>
<EncryptedKey xmlns=”http://www.w3.org/2001/04/xmlenc#”>
<EncryptionMethod Algorithm=”http://www.w3.org/2001/04/xmlenc#rsa-1_5″ />
<KeyInfo xmlns=”http://www.w3.org/2000/09/xmldsig#”>
<KeyName>Rsa Key</KeyName>
</KeyInfo>
<CipherData>
<CipherValue>hlcvZ+8tPctwMZ5L68zsjWR5uySk5iqbGN6vNa94xrvdAEg2hIo1cexVOITMnVHdBfU7rXWoo3X5KfB3JhrBQQZdFXtAGqR7J3I4GUm6JDu7wWgM5Npb0Vyh+l6FwwEQYj7GfulTO+I3rWLkG7E44Sqzv75VG9QIU7oBH0d+jXo=</CipherValue>
</CipherData>
</EncryptedKey>
</KeyInfo>
<CipherData>
<CipherValue>oEe1fu5aiY0AtsgovXG7TVdxSZw8FU1w18LhdSmL5pptKtOnSYIZ6gVzm9B5/n4t5PWsn7BqGmd535JPe4G+TAqIyiniYQEKLXW3YVHRJX19vlwIIn6y3nyyy8gHE2kHC3LBvkqAtE7sbRlVxGSxpA==</CipherValue>
</CipherData>
</EncryptedData>
</connectionStrings>
<system.web>
<compilation debug=”true” defaultLanguage=”c#” />
<authentication mode=”None” />
<authorization>
<allow users=”tester”/>
</authorization>
<customErrors mode=”RemoteOnly” defaultRedirect=”GenericErrorPage.htm”>
<error statusCode=”403″ redirect=”NoAccess.htm”/>
<error statusCode=”404″ redirect=”FileNotFound.htm”/>
</customErrors>
</system.web>
</configuration>
文件的其它部分没有变化，但您也可以选择加密其它部分。例如，您可以加密实例文件中的appSettings部分，屏蔽它的数据，以免别人窥视。

如果您使用一个加密文件，您就需要对它进行解密，用命令行可以方便地进行解密。下面的命令行将前面web.config文件的connectionStrings部分应用的加密过程进行解密。

aspnet_regiis -pdf "connectionStrings" "c:inetpubwwwroottrconfig"

这个命令将加密文件返回到明文版本，因此您可以对其进行修改，并在编辑完成后重新加密。