面向.NET和IIS7的身份鉴别与访问控制技术研究 随着互联网的快速发展，企业的IT系统基本都采用了.NET开发和IIS7网站服务器来实现应用程序的可靠性、良好性能以及系统的安全性等方面。本文将重点探讨.NET和IIS7的身份鉴别与访问控制技术。 一、身份鉴别技术 身份鉴别是为了保证系统只允许已授权的用户或者角色进行使用，对于未授权访问的用户进行拒绝的技术。常见的身份鉴别方法有：基本身份鉴别、Windows身份鉴别、Passport身份鉴别以及ASP.NET表单身份鉴别。 1、基本身份鉴别： 基本身份鉴别是HTTP协议中支持的一种鉴别方式，采用Base64编码方式，将明文的用户名和密码进行编码成密文后，作为HTTP头信息中Authorization头部的数据发送到服务器端。服务器端收到请求信息后，解码Request.Headers[“Authorization”]中的信息，取出用户名和密码进行校验，校验成功后即完成了Web的身份鉴别访问控制。 2、Windows身份鉴别： 广泛地运用于面向Windows用户的Web应用程序，也是.NETFramework的默认身份鉴别方式。Windows身份鉴别是指用户使用自己的Windows帐户信息，提交给Web应用程序进行鉴别。鉴别的过程是，Web应用程序收到用户请求后，把请求的身份传递给服务器处理的组件，组件通过操作系统的API来进行鉴别，鉴别成功后设置用户的身份上下文，后续请求将被赋予该操作系统帐户的权限进行访问控制。 3、Passport身份鉴别： Passport是微软公司的一种名为Passport网络服务的身份鉴别技术，主要用于跨域网站的身份认证。用户登录Passport网络服务，Passport为用户颁发包含用户身份信息的票据(PassportTicket)，Web应用程序可以通过识别并验证该票据，实现访问控制。 4、ASP.NET表单身份鉴别： 用户在登录页面提交表单时，ASP.NETFramework创建一个新的身份验证Cookie（FormsAuthenticationCookie），包含用户的身份信息，该Cookie被附加到HTTP响应中，并被发送给客户端浏览器。一旦通过表单验证，后续的请求中都会将这个Cookie发送给服务器，ASP.NET会使用Cookie中的用户身份信息进行鉴别，以确定该用户的访问权限和角色。 二、访问控制技术 访问控制是批准或拒绝一个用户或群体对资源进行访问的过程，也是信息安全控制中的一个重要部分。常见的访问控制技术有：ACL访问控制列表、角色访问控制、内容敏感性访问控制、基于属性的访问控制和基于策略的访问控制。 1、ACL访问控制列表： ACL是访问控制列表（AccessControlList）的简称。ACL实现的授权方式是给每个用户或用户组分配一个独特的标识，权限信息通过授权表管理，由系统管理员按需授权。当请求资源时，服务器端读取授权表，根据请求资源的ACL权限进行访问控制，确定是否允许访问。 2、角色访问控制： 角色访问控制是将用户或组分配给某个角色，一般把拥有相同权限的用户或用户组划分为一个角色。对角色进行授权，系统只需管理角色的许可信息，更为安全高效。角色访问管理不仅方便而且易于维护，同时可以统一管理大量用户访问控制。 3、内容敏感性访问控制： 内容敏感性访问控制是根据资源本身的敏感程度，设置不同的访问策略进行控制。将资源分成几类不同的敏感级别，并根据这些级别制定相应的访问策略，只允许有权限的用户或角色对资源进行访问。 4、基于属性的访问控制： 基于属性的访问控制是指对数据对象添加访问属性，并将其与用户、组、角色的访问属性进行比较，从而判断是否允许访问。属性包括普通属性、作用域属性和时态属性，是访问控制的一个重要组成部分。 5、基于策略的访问控制： 基于策略的访问控制是指定义一些策略，将资源和用户、角色进行匹配，获取合适的访问控制策略。根据策略的不同，将资源授权给许可组，只有经过许可组许可的用户才可以访问对应资源。 结论： 综上所述，身份鉴别和访问控制技术是保证.NET和IIS7下Web应用程序安全性的关键技术，应用此技术可以在很大程度上提高Web应用程序的安全性和性能，满足用户对于访问控制与安全性高效的需求。但是，需要根据实际情况，进行选择和优化，从而达到最佳的应用效果。