壹 概述
身份驗證是壹個驗證客戶端身份的過程 通常采用指定的第三方授權方式 客戶端可能是最終用戶 計算機 應用程序或服務 客戶端的標識稱為安全原則 為了使用服務器應用程序進行驗證 客戶端提供某種形式的憑據來允許服務器驗證客戶端的標識 確認了客戶端的標識後 應用程序可以授予執行操作和訪問資源的原則
如果應用程序使用 Active Directory 用戶存儲 則應該使用集成 Windows 身份驗證 對 ASP NET 應用程序使用集成 Windows 身份驗證時 最好的方法是使用 ASP NET 的 Windows 身份驗證提供程序附帶的 Internet 信息服務 (IIS) 身份驗證方法 使用該方法 將自動創建壹個 windowsprincipal 對象(封裝壹個 windowsidentity 對象)來表示經過身份驗證的用戶 您無需編寫任何身份驗證特定的代碼
還支持使用 Windows 身份驗證的自定義解決方案(避開了 IIS 身份驗證) 例如 可以編寫壹個根據 Active Directory 檢查用戶憑據的自定義 ISAPI 篩選器 使用該方法 必須手動創建壹個 windowsprincipal 對象
本文闡釋在具有 IIS 的 ASP NET 中 Windows 身份驗證的工作機制
二 IIS 身份驗證
如果 ASP NET 針對 Windows 身份驗證進行配置 則 ASP NET 依靠 IIS 利用配置好的身份驗證模式對其客戶端進行身份驗證 IIS 通過檢查特定應用程序的元數據庫設置來確定其身份驗證模式 成功驗證某個用戶的身份後 IIS 將代表經過身份驗證的用戶的 Windows 令牌傳遞給宿主 ASP NET 的 ASP NET 輔助進程 (w wp exe) 如果應用程序使用在 IIS 中配置的虛擬目錄來支持匿名訪問 該令牌代表匿名 Internet 用戶帳戶 否則 該令牌代表經過身份驗證的用戶
iis 支持以下身份驗證模式
·匿名 如果不需要對客戶端進行身份驗證(或者使用自定義身份驗證機制 如窗體身份驗證) 則可將 IIS 配置為允許匿名訪問 在該事件中 IIS 創建壹個 Windows 令牌來表示具有相同匿名(或客人)帳戶的所有匿名用戶 默認的匿名帳戶是 IUSR_MACHINENAME 其中 MACHINENAME 是安裝期間指定的計算機的 NetBIOS 名稱
·基本 基本身份驗證要求用戶以用戶名和密碼的形式提供憑據來證明他們的身份 基本身份驗證基於 Internet 標準 RFC 所有常用瀏覽器都支持它 用戶的憑據以未加密的 Base 編碼格式從瀏覽器傳送到 Web 服務器 為了更好保護這些憑據 只要在使用基本身份驗證同時再使用安全套接字層 (SSL) 即可 由於 Web 服務器包含未加密的用戶憑據 因此 ASP NET 應用程序可以模擬調用方並使用他們的憑據來訪問網絡資源
·集成的 Windows 集成的 Windows 身份驗證(以前稱為 NTLM 也稱為 Windows NT 質詢/應答身份驗證 Windows NT Challenge/Response)是使用 Kerberos v 身份驗證還是 NTLM 身份驗證 取決於客戶端和服務器的配置 服務器與客戶端協商確定要使用的協議 如果滿足以下條件 則使用 Kerberos 身份驗證
· Web 應用程序正在 NeorkService 帳戶或自定義域帳戶下運行 如果應用程序在本地帳戶(如 Windows Server 上的 ASPNET 帳戶)上運行 則使用 NTLM 身份驗證
·域帳戶的 Active Directory 中有壹個服務主要名稱 (SPN) 該域帳戶用於運行客戶端進行身份驗證所使用的服務
·客戶端計算機和服務器計算機至少需要運行 Windows Server 且處在相同的(即信任的)Windows 域中
註 默認情況下 對於 Windows Server 操作系統啟用集成 Windows 身份驗證 然而 如果 Windows Server Service Pack (SP ) 作為 Windows Server 操作系統整合安裝的壹部分進行安裝 則默認情況下禁用集成 Windows 身份驗證 如果使用 SP 升級 Windows Server 則集成 Windows 身份驗證的設置與其 Windows Server 設置相同
應該使用集成 Windows 身份驗證而不是基本身份驗證 因為前者避免了通過網絡傳輸用戶憑據 由於 Kerberos v 身份驗證支持相互身份驗證 因此用戶還可以對正在連接的服務器進行身份驗證
集成 Windows 身份驗證最適合於 Intranet 環境 其中的客戶端計算機和 Web 服務器計算機都是相同(即信任的)域的壹部分
三 NTLM身份驗證
ntlm 是用於 Windows NT 和 Windows Server 工作組環境的身份驗證協議 它還用在必須對 Windows NT 系統進行身份驗證的混合 Windows Active Directory 域環境中 當 Windows Server 轉換為不存在下層 Windows NT 域控制器的本機模式時 禁用 NTLM 然後 Kerberos v 變成企業級的默認身份驗證協議
ntlm 身份驗證機制
圖 顯示 NTLM 協議
圖 NTLM 質詢/應答機制
下面概述質詢/應答機制
· 用戶請求訪問 用戶嘗試通過提供用戶憑據登錄到客戶端 登錄前 客戶端計算機緩存密碼的哈希值並放棄密碼 客戶端向服務器發送壹個請求 該請求包括用戶名以及純文本格式的請求
· 服務器發送質詢消息 服務器生成壹個稱為質詢的 字節隨機數(即 NONCE) 並將它發送到客戶端
· 客戶端發送應答消息 客戶端使用由用戶的密碼生成的壹個密碼哈希值來加密服務器發送的質詢 它以應答的形式將這個加密的質詢發回到服務器
· 服務器將質詢和應答發送到域控制器 服務器將用戶名 原始質詢以及應答從客戶端計算機發送到域控制器
· 域控制器比較質詢和應答以對用戶進行身份驗證 域控制器獲取該用戶的密碼哈希值 然後使用該哈希值對原始質詢進行加密 接下來 域控制器將加密的質詢與客戶端計算機的應答進行比較 如果匹配 域控制器則發送該用戶已經過身份驗證的服務器確認
· 服務器向客戶端發送應答 假定憑據有效 服務器授予對所請求的服務或資源的客戶端訪問權
四 Kerberos 身份驗證
與 NTLM 身份驗證相比 Kerberos 身份驗證具有以下優勢
· 相互身份驗證 當客戶端使用 Kerberos v 協議對特定服務器上的特定服務進行身份驗證 Kerberos 為客戶端提供網絡上惡意代碼不會模擬該服務的保證
· 委托支持 使用 Kerberos 身份驗證對客戶端進行身份驗證的服務器可以模擬這些客戶端 並使用該客戶端的安全上下文訪問網絡資源
· 性能 Kerberos 身份驗證提供優於 NTLM 身份驗證的改進的性能
· 簡化的信任管理 具有多個域的網絡不再需要壹組復雜的顯式 點對點信任關系
· 互操作性 Microsoft 實現的 Kerberos 協議基於向 Internet 工程任務組 (IETF) 推薦的標準跟蹤規範 因此 Windows 中協議的實現為與其他網絡的互操作奠定了基礎(其中 Kerberos 版本 用於身份驗證)
kerberos 身份驗證機制
圖 顯示 Kerberos 身份驗證協議的簡化視圖
圖 Kerberos 身份驗證
當客戶端對網絡服務進行身份驗證之後 kerberos v 協議遵循以下步驟
· 客戶端從 KDC 請求 TGT 用戶試圖通過提供用戶憑據登錄到客戶端 客戶端計算機上的 Kerberos 服務向密鑰發行中心 (KDC) 發送壹個 Kerberos 身份驗證服務請求 該請求包含用戶名 請求票證授予票證(ticket granting ticket TGT)所獲取的服務信息 以及使用用戶的長期密鑰(即密碼)加密的時間戳
註 在 Windows Server 或 Windows Server 操作系統上 域控制器充當 KDC 而 Active Directory 宿主安全帳戶數據庫
· 身份驗證服務發送加密的 TGT 和會話密鑰 KDC 為來自 Active Directory 的用戶獲取長期密鑰(即密碼) 然後解密隨請求壹起傳送的時間戳 如果該時間戳有效 則用戶是真正的用戶 KDC 身份驗證服務創建壹個登錄會話密鑰 並使用用戶的長期密鑰對該副本進行加密 然後 該身份驗證服務創建壹個 TGT 它包括用戶信息和登錄會話密鑰 最後 該身份驗證服務使用自己的密鑰加密 TGT 並將加密的會話密鑰和加密的 TGT 傳遞給客戶端
· 客戶端從 TGT 請求服務器訪問 客戶端使用其長期密鑰(即密碼)解密登錄會話密鑰 並在本地緩存它 此外 客戶端還將加密的 TGT 存儲在它的緩存中 訪問網絡服務時 客戶端向 KDC 票證授予服務(ticket granting service TGS)發送壹個包含信息的請求 這些信息包括用戶名 使用用戶登錄會話密鑰加密的驗證者消息 TGT 以及用戶想訪問的服務(和服務器)名稱
· TGS 發送加密的會話密鑰和票證 KDC 上的 TGS 使用自己的密鑰解密 KDC 並提取登錄會話密鑰 它使用該登錄會話密鑰解密驗證者消息(通常是時間戳) 如果驗證者消息成功解密 TGS 從 TGT 提取用戶信息 並使用用戶信息創建壹個用於訪問該服務的服務會話密鑰 它使用該用戶的登錄會話密鑰對該服務會話密鑰的壹個副本進行加密 創建壹個具有服務會話密鑰和用戶信息的服務票證 然後使用該服務的長期密鑰(密碼)對該服務票證進行加密 然後 TGS 將加密的服務會話密鑰和服務票證添加到客戶端
· 客戶端發送服務票證 客戶端訪問服務時 向服務器發送壹個請求 該請求包含驗證者消息(時間戳) 該消息使用服務會話密鑰和服務票證進行加密
· 服務器發送加密的時間戳以進行客戶端驗證 服務器解密服務票證並提取服務會話密鑰 通過使用服務會話密鑰 服務器解密驗證者消息(時間戳)並計算它 如果驗證者通過測試 則服務器使用服務會話密鑰對驗證者(時間戳)進行加密 然後將驗證者傳回到客戶端 客戶端解密時間戳 如果該時間戳與原始時間戳相同 則該服務是真正的 客戶端繼續連接
服務的主要名稱
kerberos v 身份驗證協議之所以使用服務的主要名稱 (SPN) 原因如下
· 支持相互身份驗證
· 允許壹個客戶端請求票證 進而允許該客戶端與特定服務通訊
例如 如果某個客戶端需要獲得壹個票證 並對在偵聽端口 運行的計算機 (myserver) 上的特定服務 (myservice) 進行身份驗證 則該客戶端使用根據該信息構造的名稱從 KDC 請求壹個票證 如下所示
MyService/MyServer 在 Active Directory 中註冊的 SPN 在該名稱和運行所請求的服務的域帳戶之間維護壹個映射 通過使用該機制 惡意用戶難以在網絡上模擬服務 惡意用戶必須禁用實際服務並從該網絡移除實際服務器 然後 惡意用戶必須向網絡中添加壹臺同名的新計算機並公開重復的服務 由於客戶端使用具有相互身份驗證的 Kerberos v 協議 因此該客戶端將無法使用重復的服務 除非它可以提供配置實際服務進行運行的域帳戶的密碼
五 ASP NET身份驗證
iis 向 ASP NET 傳遞代表經過身份驗證的用戶或匿名用戶帳戶的令牌 該令牌在壹個包含在 iprincipal 對象中的 iidentity 對象中維護 iprincipal 對象進而附加到當前 Web 請求線程 可以通過 屬性訪問 iprincipal 和 iidentity 對象 這些對象和該屬性由身份驗證模塊設置 這些模塊作為 HTTP 模塊實現並作為 ASP NET 管道的壹個標準部分進行調用 如圖 所示
圖 ASP NET 管道
管道模型包含壹個 application 對象 多個 HTTP 模塊對象 以及壹個 HTTP 處理程序對象及其相關的工廠對象 runtime 對象用於處理序列的開頭 在整個請求生命周期中 context 對象用於傳遞有關請求和響應的詳細信息
有關 ASP NET 請求生命周期的詳細信息 請參閱 ASP NET Life Cycle 網址是 (en US VS ) aspx
身份驗證模塊
在計算機級別的 nfig 文件中定義壹組 HTTP 模塊 其中包括大量身份驗證模塊 如下所示
<Modules>? <add name= WindowsAuthentication ? type= System Web Security WindowsAuthenticationModule />? <add name= FormsAuthentication ? type= System Web Security FormsAuthenticationModule />? <add name= PassportAuthentication ? type= System Web Security PassportAuthenticationModule /></Modules>
只加載壹個身份驗證模塊 這取決於該配置文件的 authentication 元素中指定了哪種身份驗證模式 該身份驗證模塊創建壹個 iprincipal 對象並將它存儲在 屬性中 這是很關鍵的 因為其他授權模塊使用該 iprincipal 對象作出授權決定
當 IIS 中啟用匿名訪問且 authentication 元素的 mode 屬性設置為 none 時 有壹個特殊模塊將默認的匿名原則添加到 屬性中 因此 在進行身份驗證之後 絕不是壹個空引用(在 Visual Basic 中為 nothing)
windowsauthenticationmodule
如果 nfig 文件包含以下元素 則激活 windowsauthenticationmodule 類
<authentication mode= Windows />? WindowsAuthenticationModule 類負責創建 windowsprincipal 和 windowsidentity 對象來表示經過身份驗證的用戶 並且負責將這些對象附加到當前 Web 請求
對於 Windows 身份驗證 遵循以下步驟
· WindowsAuthenticationModule 使用從 IIS 傳遞到 ASP NET 的 Windows 訪問令牌創建壹個 windowsprincipal 對象 該令牌包裝在 context 類的 workerrequest 屬性中 引發 authenticaterequest 事件時 windowsauthenticationmodule 從 context 類檢索該令牌並創建 windowsprincipal 對象 用該 windowsprincipal 對象進行設置 它表示所有經過身份驗證的模塊和 ASP NET 頁的經過身份驗證的用戶的安全上下文
· WindowsAuthenticationModule 類使用 P/Invoke 調用 Win 函數並獲得該用戶所屬的 Windows 組的列表 這些組用於填充 windowsprincipal 角色列表
· WindowsAuthenticationModule 類將 windowsprincipal 對象存儲在 屬性中 隨後 授權模塊用它對經過身份驗證的用戶授權
註 defaultauthenticationmodule 類(也是 ASP NET 管道的壹部分)將 thread currentprincipal 屬性設置為與 屬性相同的值 它在處理 authenticaterequest 事件之後進行此操作
授權模塊
WindowsAuthenticationModule 類完成其處理之後 如果未拒絕請求 則調用授權模塊 授權模塊也在計算機級別的 nfig 文件中的 modules 元素中定義 如下所示
<Modules>? <add name= UrlAuthorization ? type= System Web Security UrlAuthorizationModule />? <add name= FileAuthorization ? type= System Web Security FileAuthorizationModule />? <add name= AnonymousIdentification ? type= System Web Security AnonymousIdentificationModule /></Modules>? urlauthorizationmodule
調用 urlauthorizationmodule 類時 它在計算機級別或應用程序特定的 nfig 文件中查找 authorization 元素 如果存在該元素 則 urlauthorizationmodule 類從 屬性檢索 iprincipal 對象 然後使用指定的動詞(GET POST 等)來確定是否授權該用戶訪問請求的資源
fileauthorizationmodule
接下來 調用 fileauthorizationmodule 類 它檢查 屬性中的 iidentity 對象是否是 windowsidentity 類的壹個實例 如果 iidentity 對象不是 windowsidentity 類的壹個實例 則 fileauthorizationmodule 類停止處理
如果存在 windowsidentity 類的壹個實例 則 fileauthorizationmodule 類調用 accesscheck Win 函數(通過 P/Invoke)來確定是否授權經過身份驗證的客戶端訪問請求的文件 如果該文件的安全描述符的隨機訪問控制列表 (DACL) 中至少包含壹個 read 訪問控制項 (ACE) 則允許該請求繼續 否則 fileauthorizationmodule 類調用 方法並將狀態碼 返回到客戶端
六 安全上下文
net Framework 使用以下兩個接口封裝 Windows 令牌和登錄會話
· System Security Principal IPrincipal
· System Security Principal IIdentity(它公開為 iprincipal 接口中的壹個屬性 )
在 ASP NET 中 用 windowsprincipal 和 windowsidentity 類表示使用 Windows 身份驗證進行身份驗證的用戶的安全上下文 使用 Windows 身份驗證的 ASP NET 應用程序可以通過 屬性訪問 windowsprincipal 類
要檢索啟動當前請求的 Windows 經過身份驗證的用戶的安全上下文 使用以下代碼
using System Security Principal; // Obtain the authenticated user s IdentityWindowsPrincipal winPrincipal = (WindowsPrincipal)HttpContext Current User;
windowsidentity getcurrent
WindowsIdentity GetCurrent 方法可用於獲得當前運行的 Win 線程的安全上下文的標識 如果不使用模擬 線程繼承 IIS (默認情況下的 NeorkService 帳戶)上進程的安全上下文
該安全上下文在訪問本地資源時使用 通過使用經過身份驗證的初始用戶的安全上下文或使用固定標識 您可以使用模擬重寫該安全上下文
要檢索運行應用程序的安全上下文 使用以下代碼
using System Security Principal; // Obtain the authenticated user s identity WindowsIdentity winId = WindowsIdentity GetCurrent();WindowsPrincipal winPrincipal = new WindowsPrincipal(winId);? thread currentprincipal
應用程序中的每個線程公開壹個 currentprincipal 對象 該對象保存經過身份驗證的初始用戶的安全上下文 該安全上下文可用於基於角色的授權
要檢索線程的當前原則 使用以下代碼
using System Security Principal; // Obtain the authenticated user s identityWindowsPrincipal winPrincipal = (WindowsPrincipal) Thread CurrentPrincipal();? 表 顯示從各種標識屬性獲得的結果標識 當您的應用程序使用 Windows 身份驗證且 IIS 配置為使用集成 Windows 身份驗證時 可以從 ASP NET 應用程序使用這些標識屬性
表 線程公開的 CurrentPrincipal Object nfig 設置 變量位置 結果標識
<identity impersonate= true /><authentication mode= Windows />
HttpContextWindowsIdentity線程
Domain\UserNameDomain\UserNameDomain\UserName
<identity impersonate= false /><authentication mode= Windows />
HttpContextWindowsIdentity線程
Domain\UserNameNT AUTHORITY\NEORK SERVICEDomain\UserName
<identity impersonate= true /><authentication mode= Forms />
HttpContextWindowsIdentity線程
用戶提供的名稱Domain\UserName用戶提供的名稱
<identity impersonate= false /><authentication mode= Forms />
HttpContextWindowsIdentity線程
用戶提供的名稱NT AUTHORITY\NEORK SERVICE用戶提供的名稱
七 模擬
應用程序可以使用模擬來執行操作 使用經過身份驗證的客戶端或特定 Windows 帳戶的安全上下文來訪問資源
初始用戶模擬
要模擬初始(經過身份驗證的)用戶 請在 nfig 文件中使用以下配置
<authentication mode= Windows /><identity impersonate= true />? 使用該配置 始終模擬經過身份驗證的用戶 且所有資源訪問均使用經過身份驗證的用戶的安全上下文執行 如果您的應用程序的虛擬目錄上啟用了匿名訪問 則模擬 IUSR_MACHINENAME 帳戶
要暫時模擬經過身份驗證的調用方 將 identity 元素的 impersonate 屬性設置為 false 然後使用以下代碼
using System Security Principal; // Obtain the authenticated user s identity WindowsIdentity winId = (WindowsIdentity)HttpContext Current User Identity; WindowsImpersonationContext ctx = null; try { // Start impersonating ctx = winId Impersonate(); // Now impersonating // Access resources using the identity of the authenticated user } // Prevent exceptions from propagating catch { } finally { // Revert impersonation if (ctx != null) ctx Undo(); } // Back to running under the default ASP NET process identity
這段代碼模擬經過身份驗證的初始用戶 在 對象中維護初始用戶的標識和 Windows 令牌
固定標識模擬
如果需要在應用程序的整個生命周期中模擬相同的標識 可以在 nfig 文件中的 identity 元素上指定憑據 以下示例顯示如何模擬名為 TestUser 的 Windows 帳戶
如果使用該方法 應該對這些憑據進行加密 使用 ASP NET 您可以使用 ASP NET IIS 註冊工具 (Aspnet_regiis exe) 使用 ASP NET 版 您可以使用 Aspnet_setreg exe 實用工具 有關該實用工具的詳細信息 請參閱 ?url=/library/en us/cptools//cpgrfaspnetiisregistrationtoolaspnet_regiisexe asp
要在 ASP NET 應用程序中使用固定標識進行資源訪問 可使用 Windows Server 或 Windows Server 上的 identity 元素來配置憑據 如果正在運行 Windows Server 其中的 IIS 配置為運行在輔助進程隔離模式下(默認情況) 則可通過將 ASP NET 應用程序配置為在自定義應用程序池(在特定的域標識下運行)中運行來避免模擬 然後 可以使用指定的域標識訪問資源而無需使用模擬
八 委托
模擬只提供對本地資源的訪問 委托是壹個擴展的模擬功能 它允許您使用模擬令牌訪問網絡資源
如果應用程序使用 Kerberos v 身份驗證對其用戶進行身份驗證 則可使用 Kerberos 委托在應用程序的各層傳遞用戶標識並訪問網絡資源 如果應用程序不使用 Kerberos v 身份驗證 則可使用協議轉換切換到 Kerberos 然後使用委托傳遞該標識
windows Server 中的約束委托需要 Kerberos 身份驗證 如果您的應用程序無法使用 Kerberos 身份驗證對其調用方進行身份驗證 您可以使用協議轉換從可選的非 Windows 身份驗證模式(如 窗體或證書身份驗證)切換到 Kerberos 身份驗證 然後 可使用具有約束委托的 Kerberos 訪問下遊網絡資源
約束的和未約束的委托
windows Server 上的 Kerberos 委托是未約束的 Active Directory 中配置了委托的服務器可在使用模擬的用戶安全上下文的同時訪問任何網絡資源或網絡上的任何計算機 這會帶來潛在的安全威脅 尤其是 Web 服務器遭受惡意用戶攻擊時
為了解決該安全問題 windows Server 引入了約束的委托 這使管理員能夠在使用模擬的用戶安全上下文時準確指定另壹個服務器或域帳戶可以訪問的服務
配置委托
要使用 Kerberos 委托 需要適當的 Active Directory 配置
要授予 Web 服務器委托客戶端憑據的權限 請按以下方式配置 Active Directory
· 如果在 NeorkService 帳戶下運行應用程序 Web 服務器計算機帳戶必須在 Active Directory 中標記為受信任委托
· 如果在自定義域帳戶下運行應用程序 該用戶帳戶必須在 Active Directory 中標記為受信任委托
· 如果應用程序模擬壹個用戶帳戶 請確保應用程序模擬的用戶帳戶在 Active Directory 中未標記為 敏感帳戶 不能被委托
有關協議轉換和約束委托的詳細信息 請參閱 How To Use Protocol Transition and Constrained Delegation in ASP NET
lishixinzhi/Article/program/net/201311/13414