随着Intenet在各行各业的普及和web应用的发展，网站的安全性问题越来越受到人们的重视。当使用AsP．NET 开发网站或企业项目系统时，系统安全性已经成为了首要考虑的关键问题。不仅需要保护应用程序的敏感信息，还要防 止非法用户的恶意攻击，而且要防止竞争对手窃取信息或知识产权。AsP．NET是微软公司推出的web开发平台，它为开 发安全的网站系统提供了丰富的措施和机制。本文以知识产权和科技成果数据中心系统为例，阐述了如何利用AsP.NET进行安全网站的开发。
1 ASP.NET的安全机制
AsP.NET与IIS、.NET Framework和操作系统的底层安全性服务相结合，可以实现多种身份验证和授权机制。AsP． NET开发的web应用程序的安全性主要依赖两项功能：验证和授权。验证指的是根据用户的验证信息识别其身份，而授 权旨在确定通过验证的用户可以访问哪些资源。ASP．NET提供了3种身份验证模式：Windows、Forms、Passport。 身份验证的设置是在应用程序的web.cordig文件中迸行配置的，在节可以设置以上身份验证模式中的一种。
1)windows身份验证。
使用这种身份验证模式时，ASP．NET依赖于IIS对用户进行验证，并创建一个windows访问令牌来表示已通过验证 的标识。IIs提供了3种身份验证机制：基本身份验证、摘要身份验证和集成windows身份验证。
2)Form窗体身份验证。
这种验证方式使用客户端重定向功能，将未通过身份验证的用户转发到特定的登录窗体，要求用户输入凭据信息(通常是用户名和密码)。这些凭据信息被验证后，系统生成 一个身份验证票证并将其返回客户端。身份验证票证可在用户的会话期间维护用户的身份标识信息。
3)Passport护照身份验证。
使用这种身份验证模式时，AsP.NET使用Microsoft Passport的集中式身份验证服务，AsP.NET为Microsoft Passport软件开发包所提供的功能提供了一个方便的包装。此sDK必须安装在web服务器上。
2 系统的安全性设计与实现
2．1权限控制
本系统采用基于角色的访问控制，用户和角色关联，角色和权限关联，从而实现了用户与访问权限的逻辑分离，极大地方便了权限管理。
本系统由多个模块组成(专利库、技术秘密库、软件登记库)，每个模块都由若干功能组成，经过分析本系统的用户 可分为四种用户角色：低级用户、中级用户、高级用户、系统管理员，其中不同用户角色的权限分配部分内容如表1所示。 角色的权限设定后只需给用户分配角色即可，系统可以根据企业的情况任意的添加、删除、修改角色，定制角色的权限，通过这种角色的权限定义可以实现各种复杂的安全策略。