如何保证智能客户端应用的数据安全 Securing Smart Client Applications.ppt

如何保证智能客户端应用的安全性 Name Title Microsoft Corporation 日程 满足安全性的需求 深入: 安全性的设计选择 保护数据库的安全 保护代码中的安全项 加密离线的数据 控制对本地资源的访问 控制对 Web 服务的访问 保护业务逻辑 总结: 安全性的最佳实践 满足安全性的需求 采用一种结构化的方法来判断，定量并定位所有可能的威胁 威胁模型 安全性的检查清单 最佳实践: 将安全性检查作为整个开发流程的一部分 规划和设计的一部份 就像编码和测试一样 SD3 安全框架 安全的产品开发时间线 建立威胁模型过程使用攻击树确认威胁 减轻风险过程 减轻风险的技术示例 威胁模型 结构化的方法: 辨别威胁 找出对策 担心有助于规避风险 可能带来的损失 重复的可能性 Exploitability 受影响的用户 被发现的可能性 MSDN Patterns and Practices 包含更详细的信息 /library/en-us/dnnetsec/html/ThreatCounter.asp MSDN 安全性检查清单 识别威胁非常有用的工具 /library/en-us/dnnetsec/html/CL_SecRevi.asp 深入: 安全性的设计选择 保护数据库的安全 用最小权限的帐号 来连接数据库 仅为存储过程分配访问权限 如果不能用存储过程, 用类型安全的参数来构造命令对象 将连接字符串加密保存 将从数据库查询出来的保密性数据，用可靠的对称加密算法加密 用 DPAPI 进行加密, 并且保存在权限保护的注册表里 提示: 不同任务应该用的帐号 “sa” (或者域里面相同权限帐号) 数据库服务器管理 仅用于创建数据库 “dbo 应用中数据库的所有者 仅在开发过程中使用 修改表结构, 创建存储过程 “IVUser“ Locked-down account 中间件用于访问存储过程 保护保密信息以及离线数据 单向哈希(Hash)函数 非常容易计算，实践证明不可逆 不可能从哈希数据运算出源数据! 最适合于: 存储用户口令或者其他只需要比较哈希值就可以的数据 强加密算法 只有知道加密的密钥才能解密数据 最适合于: 保护存储或者传递的数据 应该采用哪种技术? 应该采用哪种技术? 应该采用哪种技术? 加密用户口令 目标: 在可用情况下，保证用户口令的安全 建议: 哈希Hash (Salt + 口令) 存储口令: 1. 为每个用户创建一个唯一的 “salt” Salt 确保即使口令一样，加密后的结果也不一样 2. 将Salt串附加到口令字符串之前 3. 用 SHA1算法加密: SHA1.ComputeHash() 4. 将Salt和密码都保存起来 验证时, 重新将salt和口令进行Hash运算 对用户口令进行单向Hash加密 Data Protection API (DPAPI) 对CryptoAPI的扩展 加密键值从登录用户的安全信息计算出来 用 TripleDES 加密算法 支持一致性 用更多的秘密信息来保证应用的数据安全 最适合于: 保护离线数据 保护用户指定的配置数据 用 DPAPI 保存SQL连接字符串 用 DPAPI 保存离线数据 限制对本地资源的访问 什么是本地资源? 本地所有的东西! 文件和文件系统 注册表信息 用户界面的元素 剪贴板 网络访问 (例如. Web, sockets) 性能计数器, 事件日志 打印, 等等 .NET 用代码访问安全（CAS）控制对本地资源的访问 Code Access Security 提供了应用程序对本地资源访问的权限 应用程序具备 “刚好足够” 的权限 例如: 不需要进行文件 IO操作的应用，就不需要文件IO 的权限 对资源权限的分配是基于 代码的特征, 而不是用户 用 证据 来决定代码的特征 用策略来评估证据，以决定哪些权限可以授予给应用程序 Evidence + Policy = Permissions 根据区域(Zone)已设定的权限 证据的7种类型 对程序集进行强名称签名是一种比较容易而且可靠的方法来建立代码标识 对程序集执行强名称签名 强名称对代码添加标识，并且可以防止别人对代码的篡改 强名称包括: 程序集的简单名称 程序集的版本号 程序集的区域(Culture)代码 对程序集代码进行数字哈希签名 为应用程序生成健值对(Key Pairs) 设置安全性的工具 强名称 SN.exe 生成强名称公钥/密钥对文件 强名称的主要工具 改变安全策略设置 .NET 配置工具 .NET 向导 CasPol.exe 命令行工具 请慎重更改各项配置! 分配正常运行的最小权限 部署安全策略 通过 SMS 或则组策略部署 在安装包里面同应用一起部署 通过 .NET