Microsoft 的.NET 框架中的安全机制.pdf

Microsoft .NET 框架中的安全机制 由 Foundstone 和 CORE Security Technologies 两家公司提供的分析报告 本文对 Microsoft 的 .NET 框架的安全体系结构作了一个概述。本文以 Foundstone 和 CORE Security Technologies 这两家公司自 2000 年夏季开 始进行的一次长期、独立的安全分析为基础。 我们的分析报告显示，如使用得当，.NET 框架使开发人员和管理员能够对其应 用程序和资源进行细微的安全控制；给开发人员提供一套易用的工具集来实现功 能强大的身份验证、授权和加密等例程；消除了如今由于代码缺陷 （如缓冲区溢 出）而使应用程序面临的许多重大安全风险；而且把作重要安全决定 — 如，是 否要运行某个特定的应用程序，或者应让此应用程序能够访问哪些资源 — 的这 一负担从最终用户身上转移到开发人员和管理员身上。 在本文中我们还将介绍 .NET 框架中的基于证据和基于角色的安全功能、代码 访问安全性、验证过程、加密支持、独立存储和应用程序域，说明它们是怎样通 过互相协作实现了这些目标，并为开发和运行各种类型的软件应用程序（包括客 户端和服务器端）提供一个可靠平台的。我们的结论是，.NET 框架能让各类单 位都更有信心保证他们的应用程序能够抵御现在已知以及将来要发生的各种安 全攻击。 引言 在 .NET 框架的开发初期，Foundstone 和 CORE Security Technologies 就协 助 Microsoft Corp. 对其体系结构和实现的安全性进行分析和评估。 对 .NET 框架的分析工作始于 2000 年夏，自该软件第一个 Beta 版出现之前 开 ，一直持续到 Beta 2 版。我们共投入了 2800 多小时的时间，由一个十 人专家小组进行严格、独立的安全审核和测试，其间我们可以完全不受限制地访 问源代码和接触 Microsoft 的工程师，所以完全熟悉了 .NET 框架的安全体系 结构，包括从设计原则到代码级别实现的各个细节。 审核工作遵循由 Foundstone 和 CORE Security Technologies 在多年实践中 形成的标准方法，多年来他们一直都在为各种单位 - 从财富 500 强企业到新兴 的公司 - 提供复杂软件应用程序的测试、评估和安全增强服务。站在安全解决 方案提供商的角度，我们要说我们见到过“好的、坏的和极差的”，而 .NET 框 架，在一年来我们剖析其内部工作机制的过程中，经受了我们的集体智慧的考验。 本文着重探讨 .NET 框架的广泛的安全功能。它主要基于我们去年的评估结果 以及我们与“.NET 框架”开发小组不断的交流。这里所表达的想法和观点完全 是我们在对多个软件版本进行严谨分析和严格测试后得到的独立的观察报告。希 望本文能促进人们对 .NET 框架的安全机制的理解，并表达出我们对该体系结 构及其实现的信心。 范围及目标 在本文中，我们将回顾许多企业在设计和开发软件解决方案的过程中所面临的许 多常见的安全挑战，并概括了 .NET 框架如何通过它的安全体系结构为这些问 题提供了合理的解决办法。 我们一直都在尝试使 .NET 框架复杂的安全机制能让那些至少有中等技术背景 的读者理解。这里我们假定读者对 .NET 框架有一些基本的了解，因此我们不 会花过多的时间讲述有关所涉及到的基本技术的背景知识。在本文档的最后，我 们为那些想更深入了解 .NET 框架技术内容的读者提供了许多供进一步阅读的 参考资源。 背景：应用程序安全性问 几乎没有任何人会怀疑许多软件应用程序所起到的至关重要的作用了，特别是那 些使用基于 Internet 技术构建的应用程序。它们已从简单、静态的数据操作渠 道发展为复杂、动态的面向事务的应用程序，并成了企业商务的支柱。 然而，由于现代软件应用程序越来越复杂以及功能越来越多，也随之产生了一股 不幸的、令人担忧的逆流：越来越多的单位都已成为内部和外部入侵者对其软件 发起的攻击的牺牲品。 解决办法：一个用来管理软件风险的体系结构 .NET 框架的托管代码体系结构为软