TransportService通过xml消息传递安全信息信任级别数字签名消息可.PPT

应用Microsoft .NET Framework编写安全的应用程序 钟卫 DPE 微软公司 Session Prerequisites Development experience with Microsoft Visual Basic?, Microsoft Visual C++, or C# Experience building Microsoft Windows or Web applications using the .NET Framework 课程概述 .NET Framework 安全特性 代码访问安全 角色访问安全 构建安全的ASP.NET Web 应用 构建安全的ASP.NET Web Services应用 .NET 托管代码的执行安全 .NET Framework 安全特性 帮助您开发更加安全的应用 内置很多的安全组件 类型察看 异常管理 安全引擎 与Windows 的安全性相互补充 具备很高的灵活性和扩展性 类型安全的系统 类型安全代码 防范缓冲区溢出 授权方式限制访问内存 允许相同进程运行多程序集 应用程序域提供： 性能增强 代码安全性的增强 缓冲区溢出保护 应用类型检验防范内存改写 在.NET 中System.String的声明和调用没发生改变 .NET 中的System.Text.StringBuilder提供了缓冲区边界检查 算法错误检查 对算法的错误检查通过： 关键字检查 项目设定 强命名保护 强命名 具有唯一的标识符 被用于对程序集的数字签名 经过强命名的程序集 防止被篡改 确认程序集原有者的身份 允许组件并行调用 独立存储 提供了一个虚拟的文件系统 允许设置配额 文件的独立存储通过 应用身份确认 用户身份确认 基于证据的安全机制 证据: 当程序集被访问时评估证据 被用于确定程序集所具有的权限 包含了程序集的: 强命名信息 URL（可信，非可信） Zone（安全区域） 可信的代码签名 用户自定义信息 安全策略 步入调用堆栈的安全机制 访问许可请求 开发者通过许可请求获取必须的权限 属性引用实现 除非具备了运行程序的最小权限，否则不能运行 Demonstration 1: Code Access Security Using the .NET Framework Configuration Tool Performing Security Checks Requesting Permissions 部分信任的程序集 .NET Framework 1.1之前的web应用都是full trust运行 .NET Framework 1.1提供下面几种信任级别： Full High Medium Low Minimal 角色访问安全 .NET Framework 安全特性 代码访问安全 角色访问安全 加密 构建安全的ASP.NET Web 应用 构建安全的ASP.NET Web Services应用 认证和授权 认证需要解决Who are you?Am I sure you are who you say you are? 授权需要解决Are you allowed to … ? Identities and Principals identity 包含了一个用户的信息，比如用户的登陆名称 principal 包含了一种角色的信息，比如角色包含的用户和计算机 .NET Framework 提供了： WindowsIdentity and WindowsPrincipal objects GenericIdentity and GenericPrincipal objects 创建Windows Identities and Principals 使用WindowsIdentity和WindowsPrincipal 对象 创建 Generic Identities and Principals 创建一个 GenericIdentity 和 GenericPrincipal 将创建的GenericPrincipal加载到当前的策略上 执行安全检查 在代码中使用Identity and Principal members 比如，使用Identity.Name属性校验用户的登陆名称 命令与声明式的安全检查 Use permissions to perform role-based security checks 命令式 Demonstration 2: Role-Based Security Using Windows Role-Based Security Using Generic Role-Based Security 构建