Framework(軟體)

Microsoft® .NET Framework 1.1 版可再發行組件包.

NET Framework 是微軟的幾個開發團隊一起努力發展的成果，最主要用來產生一個可以用來快速開發、部署網站服務及應用程式的開發平台。這個架構是兩個項目的結果：第一個項目的目的是用來改善Windows 作業平台上的程式開發，特別是改善COM（Component Object Model，組件對象模組。一種微軟所制定的軟體技術；讓對象的功能可以被其它軟體所調用，可以讓組件重複使用、容易更新及維護）；第二個項目則是製作一個以發展服務（Service）軟體為目標的開發平台。這兩個項目團隊三年多前就已經在一起工作，他們希望可以發展出一種可以快速開發出以網際網路為基礎，而且易學易用的開發平台。

目前的安全問題

在今天的軟體環境中，應用程式的來源很多，它們執行很多任務。對應用程式代碼的信任是一個主要需求，因為我們誰也不想軟體或信息遭到破壞。給予許可的安全策略不會允許對敏感信息的不適當的訪問，或將本地機器暴露給惡意的程式或甚至是有平常錯誤的代碼。

過去，安全結構提供了基於用戶賬號的隔離和訪問控制--在這些限制內給予代碼完全訪問權，並假定由特定用戶可運行的代碼具有相同的信任度。不幸的是，如果所有程式都代表某用戶運行，根據用戶對代碼的隔離對於保護一個程式不被其它用戶使用是不夠的。另一種情況，不能被完全信任的代碼經常被轉移到"沙箱"模型中執行，在此代碼運行於隔離環境，而不會訪問大部分的服務。

對今天應用程式的成功的安全解決方案必須能強化兩個安全模型間的平衡。它必須提供對資源的訪問，以便以完成有用的工作，它需要對應用程式的安全性作細緻的控制以確保代碼被識別，檢測，並給予合適的安全級別。.NET Framework就提供了一個這樣的安全模型。

.NET Framework安全解決方案基於管理代碼的概念，以及由通用語言運行時（CLR）加強的安全規則。大部分管理代碼需要進行驗證以確保類型安全及預先定義好的其它屬性的行為的安全。例如，在驗證的代碼中，聲明為接收4位元組值的訪問將拒絕提供8位元組參數的調用，因為不是類型安全的。驗證過程還確保了執行流只傳送到已知的位置，如方法入口點--這個過程去除了跳轉到任意位置執行的能力。

驗證將阻止不是類型安全的代碼執行，在它們引起破壞前捕獲很多常見的編程錯誤。通常的弱點--如快取溢出，對任意記憶體或沒有初始化的記憶體的讀取，對控制項的隨意傳送--都不再可能出現。這將使最終用戶受益，因為在他們執行代碼前對其進行檢查。這也有益於開發人員，他們會發現很多常見錯誤（過去一直在困繞前開發）現在可以查明，並能阻止它們引起破壞。

CLR也能使非管理代碼運行，但非管理代碼不能從這些安全措施中受益。特殊的許可與對非管理代碼的調用能力相關，一個強大的安全策略能確保這些許可被恰當地給予。經過很長時間後，非管理代碼到管理代碼的移植將減少對非管理代碼的調用頻率。

基於證據的安全

.NET Framework引入了"基於證據的安全"的概念。在本質上，它是對安全策略暴露出來問題的解答：

· 組合從哪個站點獲得？

組合是.NET Framework應用程式的構件。它們組成了部署，版本控制，重用，激活作用域，安全認證的基本單元。應用程式的組合是從網站上下載到客戶端的。

· 組合是從哪個URL獲得的？

安全策略需要明確的地址，而組合是從這個地址下載的。

· 組合是從哪個區獲得的？

區是基於代碼的位置，對安全標準，如 Internet, intranet和本機等等，的描述。

· 組合的強名（strong name）是什麼？

強名是由組合的創建者提供了密碼強化後的標識符。儘管它沒有提供對創建者的任何證明，但它唯一標識了組合，確保了組合沒有被破壞過。

根據對這些問題的回答，及其它證據，安全策略可以對賦予組合垢合適許可進行計算。從多種來源可以得到證據，包括CLR，瀏覽器，微軟ASP.NET，及外殼--這依賴於代碼的來源。

當組合被調入記憶體進，CLR策略系統通過收集組合的證據並在策略環境中對證據進行計算，從而決定賦予組合什麼樣的許可權。CLR策略系統然後根據評估過的證據和組合作出的許可請求給予組合一組許可。只有在組合被給予了一組最少的許可後，或組合根本不需要許可權，組合的創建者才能知道組合正確運行。通過一個或多個對特定許可的請求，這樣的附加需求可以被傳送室策略系統。

根據許可請求的類型，策略系統可以進一步限制給予組合的許可（刪除不必要的許可）或甚至拒絕將組合裝入記憶體（如果運行組合所需的最小許可沒有被策略給予）。在不存在任何許可請求的情況下，組合永遠不會被給予多於策略系統將會給予的許可許可權，請求只是進一步限制得到的許可。

安全策略包含了許多代碼組，這些組包含了根據證據應給予的許可權。代碼組描述的許可可提供給從特定的安全區域獲得的組合，或提供給由特定發行商簽名過的組合，等等。儘管隨CLR發行了一組默認的代碼組（及相關許可），但管理員可以對這些CLR安全的進行定置，以適合他們的特殊需求。記住，通過定義與證據相關的代碼組，任何東西都可以作為證據提交，只要安全策略可以使用它。

創建許可的的過程涉及到對證據的評估，以確定代碼組適用於哪個等級：企業，機器，和用戶。策略按上面順序對這三個等級進行評估，然後創建交插了三個等級的許可設定。管理員可以將任何一個策略等級標記為終結（final），這樣做應付阻止在其它等級上對策略做進一步評估。例如，管理員可以在機器級別上對組合終止策略，這樣就會阻止用戶級策略對該組合的套用。

一旦策略完成，許可的最初設定也就創建了。組合通過從三個方面做出特定的請求可以最佳化這些許可：

· 第一方面是指定為了使組合運行它必須擁有的最小許可設定。如果這些許可沒有給予，那么組合將不同調入到記憶體，並拋出例外。

· 第二，可以指定一組可選的許可。儘管組合希望存在這些許可，但如果無法獲得這些許可，它仍可以調入到記憶體。

· 最後，行為特別好的組合實際上會拒絕它們所不需的有風險的許可。這三個最佳化選項是調入時作為聲明語句實現的。

在運行時，許可是根據代碼的執行計算的。右側的圖總結了這個過程的發生順序。組合A3將它的證據和來自主機的證據提供給策略評估器。策略評估器在創建許可時也要考慮從組合得到的許可請求，"G3"。組合A3由組合A2調用，而A2又是由組合A1調用的。當組合A3執行一個引發安全檢查的操作時，A2和A1獲得的許可同樣也要進行檢查，以確保它們擁有A3所請求的許可許可權。在這個過程中，此過程稱為堆疊遍歷（walking），堆疊中每個組合的許可許可權都要進行檢查以確定所給予的許可權設定是否包含安全檢查所需要的許可。如果堆疊中的每個組合被給予了安全檢查所需要的許可，調用將成功。如何任何組合沒有給予所需要的許可，堆疊遍歷過程失敗，安全例外將被拋出。

一些活動，如讀寫檔案，顯示對話框，讀寫環境變數，可以通過包含在框架安全構架中的.NET Framework方法實現。這就使.NET Framework能根據安全策略允許或不允許一個操作，而不需要程式設計師做額外的工作。儘管暴露了保護資源的管理類的創建者在他們的庫中做了明確的安全需求，使用.NET Framework類庫訪問受保護資源的開發人員可以自由地利用代碼訪問安全系統；他們不必作出明確的安全調用。

管理員可以通過決定給予哪些許可來最佳化安全策略，然後，依靠.NET Framework處理所有的安全操作。代碼訪問安全能阻止大部分的惡意攻擊，對代碼的驗證減少了快取溢出和其它會導致安全攻擊的不期望的行為。因此，應用程式和組件生來就受到了保護，它們免於大多數安全問題的衝擊，而這些安全問題一直困繞著本地代碼的實現。

有時根據已認證的身份或根據與代碼執行上下文相關的角色作出認證決定是合適的。例如，金融和企業軟體可以通過評估角色信息的企業邏輯加強策略。根據作出請求的用戶角色可以對金融交易的數據進行限制。出納被允許可以處理一定金額的請求，而多於該金額的所有工作需要監督人的角色來處理。

身份可以映射到登錄系統的用戶，或由應用程式定義。相應的原則封裝了身份和其它相關的角色信息（例如，但並不限於此，用戶的"組"由作業系統定義）。

認證是一個過程，它接收來自用戶的證書，並對證書的授權進行確認。如果證書是有效的，那么用戶就可以說他擁有已認證的身份。而授權的過程是：確定認證用戶是否能夠訪問給定的資源。認證可通過系統或企業邏輯來完成，通過某個API它是或獲得的。認證API是完全可擴展的，因此開發人員根據需要使用自己的企業邏輯。開發人員可以對他們的認證需求進行編碼，也可以修改底層的認證方法而無需對他們的代碼作太大變化。除了微軟Windows?作業系統身份認證外，還有的認證方法包括基本HTTP，摘要和 Kerberos，以及微軟Passport和基於窗體的認證。這些認證方法已經完全集成到ASP.NET中了。

在ASP.NET窗體認證中，用戶提供證書，並提交窗體。如果應用程式簦別請求，系統傳送一個cookie ，該cookie以某種形式包含包含了證書或包含重新獲得身份的關鍵字。接下來傳送的請求在頭中包含了cookie，ASP.NET處理程式通過應用程式所期望的任何有效方法對這些請求認證和授權。如果請求沒有經過認證，HTTP客戶端將用於把請求傳送到認證窗體，在那裡用戶可能提供信任證書。窗體認證有時用於個性化--為已知用戶的內容進行定置。在一些情況下，身份是問題所在而不是認證，因此用戶的個性化信息可以簡單地通過訪問用戶或獲得。

授權的目的是確定作出請求的身份是否被給予了對給定資源的訪問權。ASP.NET提供了兩種類型的授權服務：檔案授權和URL授權。檔案授權根據正在作用的方法和作出請求的身份決定用戶使用於哪個訪問控制列表。URL授權是URI名稱空間和不同用戶或角色間的邏輯映射。

是嗎？

.NET Framework提供了一個特殊的功能，隔離存儲，用於存儲數據，甚至是當不允許對檔案進行訪問時--例如，當從Internet下載了一個管理控制項，並運行它，為它提供了有限的許可權但沒有權力讀寫檔案。

隔離存儲是一組新的用於.NET支持的用於本地存儲的類型和方法。在本質上，每個組合可以訪問磁碟上一斷被隔離的存儲空間。它不允許訪問其它數據，隔離存儲只對為它創建的組合有效。

隔離存儲也可被應用程式用於保存活動記錄，保存設定，或者將狀態數據保存到磁碟上以備將來之用。因為隔離存儲的位置是預先決定好的，所以隔離存儲為指定唯一存儲空間提供了一種方便的方式，而不需要決定檔案路徑。

從本地企業區域網路獲得的代碼具有相似的限制，但更少，它可以訪問大限額的隔離存儲。最後，從受限站點區域（不信任站點）來的代碼沒有對隔離存儲的訪問權。

.NET Framework提供了一組加密對象，它們支持加密算法、數字簽名、散列、生成隨機數，是通過眾所周知的運算法則實現的，如RSA, DSA, Rijndael/AES, Triple DES, DES, 和 RC2, 以及MD5, SHA1, SHA-256, SHA-384 和 SHA-512散列算法。同時還支持在IETF和W3C開發的XML數字簽名規範。.NET Framework使用加密對象支持內部服務。這些對象還作為管理代碼提供給需要加密支持的開發人員。

如何指定安全性？

如果要對組合運行時的行為進行修改，根據程式設計師的需要，可以作出聲明式安全或強迫式安全的修改。

聲明式安全

聲明式安全使程式設計師可以直接在組合代碼的元數據中為組合指定安全需求。許可請求和所有其它形式的聲明式安全是在代碼中是作為定置屬性指定的。類，屬性和方法的注釋用於最佳化許可。例如，聲明式安全可用於類的調用者在調用方法前檢查調用者是否被已知地行商簽名過，或有一個特定的強名。

由於聲明屬性是組合元數據的一部分，所以組合的安全需求易於辨別。可以使用工具對組合進行掃描，以發現哪些方法需要某些許可，哪些方法斷言了某些許可。

當被請求的活動和許可在編譯時是知道時，聲明式檢查可作為選擇的解決方案之一。例如，如果方法總是檢查對C:\temp的寫訪問許可，那么許可檢查就會從聲明中得到好處。另一方面，如果被請求的具有訪問權的位置發生了變化，那么強迫式安全也許是一個比較好的解決方案。

強迫式安全

強迫式安全直接在代碼中實現。程式設計師通過程式採取安全活動，並且根據安全堆疊的狀態決定是給予還是拒絕許可。例如，當一個方法請求訪問一個特定的檔案時，如果調用者（或方法的任何一個調用者）沒有被給予必需的許可許可權，那么請求失敗。因為強迫式安全是通過程式實現的，所以滿足了動態需求。如果你需要對一個特定檔案的訪問許可，但該許可還要根據其它信息發生變化，那么，強迫式安全就是可選的解決方案。

.NET Framework安全迎合了這種事實：軟體向多樣化的移動組件發發展，並根據這種事實提供保護。在一個細化的、可擴展的策略和許可系統下，用戶能夠運行功能強大的代碼，而同時減少相關的風險。在沒有運行時對用戶作出信任決定時，管理員可以在各個級別創建強壯的安全策略。策略是完全可定置的。開發人員能夠集中解決應用程式邏輯，而不用關心核心的安全問題（它由CLR透明地處理）。然而，開發人員可以在任何時候擴展安全模型。