【文档说明】Windows应用程序开发入门到精通十二：将安全隐患扼杀在摇篮之中——.pptx，共(27)页，176.708 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-287759.html

以下为本文档部分文字说明：

如何使用Microsoft.NET保护应用程序和数据的安全讲师:欧岩亮微软MSDN特约讲师LiveMeeting2005新特性◼清晰音质——与微软资深讲师的零距离接触◼实时讲义下载——轻松获得第一手资

料◼中文交互——强大的中文提问平台，想问就问，没有困扰◼内容更精彩——开发，集成，架构设计，项目管理，应有尽有课程介绍◼这次Webcast会给大家介绍如何应用.NETFramework中的特性来保护代码的安全基础内容◼熟悉.NET开发◼LEVEL300课程安排◼身份验证

◼授权◼加密◼强命名程序集◼代码访问安全◼中间层安全◼如何避免SQL注入身份验证◼使用Credential来唯一标明一个用户◼可以使用MicrosoftWindows的集成身份验证，使用用户登录Windows时的用户凭证◼编写自己

的用户身份验证的程序，应用程序来管理用户凭证。◼System.Security.IIdentity接口和System.Secutity.GenericIdentity类◼System.Security.Principa

l.WindowsIdentity.GetCurrent().Name演示一◼AuthenticationAuthorization◼使用基于角色的安全◼可以通过编程实现基于角色的授权◼角色可以代表商业流程中的工作职责，例如：秘

书、经理、管理员、总监等◼用角色的方式来管理用户会更加简便如何使用基于角色的安全◼PrincipalPermissionAttrivute和SecurityAction.Demand<PrincipalPermission(SecurityAction.Demand

,Authenticated:=True,_Name:=Nothing,Role:=“Administrator”)>_PublicClassAdminClass…◼IPrincipal.isInRole()lblBossMan.Visible=_Context.User.IsInRole(“

BossMan”)tbToBeChangedOnlyByQueenBee.ReadOnly=Not_Context.User.IsInRole(“QueenBee”)演示二◼Authorization加密◼加密将字节打乱◼对称加密与非对称加密⚫对称加密适用一个相同的密钥进行加密/解密

⚫非对称加密使用一个密钥对进行加密/解密，加密与解密的密钥是不同的（公钥/私钥对）⚫非对称加密算法更加安全⚫对称加密算法更加高效◼System.Security.Cryptography名称空间◼如何进行密钥管理演示三◼加密CodeA

ccessSecurity◼最低权限的策略◼CodeGroup——按照逻辑分类的代码组合◼CodeGroup可以按照多种方式划分URL，strongname，zone，etc◼PermissionSets——许可集，用来定义代码能够访问的资源：文件I/O，IsolatedSto

rage独立存储，SQL客户端，等等。◼LinkdemandsDemoFour◼代码访问安全强命名应用程序集◼使用sn.exe工具来创建强命名公钥/私钥对，并存储在文件当中：sn.exe–kNorthwind.snk◼AssemblyKeyFileAttribute<Assembly:Assem

blyKeyFile(_“c:\keys\Northwind.snk”)>◼优势⚫可以被装载到GAC当中⚫Side-by-side部署，支持多个版本的应用程序集⚫在编译时，.NET的客户端代码使用了强命名应用程序集，在运行时能够有效地防止装入“木马”应用程

序集DelayedSigning◼私钥保密性，确保开发团队中的多个组建使用相同的强命名⚫只导出公钥sn-pNorthwind.snkNorthwindPublicOnly.snk<Assembly:AssemblyKeyFile(_“c:\keys\NorthwindPu

blicOnly.snk”)><Assemble:AssemblyDelaySign(True)>⚫Sn-Vr<assemblyname>：关闭对只拥有公钥的强命名应用程序集进行验证⚫Sn-R<assemblyname><keyfilename>：在发布之前对应用程序集进行缓签名LinkDema

nds◼连接请求发生在外部的代码对本应用程序集进行调用的时候◼System.Security.Permissions名称空间◼例如：StrongNameIdentityPermission属性◼从某个应用程序集中提取公钥标示（一个十

六进制的字符序列）sn-TpNorthwindModel.dll◼例如：StrongNameIdentityPermission(_SecurityAction.LinkDemand,_PublicKey:=“002400000…d6”,_Version:=“1.0.0

.0”)MiddleTier安全◼最现成的方法，COM+是最安全的解决方案——与Windows整合并支持配置◼WebService的安全可以通过HTTPS和IIS安全来控制◼当不能使用IIS安全的时候，可以使用WS-Securit

y（WebServiceEnhancements的一部分）来保证平台之间的WebService安全◼Remoting安全⚫IIS宿主和TCP，使用IIS安全和HTTPS⚫其他宿主，需要实现定制的Channel或Sink演示五◼中

间层安全SQL注入◼SQL注入这种威胁发生在动态生成SQL查询语句的时候，动态生成的SQL语句可能会被篡改◼例如：stringsql=“select*fromuserswhereUserID=‘”+User

ID+“’andpassword=‘”+Password+“’”◼如果在上面的SQL语句中加入’OR1=1’这个条件，users表中的所有数据将最为结果返回◼所有使用动态SQL查询的应用程序都有可能受到这种威胁◼为了防御这种攻击，去掉所有的动态SQL查询：使用ADO.NET中的SqlPara

meters演示六◼防止SQL注入攻击安全设计目标◼最小化攻击范围◼分析具体的攻击并阻止它们：⚫拒绝服务攻击⚫基于文件或目录的攻击⚫SQL注入⚫引诱攻击（Luring）◼防患于未然，提早预知新的攻击◼使用经过验证的安全技术：身份验证，给予角色的授权，HTTPS，加密总结◼.NET包括了强大的内建

的安全特性◼具体问题具体分析，根据情况来选择安全技术，编写安全的基于WindowsForms的代码◼不需要绞尽脑汁去发明新的安全代码更多信息◼安全开发中心http://msdn.microsoft.com/se

curity◼.NET相关的安全书籍◼WS-Securityhttp://msdn.microsoft.com/msdnmag/issues/04/10/ServiceStation/default.aspxhttp://msdn.microsoft.com/library/?url=/li

brary/en-us/wse/html/f991ad3d-f574-4085-8a61-98326ff206ed.asp声音调查：◼请大家通过投票的方式，正确的选择，您在本次收听讲座的“声音效果”。Q&A正在进行中…听众通过点击“Askaquestion”提出

本次讲座技术问题：输入的文字最好用中文，方便老师阅读。虽然您提交后，显示的是乱吗，但老师可以正常阅读。