在公共语言运行时(CLR)过往的版本中,安全模型一直是最为复杂的模块之一,由于涉及Evidence,CAS策略等机制,难以被用户使用。在Silverlight中,CLR团队提出了三层安全级别,大大简化了安全模型,得到了很多积极的反馈。所以CLR4.0对之加以改进,希望能帮助用户开发出更为安全的应用程序,在 Microsoft .NET Framework 4 中,公共语言运行时 (CLR) 安全模型发生了不少变化。
三层安全级别及其运作机制
CLR4.0中的安全级别,从低到高排列如下:
- Transparent
- SafeCritical
- Critical
其运作机制如下图所示,可以用三个箭头加以说明:
- 标记为 SecurityTransparent 的代码从安全性角度而言是可靠的。它不能完成任何危险操作,例如声明权限、执行无法验证的代码或调用本机代码。它也不能直接调用 SecurityCritical 代码
- 与 SecurityTransparent 不同,SecurityCritical 代码能够执行任何所需操作。它能够执行声明、调用本机代码和其他操作。它能够调用其他方法,且不受透明性标记的限制。
- SecuritySafeCritical 代码起着桥梁的作用,它允许透明代码调用关键方法。SecuritySafeCritical 代码与 SecurityCritical 代码的权限相同,但它可由 SecurityTransparent 代码调用。因此,SecuritySafeCritical 代码必须以安全方式公开基础 SecurityCritical 方法(以避免一些部分受信任的恶意代码尝试通过 SecuritySafeCritical 层攻击这些方法),这一点极为重要。
.png)
具体参看Msdn杂志的两篇文章:
- 探究 .NET Framework 4 安全模式:http://msdn.microsoft.com/zh-cn/magazine/ee677170.aspx
- 将 APTCA 程序集迁移到 .NET Framework 4:http://msdn.microsoft.com/zh-cn/magazine/ee336023.aspx
