Understanding Security in .Net Framework
Download as PPTX, PDF0 likes58 views
Understanding security concepts and terms in .net framework. discussing encryption and hashing classes used in .net
![UNDERSTANDING CODE ACCESS SECURITY
Evidenceاسمبلی میسازد مشخص
است گرفته نشات کجا از
فرض پیش مقدارSecurityRuleSet
با برابرLevel2از ولی است
طریق
[assembly: SecurityRules(SecurityRuleSet.Level2)]
داد تغییر را آن میتوان](https://image.slidesharecdn.com/6-understandingsecurity-180428194214/85/Understanding-Security-in-Net-Framework-13-320.jpg)
Understanding Security in .Net Framework
- 1. .NET FRAMEWORK APPLICATION DEVELOPMENT FOUNDATION I LECTURER: VAHID FARAHMANDIAN UNDERSTANDING SECURITY
- 2. OBJECTIVES بتوانید بایستی درس این انتهای در: نام فضای باSystem.Securityشد خواهید آشنا AuthenticationوAuthorizationشناخت خواهید را Cryptographyشناخت خواهید را باCode Access Securityشد خواهید آشنا
- 3. UNDERSTANDING AUTHENTICATION AND AUTHORIZATION Authentication:تشخیص و کاربر از اطالعات اخذ فرآیند گویند را هویت. Authorization:اشاره تشخیصی هویت براساس دسترسی سطوح به دارد. است شده پیاده ویندوز توسط هویت احراز روشهای از یکی توسط تشخیصی هویت میشویم ویندوز وارد زمانیکه و.Net است دسترس در(.Net Framework role-based Security Schema) IIdentity:توسطWindowsIdentityنشان و است شده پیاده میکند اجرا کسی چه را جاری کد میدهد IPrincipal:توسطWindowsPrincipalاطالعات و است شده پیاده
- 4. UNDERSTANDING AUTHENTICATION AND AUTHORIZATION متدIsInRoleسهOverloadکه دارد میکند اخذ را زیر های ورودی: WindowsBuiltInRole:آیا میکند بررسی ویندوز از خاصی گروه عضو کاربر است؟ String:خاص گروه عضو کاربر آیا ویئدوزییا است شده ارائه نام با خیر؟ Int:کاربر آیا که میکند بررسی خاص گروه عضوویندوزیباRID خیر؟ یا است شده ارائه RID(Role Identifier:)که است کدی و میشود ارائه عامل سیستم توسط
- 5. UNDERSTANDING AUTHENTICATION AND AUTHORIZATION است خاص گروهی عضو کاربر آیا که کنیم بررسی تا است نیاز اغلب خیر یا.دهد انجام را خاصی کارهای ،بود عضو که صورتی در. کالس از میتوان اینکار برایPrincipalPermissionنمود استفاده. متدPrincipalPermission.Demandجاری کاربر نقش آیا که میکند بررسی خیر؟ یا دارد مطابقت شده مشخص نقش بایافت تطابق که صورتی در خطای نشودSecurityExceptionمیدهد رخ
- 6. UNDERSTANDING CRYPTOGRAPHY Cryptography:داده این لذا و میکند کدگذاری را ها داده بود نخواهد خواندن قابل غیرمجاز افراد توسط ها. Encryption:داریم نت دات در کدگذاری الگوریتم نوع دو: Secret-key Encryption Public-key Encryption کد به نیاز که صورتی در ،میشود کدگذاری که ای داده هر گشایی کد بتواند بایستی باشد داشته گشایی شود(Decryption)
- 7. USING SECRET-KEY ENCRYPTION کلید کننده دریافت هم و کننده ارسال هم صورت این در میگذارند اشتراک به هم با را کدگذاری. و میکند گذاری کد را داده ارسال از قبل کننده ارسال میکند گشایی کد را آن دریافت از بعد کننده دریافت. نام تحت گذاری کد نوع این ازSymmetric Encryptionیاد هم میشود. هکر ،شود استفاده گذاری کد برای کلید یک از فقط اگر دست کلید به شده بدل و رد های داده مطالعه با میتواند یابد.امر این از جلوگیری برایSymmetric Encryptionیک از Initialization Vector(IV)میکند استفاده(بصورتrandomتولید
- 9. USING PUBLIC-KEY ENCRYPTION میشود استفاده کلید جفت یک از حالت این در(privateKey, publicKey) کاربر1میکند ایجاد کلید جفت یک.نگه را خصوصی کلید سپس کاربر به را عمومی کلید و میدارد2میکند ارسال کاربر2گذاری کد را پیام و کرده دریافت را عمومی کلید کاربر به را آن و میکند1میکند ارسال کاربر1خصوصی کلید از استفاده با و کرده دریافت را پیام میکند گشایی کد را پیام جمله از دارد وجود اینکار برای مختلفی های کالس RSACryptoServiceProvider
- 11. UNDERSTANDING CODE ACCESS SECURITY م که میشود مشخص آن طریق به که است مکانیزمیتحال در د دارد را کاری چه انجام اجازه سیستم روی اجرا.برای نمود استفاده میتوان حالت دو از اینکار: میشود اجرا ناامن یا نامشخص منبع یک از کد اینکه تشخیص این از ،باشد شده تعریف قبال انجام برای مجاز عملیات اگر نمود شناسایی را مجاز غیر عملیات میتوان طریق. Transparency:دسترسی با کد آن طریق به که است مکانیزمی مجاز(Critical Code)غیر دسترسی با کد از را مجاز(Transparent Code)میسازد جدا.
- 12. UNDERSTANDING CODE ACCESS SECURITY نت دات در4نسخهTransparency Level 2آن طی در و شد ارائه میشوند تقسیم دسته سه به کدها: Transparent:به حساس کارهای انجام به مجازSecurity نیستند.نمیتوانندunsafe codeکدهای یاSecurity-Criticalرا بزنند صدا Security-Critical:دهند انجام کاری هر میتوانند.داخل از کدTransparentنیستند شدن زده صدا قابل Safe-Critical:دهند انجام کاری هر میتوانند..های چک به حساس کد زدن صدا از قبل را منظمی امنیتیSecurity میدهد انجام.کدهای طریق ازTransparentزدن صدا قابل
- 13. UNDERSTANDING CODE ACCESS SECURITY Evidenceاسمبلی میسازد مشخص است گرفته نشات کجا از فرض پیش مقدارSecurityRuleSet با برابرLevel2از ولی است طریق [assembly: SecurityRules(SecurityRuleSet.Level2)] داد تغییر را آن میتوان
- 14. MANAGING PERMISSIONS Permission:میتواند کد که دارد عملی به اشاره/نمیتواند دهد انجام را آن نام فضای درون امر این به مربوط های کالس System.Security.Permissionsدارند قرار از استفاده با اینکار برایAppDomain.CreateDomainیک Security Sandboxمیشود ایجاد
- 15. WORKING WITH ACCESS CONTROL Access Controlدسترسی مختلف منابع به کسی چه میسازد مشخص دارد. ACLدارد بخش دو: Access Token:وقتیLoginیک وی برای سیستم باشد موفق کاربر Access Tokenمیکند ایجاد.هرprocessیک کاربر این به مربوط از کپیTokenداشت خواهد را.اینTokenو ها دسترسی حاوی میباشد کاربر انحصاری تشخیصی کد Security Descriptor:میباشد آبجکت مالک نمایانگر.
- 16. KEY TERMS Authentication Authorization Code Access Security Cryptography Permissions Public-key Encryption Secret-key Encryption Transparency Level 2