如何保證智能客戶端應(yīng)用的安全性

如何保證智能客戶端應(yīng)用的安全性NameTitleMicrosoftCorporation日程滿足安全性的需求深入:安全性的設(shè)計(jì)選擇保護(hù)數(shù)據(jù)庫(kù)的安全保護(hù)代碼中的安全項(xiàng)加密離線的數(shù)據(jù)控制對(duì)本地資源的訪問(wèn)

控制對(duì)Web服務(wù)的訪問(wèn)保護(hù)業(yè)務(wù)邏輯總結(jié):安全性的最佳實(shí)踐滿足安全性的需求采用一種結(jié)構(gòu)化的方法來(lái)判斷，定量并定位所有可能的威脅威脅模型安全性的檢查清單最佳實(shí)踐:將安全性檢查作為整個(gè)開發(fā)流程的一部分規(guī)劃和設(shè)計(jì)的一部份就像編碼和測(cè)試一樣SD3設(shè)計(jì)成就

安全默認(rèn)鞏固

安全部署實(shí)現(xiàn)安全安全的體系結(jié)構(gòu)和代碼威脅分析減少漏洞減少攻擊表面區(qū)域默認(rèn)情況下，關(guān)閉不使用的功能使用最小權(quán)限保護(hù)：檢測(cè)、防護(hù)、恢復(fù)和管理過(guò)程：How

to

指南、體系結(jié)構(gòu)指南人員：培訓(xùn)SD3

安全框架安全的產(chǎn)品開發(fā)時(shí)間線測(cè)試計(jì)劃

完成設(shè)計(jì)完成概念代碼完成發(fā)行發(fā)行后測(cè)試安全性

漏洞評(píng)估安全性

了解何時(shí)

雇傭小組成員確定

安全信號(hào)

標(biāo)準(zhǔn)發(fā)送到

外部檢查分析

威脅學(xué)習(xí)和

完善執(zhí)行安全

小組檢查對(duì)小組

成員進(jìn)行培訓(xùn)測(cè)試數(shù)據(jù)突變和最小權(quán)限解決安全問(wèn)題，

根據(jù)安全準(zhǔn)則

對(duì)代碼進(jìn)行驗(yàn)證=ongoing威脅

#1

(I)查看薪水?dāng)?shù)據(jù)1.1通信量

不受保護(hù)1.2攻擊者查看通信量1.2.1使用協(xié)議分析器

簡(jiǎn)要說(shuō)明通信量1.2.2偵聽路由器通信量路由器未安裝修補(bǔ)程序泄漏

路由器猜測(cè)路由器密碼1.0

查看薪水?dāng)?shù)據(jù)

(I)

1.1

通信量不受保護(hù)

(AND)

1.2

攻擊者查看通信量

1.2.1

使用協(xié)議分析器探測(cè)通信量

1.2.2

偵聽路由器通信量

路由器未安裝修補(bǔ)程序

(AND)

泄漏路由器

猜測(cè)路由器密碼建立威脅模型過(guò)程

使用攻擊樹確認(rèn)威脅減輕風(fēng)險(xiǎn)過(guò)程威脅類型(STRIDE)減輕風(fēng)險(xiǎn)技術(shù)減輕風(fēng)險(xiǎn)技術(shù)技術(shù)技術(shù)技術(shù)技術(shù)欺騙身份驗(yàn)證NTLMX.509

證書PGP

密鑰基本摘要KerberosSSL/TLS確認(rèn)類別

例如：欺騙選擇技術(shù)

例如：身份驗(yàn)證或保護(hù)機(jī)密數(shù)據(jù)選擇技術(shù)

例如：Kerberos減輕風(fēng)險(xiǎn)的技術(shù)示例客戶端服務(wù)器永久性

數(shù)據(jù)身份驗(yàn)證

數(shù)據(jù)配置

數(shù)據(jù)STRIDESTRIDESTRIDESTRIDESTRIDESSL/TLSIPSec

具有隱私的

RPC/DCO防火墻限制匿名連接的資源使用強(qiáng)訪問(wèn)控制數(shù)字簽名審核漏洞不安全的

網(wǎng)絡(luò)威脅模型結(jié)構(gòu)化的方法:辨別威脅找出對(duì)策

擔(dān)心有助于規(guī)避風(fēng)險(xiǎn)可能帶來(lái)的損失重復(fù)的可能性Exploitability受影響的用戶被發(fā)現(xiàn)的可能性

MSDNPatternsandPractices包含更詳細(xì)的信息/library/en-us/dnnetsec/html/ThreatCounter.asp威脅模型的流程1.標(biāo)識(shí)保密信息2.建立體系結(jié)構(gòu)概述3.分解應(yīng)用4.辨別威脅5.將文協(xié)存檔6.評(píng)定威脅級(jí)別MSDN安全性檢查清單識(shí)別威脅非常有用的工具/library/en-us/dnnetsec/html/CL_SecRevi.asp深入:

安全性的設(shè)計(jì)選擇保護(hù)數(shù)據(jù)庫(kù)的安全保護(hù)代碼中的安全項(xiàng)加密離線的數(shù)據(jù)控制對(duì)本地資源的訪問(wèn)控制對(duì)Web服務(wù)的訪問(wèn)保護(hù)業(yè)務(wù)邏輯保護(hù)數(shù)據(jù)庫(kù)的安全用最小權(quán)限的帳號(hào)

來(lái)連接數(shù)據(jù)庫(kù)僅為存儲(chǔ)過(guò)程分配訪問(wèn)權(quán)限如果不能用存儲(chǔ)過(guò)程,用類型安全的參數(shù)來(lái)構(gòu)造命令對(duì)象將連接字符串加密保存將從數(shù)據(jù)庫(kù)查詢出來(lái)的保密性數(shù)據(jù)，用可靠的對(duì)稱加密算法加密用DPAPI進(jìn)行加密,并且保存在權(quán)限保護(hù)的注冊(cè)表里提示:不同任務(wù)應(yīng)該用的帳號(hào)“sa”(或者域里面相同權(quán)限帳號(hào))數(shù)據(jù)庫(kù)服務(wù)器管理僅用于創(chuàng)建數(shù)據(jù)庫(kù)“dbo"應(yīng)用中數(shù)據(jù)庫(kù)的所有者

僅在開發(fā)過(guò)程中使用修改表結(jié)構(gòu),創(chuàng)建存儲(chǔ)過(guò)程“IVUser“Locked-downaccount中間件用于訪問(wèn)存儲(chǔ)過(guò)程保護(hù)保密信息以及離線數(shù)據(jù)單向哈希(Hash)函數(shù)非常容易計(jì)算，實(shí)踐證明不可逆不可能從哈希數(shù)據(jù)運(yùn)算出源數(shù)據(jù)!最適合于:存儲(chǔ)用戶口令或者其他只需要比較哈希值就可以的數(shù)據(jù)強(qiáng)加密算法只有知道加密的密鑰才能解密數(shù)據(jù)最適合于:保護(hù)存儲(chǔ)或者傳遞的數(shù)據(jù)應(yīng)該采用哪種技術(shù)?我希望…建議優(yōu)點(diǎn)限制安全的保存用戶口令Salt+SHA1(單向哈希算法)在哈希運(yùn)算之間，向口令字符串里面加”Salt”，以防止離線的字典攻擊不需要管理密鑰相同的數(shù)據(jù)值運(yùn)算出相同的哈希值.

為保證相同的值，必須存儲(chǔ)一個(gè)”Salt”串.應(yīng)該采用哪種技術(shù)?我希望…建議優(yōu)點(diǎn)限制安全的保存用戶口令Salt+SHA1(單向哈希算法)在哈希運(yùn)算之間，向口令字符串里面加”Salt”，以防止離線的字典攻擊不需要管理密鑰相同的數(shù)據(jù)值運(yùn)算出相同的哈希值.

為保證相同的值，必須存儲(chǔ)一個(gè)”Salt”串.保護(hù)本地用戶數(shù)據(jù)DPAPI

(通過(guò)密鑰進(jìn)行加密)DPAPI代替應(yīng)用程序來(lái)管理密鑰.數(shù)據(jù)不能被其他用戶，或者在其他機(jī)器上解密應(yīng)該采用哪種技術(shù)?我希望…建議優(yōu)點(diǎn)限制安全的保存用戶口令Salt+SHA1(單向哈希算法)在哈希運(yùn)算之間，向口令字符串里面加”Salt”，以防止離線的字典攻擊不需要管理密鑰相同的數(shù)據(jù)值運(yùn)算出相同的哈希值.

為保證相同的值，必須存儲(chǔ)一個(gè)”Salt”串.保護(hù)本地用戶數(shù)據(jù)DPAPI

(通過(guò)密鑰進(jìn)行加密)DPAPI代替應(yīng)用程序來(lái)管理密鑰.數(shù)據(jù)不能被其他用戶，或者在其他機(jī)器上解密加密一些以后需要解密的數(shù)據(jù)對(duì)稱加密算法a(e.g.Rijndael)Flexible:datacanbedecryptedbyotherapps/machinesthathavethekey.Applicationmustmanagekeysandtransmitthemsecurely.加密用戶口令目標(biāo):在可用情況下，保證用戶口令的安全建議:哈希Hash(Salt+口令)存儲(chǔ)口令:1.為每個(gè)用戶創(chuàng)建一個(gè)唯一的“salt”Salt確保即使口令一樣，加密后的結(jié)果也不一樣2.將Salt串附加到口令字符串之前3.用SHA1算法加密:SHA1.ComputeHash()4.將Salt和密碼都保存起來(lái)驗(yàn)證時(shí),重新將salt和口令進(jìn)行Hash運(yùn)算對(duì)用戶口令進(jìn)行單向

Hash加密DataProtectionAPI(DPAPI)對(duì)CryptoAPI的擴(kuò)展加密鍵值從登錄用戶的安全信息計(jì)算出來(lái)用TripleDES

加密算法支持一致性用更多的秘密信息來(lái)保證應(yīng)用的數(shù)據(jù)安全最適合于:保護(hù)離線數(shù)據(jù)保護(hù)用戶指定的配置數(shù)據(jù)應(yīng)用DataProtection.vbCryptoAPICrypt32.dllDPAPILocalSecurity

Authority(LSA)DPAPINowisthe

timeforall

good…qANQR1D

BAsUHIsQ

EA…LocalRPC

Calls純文本數(shù)據(jù)操作系統(tǒng)用DPAPI保存SQL連接字符串用DPAPI保存離線數(shù)據(jù)限制對(duì)本地資源的訪問(wèn)什么是本地資源?本地所有的東西!文件和文件系統(tǒng)注冊(cè)表信息用戶界面的元素剪貼板網(wǎng)絡(luò)訪問(wèn)(例如.Web,sockets)性能計(jì)數(shù)器,事件日志打印,等等.NET用代碼訪問(wèn)安全（CAS）控制對(duì)本地資源的訪問(wèn)CodeAccessSecurity提供了應(yīng)用程序?qū)Ρ镜刭Y源訪問(wèn)的權(quán)限應(yīng)用程序具備“剛好足夠”的權(quán)限例如:不需要進(jìn)行文件IO操作的應(yīng)用，就不需要文件IO的權(quán)限對(duì)資源權(quán)限的分配是基于

代碼的特征,而不是用戶用證據(jù)來(lái)決定代碼的特征用策略來(lái)評(píng)估證據(jù)，以決定哪些權(quán)限可以授予給應(yīng)用程序Evidence+Policy=Permissions加載程序集收集證據(jù)HashStrongnamePublisherZoneURLEnterpriseMachineUserAppDomain分配權(quán)限集權(quán)限是否被授予?請(qǐng)求權(quán)限程序集執(zhí)行權(quán)限保護(hù)的操作繼續(xù)執(zhí)行程序的操作

(或者說(shuō)訪問(wèn)資源)Yes產(chǎn)生安全異常No根據(jù)區(qū)域(Zone)已設(shè)定的權(quán)限Permission操作LocalIntranetInternetFileDialog通過(guò)對(duì)話框打開/保存文件YesNoFileDialog通過(guò)對(duì)話框打開文件YesYesIsolatedStorageFile根據(jù)用戶和程序集將存儲(chǔ)隔離YesNoIsolatedStorageFile根據(jù)用戶，程序集和應(yīng)用程序域?qū)⒋鎯?chǔ)隔離YesYesPrinting通過(guò)編程打印到默認(rèn)打印機(jī)YesNoPrinting只能通過(guò)指定的對(duì)話框打印YesYesReflection編譯器生成程序集YesNoSecurity對(duì)一個(gè)已分配的權(quán)限斷言YesNoSecurity執(zhí)行YesYesSecurity調(diào)用非托管代碼YesNoUI不限制YesNoUI將數(shù)據(jù)復(fù)制到剪貼板,限制從剪貼板粘貼YesYesUI顯示消息和對(duì)話框YesYesUI安全的最前端窗口和子窗口YesYesWeb用https來(lái)連接原始站點(diǎn)YesYes證據(jù)的7種類型對(duì)程序集進(jìn)行強(qiáng)名稱簽名是一種比較容易而且可靠的方法來(lái)建立代碼標(biāo)識(shí)證據(jù)描述應(yīng)用程序目錄應(yīng)用程序安裝的地方Hash通過(guò)加密算法獲得的一組判斷程序集區(qū)別的值，與版本號(hào)無(wú)關(guān)發(fā)行者發(fā)行者的名稱站點(diǎn)初始的站點(diǎn),例如強(qiáng)名稱對(duì)程序集進(jìn)行強(qiáng)名稱簽名的公鑰URL初始URLZone區(qū)域,例如InternetZone對(duì)程序集執(zhí)行強(qiáng)名稱簽名強(qiáng)名稱對(duì)代碼添加標(biāo)識(shí)，并且可以防止別人對(duì)代碼的篡改強(qiáng)名稱包括:程序集的簡(jiǎn)單名稱

程序集的版本號(hào)程序集的區(qū)域(Culture)代碼

對(duì)程序集代碼進(jìn)行數(shù)字哈希簽名為應(yīng)用程序生成健值對(duì)(KeyPairs)sn-kIssueVision.snk<Assembly:AssemblyKeyFile("..\..\IssueVision.snk")>

設(shè)置安全性的工具強(qiáng)名稱SN.exe

生成強(qiáng)名稱公鑰/密鑰對(duì)文件強(qiáng)名稱的主要工具改變安全策略設(shè)置.NET配置工具.NET向?qū)asPol.exe

命令行工具請(qǐng)慎重更改各項(xiàng)配置!分配正常運(yùn)行的最小權(quán)限部署安全策略通過(guò)SMS或則組策略部署在安裝包里面同應(yīng)用一起部署通過(guò).NET配置插件創(chuàng)建MSISystem.Security.Policy名稱空間包括可編程的方法來(lái)創(chuàng)建策略<configuration><mscorlib><security><policy><PolicyLevelversion="1"><SecurityClasses><SecurityClassName="AllMembershipCondition“...Web服務(wù)安全性大多數(shù)Web服務(wù)使用認(rèn)證防止對(duì)web服務(wù)的匿名使用對(duì)有些服務(wù),也包括:授權(quán)確保用戶有相應(yīng)的權(quán)限來(lái)執(zhí)行操作加密防止惡意的數(shù)據(jù)操作授權(quán)選擇Windows授權(quán)(NTLM)內(nèi)部網(wǎng)應(yīng)用最簡(jiǎn)單的選擇自定義授權(quán)方式建議采用在與非WS-Security平臺(tái)交互時(shí)采用在WSE2.0出現(xiàn)之前的一種方法WebServicesEnhancements(WSE)2.0基于標(biāo)準(zhǔn)，跨平臺(tái)用標(biāo)準(zhǔn)的SOAPheader來(lái)傳遞調(diào)用者安全信息保護(hù)業(yè)務(wù)邏輯層問(wèn)題:.NET可以被反編譯，從而暴露了業(yè)務(wù)邏輯解決方法:攪拌(Obfuscation)對(duì).NET程序集中的符號(hào)重新命名,從而非常難以反編譯工具PreEmptive開發(fā)的

Dotfuscator

社區(qū)版被集成在VisualStudio?.NET2003中Dotfuscator

保護(hù).NET代碼被反編譯總結(jié)：安全性的最佳實(shí)踐采用一種結(jié)構(gòu)化的方法來(lái)評(píng)估威脅,