Microsoft .NET Framework

.NET Framework是管理面向 .NET Framework 的應用的運行時執行環境。 它包括公共語言運行時（提供內存管理和其他系統服務）和一個全面的類庫（使程序員能利用強大可靠的代碼實現所有主要領域的應用開發）。 ^[1] 

.NET Framework安全解決方案基於管理代碼的概念，以及由通用語言運行時（CLR）加強的安全規則。大部分管理代碼需要進行驗證以確保類型安全及預先定義好的其它屬性的行為的安全。例如，在驗證的代碼中，聲明為接收4字節值的訪問將拒絕提供8字節參數的調用，因為不是類型安全的。驗證過程還確保了執行流只傳送到已知的位置，如方法入口點--這個過程去除了跳轉到任意位置執行的能力。

驗證將阻止不是類型安全的代碼執行，在它們引起破壞前捕獲很多常見的編程錯誤。通常的弱點--如緩存溢出，對任意內存或沒有初始化的內存的讀取，對控件的隨意傳送--都不再可能出現。這將使最終用户受益，因為在他們執行代碼前對其進行檢查。這也有益於開發人員，他們會發現很多常見錯誤（過去一直在困擾前開發）可以查明，並能阻止它們引起破壞。

CLR也能使非管理代碼運行，但非管理代碼不能從這些安全措施中受益。特殊的許可與對非管理代碼的調用能力相關，一個強大的安全策略能確保這些許可被恰當地給予。經過很長時間後，非管理代碼到管理代碼的移植將減少對非管理代碼的調用頻率。

基於證據的安全

.NET Framework引入了"基於證據的安全"的概念。在本質上，它是對安全策略暴露出來問題的解答：

· 組合從哪個站點獲得？

組合是.NET Framework應用程序的構件。它們組成了部署，版本控制，重用，激活作用域，安全認證的基本單元。應用程序的組合是從網站上下載到客户端的。

· 組合是從哪個URL獲得的？

安全策略需要明確的地址，而組合是從這個地址下載的。

· 組合是從哪個區獲得的？

區是基於代碼的位置，對安全標準，如 Internet, intranet和本機等等，的描述。

· 組合的強名（strong name）是什麼？

強名是由組合的創建者提供了密碼強化後的標識符。儘管它沒有提供對創建者的任何證明，但它標識了組合，確保了組合沒有被破壞過。

根據對這些問題的回答，及其它證據，安全策略可以對賦予組合垢合適許可進行計算。從多種來源可以得到證據，包括CLR，瀏覽器，微軟，及外殼--這依賴於代碼的來源。

策略驅動的信任模型使用代碼證據

當組合被調入內存時，CLR策略系統通過收集組合的證據並在策略環境中對證據進行計算，從而決定賦予組合什麼樣的許可權。CLR策略系統然後根據評估過的證據和組合作出的許可請求給予組合一組許可。只有在組合被給予了一組最少的許可後，或組合根本不需要許可權，組合的創建者才能知道組合正確運行。通過一個或多個對特定許可的請求，這樣的附加需求可以被傳送至策略系統。

根據許可請求的類型，策略系統可以進一步限制給予組合的許可（刪除不必要的許可）或甚至拒絕將組合裝入內存（如果運行組合所需的最小許可沒有被策略給予）。在不存在任何許可請求的情況下，組合永遠不會被給予多於策略系統將會給予的許可權限，請求只是進一步限制得到的許可。

安全策略包含了許多代碼組，這些組包含了根據證據應給予的許可權。代碼組描述的許可可提供給從特定的安全區域獲得的組合，或提供給由特定發行商簽名過的組合，等等。儘管隨CLR發行了一組默認的代碼組（及相關許可），但管理員可以對這些CLR安全的進行定置，以適合他們的特殊需求。記住，通過定義與證據相關的代碼組，任何東西都可以作為證據提交，只要安全策略可以使用它。

創建許可的的過程涉及到對證據的評估，以確定代碼組適用於哪個等級：企業，機器，和用户。策略按上面順序對這三個等級進行評估，然後創建交插了三個等級的許可設置。管理員可以將任何一個策略等級標記為終結（final），這樣做應付阻止在其它等級上對策略做進一步評估。例如，管理員可以在機器級別上對組合終止策略，這樣就會阻止用户級策略對該組合的應用。

一旦策略完成，許可的最初設置也就創建了。組合通過從三個方面做出特定的請求可以優化這些許可：

· 第一方面是指定為了使組合運行它必須擁有的最小許可設置。如果這些許可沒有給予，那麼組合將不同調入到內存，並拋出例外。

· 第二，可以指定一組可選的許可。儘管組合希望存在這些許可，但如果無法獲得這些許可，它仍可以調入到內存。

· 最後，行為特別好的組合實際上會拒絕它們所不需的有風險的許可。這三個優化選項是調入時作為聲明語句實現的。

在運行時，許可是根據代碼的執行計算的。右側的圖總結了這個過程的發生順序。組合A3將它的證據和來自主機的證據提供給策略評估器。策略評估器在創建許可時也要考慮從組合得到的許可請求，"G3"。組合A3由組合A2調用，而A2又是由組合A1調用的。當組合A3執行一個引發安全檢查的操作時，A2和A1獲得的許可同樣也要進行檢查，以確保它們擁有A3所請求的許可權限。在這個過程中，此過程稱為堆棧遍歷（walking），堆棧中每個組合的許可權限都要進行檢查以確定所給予的權限設置是否包含安全檢查所需要的許可。如果堆棧中的每個組合被給予了安全檢查所需要的許可，調用將成功。如何任何組合沒有給予所需要的許可，堆棧遍歷過程失敗，安全例外將被拋出。

1.主機和組合為策略評估器提供證據，評估器使用安全策略和許可請求確定組合的許可權限。應用程序中不同運行組件的許可權限然後用於作出授權決定。

代碼訪問安全堆棧遍歷可以保護代碼不受攻擊。在精通的攻擊中，惡意代碼欺騙受信任代碼執行它獨自不能運行的操作--有效地利用代碼的許可權限實現惡意的目的。對這類攻擊，開發人員很難進行防備--但堆棧遍歷確保瞭如果涉及到了低級信任等級的代碼，有效許可將被減少到信任等級最低的代碼具有的許可。

結果，代碼將從源處獲得不同的信任等級，並在適合於特定的代碼執行環境的限制下運行。

一些活動，如讀寫文件，顯示對話框，讀寫環境變量，可以通過包含在框架安全構架中的.NET Framework方法實現。這就使.NET Framework能根據安全策略允許或不允許一個操作，而不需要程序員做額外的工作。儘管暴露了保護資源的管理類的創建者在他們的庫中做了明確的安全需求，使用.NET Framework類庫訪問受保護資源的開發人員可以自由地利用代碼訪問安全系統；他們不必作出明確的安全調用。

管理員可以通過決定給予哪些許可來優化安全策略，然後，依靠.NET Framework處理所有的安全操作。代碼訪問安全能阻止大部分的惡意攻擊，對代碼的驗證減少了緩存溢出和其它會導致安全攻擊的不期望的行為。因此，應用程序和組件生來就受到了保護，它們免於大多數安全問題的衝擊，而這些安全問題一直困繞着本地代碼的實現。

有時根據已認證的身份或根據與代碼執行上下文相關的角色作出認證決定是合適的。例如，金融和企業軟件可以通過評估角色信息的企業邏輯加強策略。根據作出請求的用户角色可以對金融交易的數據進行限制。出納被允許可以處理一定金額的請求，而多於該金額的所有工作需要監督人的角色來處理。

身份可以映射到登錄系統的用户，或由應用程序定義。相應的原則封裝了身份和其它相關的角色信息（例如，但並不限於此，用户的"組"由操作系統定義）。

認證和授權

認證是一個過程，它接收來自用户的證書，並對證書的授權進行確認。如果證書是有效的，那麼用户就可以説他擁有已認證的身份。而授權的過程是：確定認證用户是否能夠訪問給定的資源。認證可通過系統或企業邏輯來完成，通過某個API它是或獲得的。認證API是完全可擴展的，因此開發人員根據需要使用自己的企業邏輯。開發人員可以對他們的認證需求進行編碼，也可以修改底層的認證方法而無需對他們的代碼作太大變化。除了微軟Windows操作系統身份認證外，還有的認證方法包括基本HTTP，摘要和 Kerberos，以及微軟Passport和基於窗體的認證。這些認證方法已經完全集成到中了。

在窗體認證中，用户提供證書，並提交窗體。如果應用程序鑑別請求，系統發送一個cookie ，該cookie以某種形式包含包含了證書或包含重新獲得身份的關鍵字。接下來發送的請求在頭中包含了cookie，處理程序通過應用程序所期望的任何有效方法對這些請求認證和授權。如果請求沒有經過認證，HTTP客户端將用於把請求發送到認證窗體，在那裏用户可能提供信任證書。窗體認證有時用於個性化--為已知用户的內容進行定置。在一些情況下，身份是問題所在而不是認證，因此用户的個性化信息可以簡單地通過訪問用户或獲得。

授權的目的是確定作出請求的身份是否被給予了對給定資源的訪問權。提供了兩種類型的授權服務：文件授權和URL授權。文件授權根據正在作用的方法和作出請求的身份決定用户使用於哪個訪問控制列表。URL授權是URI名稱空間和不同用户或角色間的邏輯映射。

.NET Framework提供了一個特殊的功能，隔離存儲，用於存儲數據，甚至是當不允許對文件進行訪問時--例如，當從Internet下載了一個管理控件，並運行它，為它提供了有限的許可權但沒有權力讀寫文件。

隔離存儲是一組新的用於.NET支持的用於本地存儲的類型和方法。在本質上，每個組合可以訪問磁盤上一斷被隔離的存儲空間。它不允許訪問其它數據，隔離存儲只對為它創建的組合有效。

隔離存儲也可被應用程序用於保存活動記錄，保存設置，或者將狀態數據保存到磁盤上以備將來之用。因為隔離存儲的位置是預先決定好的，所以隔離存儲為指定惟一存儲空間提供了一種方便的方式，而不需要決定文件路徑。

從本地企業局域網獲得的代碼具有相似的限制，但更少，它可以訪問大限額的隔離存儲。最後，從受限站點區域（不信任站點）來的代碼沒有對隔離存儲的訪問權。

加密

.NET Framework提供了一組加密對象，它們支持加密算法、數字簽名、散列、生成隨機數，是通過眾所周知的運算法則實現的，如RSA, DSA, Rijndael/AES, Triple DES, DES, 和 RC2, 以及MD5, SHA1, SHA-256, SHA-384 和 SHA-512散列算法。同時還支持在IETF和W3C開發的XML數字簽名規範。.NET Framework使用加密對象支持內部服務。這些對象還作為管理代碼提供給需要加密支持的開發人員。

如何指定安全性？

如果要對組合運行時的行為進行修改，根據程序員的需要，可以作出聲明式安全或強迫式安全的修改。

聲明式安全使程序員可以直接在組合代碼的元數據中為組合指定安全需求。許可請求和所有其它形式的聲明式安全是在代碼中是作為定置屬性指定的。類，屬性和方法的註釋用於優化許可。例如，聲明式安全可用於類的調用者在調用方法前檢查調用者是否被已知地行商簽名過，或有一個特定的強名。

由於聲明屬性是組合元數據的一部分，所以組合的安全需求易於辨別。可以使用工具對組合進行掃描，以發現哪些方法需要某些許可，哪些方法斷言了某些許可。

當被請求的活動和許可在編譯時是知道時，聲明式檢查可作為選擇的解決方案之一。例如，如果方法總是檢查對C:temp的寫訪問許可，那麼許可檢查就會從聲明中得到好處。另一方面，如果被請求的具有訪問權的位置發生了變化，那麼強迫式安全也許是一個比較好的解決方案。

強迫式安全直接在代碼中實現。程序員通過程序採取安全活動，並且根據安全堆棧的狀態決定是給予還是拒絕許可。例如，當一個方法請求訪問一個特定的文件時，如果調用者（或方法的任何一個調用者）沒有被給予必需的許可權限，那麼請求失敗。因為強迫式安全是通過程序實現的，所以滿足了動態需求。如果需要對一個特定文件的訪問許可，但該許可還要根據其它信息發生變化，那麼，強迫式安全就是可選的解決方案。

.NET Framework安全迎合了這種事實：軟件向多樣化的移動組件發展，並根據這種事實提供保護。在一個細化的、可擴展的策略和許可系統下，用户能夠運行功能強大的代碼，而同時減少相關的風險。在沒有運行時對用户作出信任決定時，管理員可以在各個級別創建強壯的安全策略。策略是完全可定置的。開發人員能夠集中解決應用程序邏輯，而不用關心核心的安全問題（它由CLR透明地處理）。然而，開發人員可以在任何時候擴展安全模型。

有許多程序設計師和使用者，非常渴望有一個完善而且透明清楚的基礎架構，來建立WebServices（因特網服務）。.NET Framework 就是為了這個需求，而提供的基礎架構。.NETFramework 提供了應用程序模型及關鍵技術，讓開發人員容易以原有的技術來產生、部署，並可以繼續發展具有高安全、高穩定，並具高延展的Web Services。對於.NET Framework 而言，所有的組件都可以成為Web Services，Web Services 只不過是另一種型態的組件罷了。微軟將COM 的優點整合進來，它可以不用像COM 那麼嚴謹的來栓鎖兩個對象，.NET Framework 以鬆散的方式來栓鎖Web Services 這種型態的組件。這樣的結果讓開發人員非常容易的發展出強而有力的Web 服務組件，提高了整體的安全及可靠性，並且大大的增加系統的延展性。

.NET Framework 的目的就是要讓建立Web Services 以及因特網應用程序的工作變的簡單，.NET Framework 包括了三大部分：第一個部分是Common Language Runtime（CLR，所有.NET 程序語言公用的執行時期組件），第二部分是共享對象類別庫（提供所有.NET 程序語言所需要的基本對象），第三個部分是重新以組件的方式寫成的（舊版本則是以asp.dll提供ASP 網頁所需要的對象）。

基本上安裝了之後對機器不會有很大的影響

NET Framework 是支持生成和運行下一代應用程序和 XML Web services 的內部 Windows 組件

NET的運行環境，類似用運行時間庫的東西，要運行.NET的計算機必須安裝了這個東西。具體的説是支持生成和運行下一代應用程序和 XML Web services 的內部 Windows 組件。.NET Framework 旨在實現下列目標：

提供一個一致的面向對象的編程環境，而無論對象代碼是在本地存儲和執行，還是在本地執行但在 Internet 上分佈，或者是在遠程執行的。

提供一個將軟件部署和版本控制衝突最小化的代碼執行環境。

提供一個可提高代碼（包括由未知的或不完全受信任的第三方創建的代碼）執行安全性的代碼執行環境。

提供一個可消除腳本環境或解釋環境的性能問題的代碼執行環境。

使開發人員的經驗在面對類型大不相同的應用程序（如基於 Windows 的應用程序和基於 Web 的應用程序）時保持一致。

按照工業標準生成所有通信，以確保基於 .NET Framework 的代碼可與任何其他代碼集成。

.NET Framework 具有兩個主要組件：公共語言運行庫和 .NET Framework 類庫。公共語言運行庫是 .NET Framework 的基礎。可以將運行庫看作一個在執行時管理代碼的代理，它提供內存管理、線程管理和遠程處理等核心服務，並且還強制實施嚴格的類型安全以及可提高安全性和可靠性的其他形式的代碼準確性。事實上，代碼管理的概念是運行庫的基本原則。以運行庫為目標的代碼稱為託管代碼，而不以運行庫為目標的代碼稱為非託管代碼。.NET Framework 的另一個主要組件是類庫，它是一個綜合性的面向對象的可重用類型集合，可以使用它開發多種應用程序，這些應用程序包括傳統的命令行或圖形用户界面(GUI) 應用程序，也包括基於所提供的最新創新的應用程序（如 Web 窗體和 XML Web services）。

.NET Framework 可由非託管組件承載，這些組件將公共語言運行庫加載到它們的進程中並啓動託管代碼的執行，從而創建一個可以同時利用託管和非託管功能的軟件環境。.NET Framework 不但提供若干個運行庫宿主，而且還支持第三方運行庫宿主的開發。

例如， 承載運行庫已為託管代碼提供可伸縮的服務器端環境。 直接使用運行庫以啓用應用程序和 XML Web services（本主題稍後將對這兩者進行討論）。

Internet Explorer 是承載運行庫（以 MIME 類型擴展的形式）的非託管應用程序的一個示例。使用 Internet Explorer 承載運行庫能夠在 HTML 文檔中嵌入托管組件或 Windows 窗體控件。以這種方式承載運行庫使得託管移動代碼（類似於 Microsoft® ActiveX® 控件）成為可能，不過它需要只有託管代碼才能提供的重大改進（如不完全受信任的執行和獨立的文件存儲）。

Microsoft .NET Framework 是一個 Microsoft Windows 組件，Windows 用户可通過各種分發渠道獲得它。這些分發渠道包括 Microsoft Update 網站和 Microsoft 下載中心。該組件還安裝在一些新的計算機上。本文論述在計算機上安裝 .NET Framework 的好處。

Service Pack 1 (SP1) 為最新的 Service Pack。

.NET Framework 4.0

.NET Framework 3.5

Service Pack 2 (SP2) 為最新的 Service Pack。、

.NET Framework 3.0

Service Pack 1 (SP1) 為最新的 Service Pack。

Service Pack 2 (SP2) 為最新的 Service Pack。

.NET Framework 1.1

Service Pack 1 (SP1) 為最新的 Service Pack。

.NET Framework 1.0

Service Pack 3 (SP3) 為最新的 Service Pack。

可能在計算機上安裝了多個版本的 .NET Framework。計算機上的每個 .NET Framework 版本都能與其他版本共存。不過最近微軟公司也出了新版本，也就是.NET Framework 4.0，本人身為計算機的愛好者，也進行了試裝，結果發現，操作系統是XP的電腦，在裝上這個新版本之後，其開機速度將會變得十分緩慢，時間大概是為原來的3倍左右，而操作系統是Win7的電腦，本身就帶有.NET Framework 4.0，其開機速度還是可以的，並不會感到很慢。

注意：在安裝 .NET Framework 的某個發行版之前，必須刪除該發行版所基於的任何測試版。否則，將無法安裝此 .NET Framework 發行版。可以使用“控制面板”中的“添加或刪除程序”工具來卸載.NET Framework 的測試版。如果無法從 Microsoft Update 網站安裝 .NET Framework，需要排查這一問題，則最好先嚐試執行這一步驟。

下表包括安裝 .NET Framework 的一些好處：

· 更容易安裝商業應用程序：Microsoft 和第三方提供的許多商業應用程序都依賴 .NET Framework 支持其核心功能。如果安裝了 .NET Framework，則更容易安裝這些應用程序。需要 .NET Framework 提供支持的一些應用程序包括：

· Microsoft Encarta 2005

· Microsoft Windows Live OneCare

· Intuit QuickBooks

· HP Image Zone

· Streamload

· PayPal

· Grouper

· 更容易更新：安裝 .NET Framework 後，Microsoft Update 服務會自動更新它。如果通過“控制面板”接收“自動更新”，則計算機上安裝的任何版本的 .NET Framework 將通過最新的 Service Pack 始終保持最新。

下列好處只能從 .NET Framework 2.0 中獲得：

· 無需部署即可輕鬆使用應用程序：使用 .NET Framework 2.0，可以從 URL 運行應用程序。該功能可提供更多本地安裝的應用程序，併為從 URL 啓動應用程序提供了便利。該功能在組織內尤其有用，它可以提供更多的應用程序而不會產生部署負擔。

· 為 Windows XP 用户使用 Windows Vista 做好準備：Microsoft WinFX 是 Microsoft Windows Vista 的編程基礎結構。WinFX 建立在 .NET Framework 2.0 基礎之上，它能為用户帶來對 Windows Vista 的全新應用體驗。WinFX 也供 Windows XP 用户使用。NET Framework 2.0 為 Windows XP 用户提供了更輕鬆的 WinFX 更新體驗。