第一部分 .NET安全基础 2
第1章 .NET体系结构 2
1.1公共语言运行时 2
1.2公共类型系统 3
1.2.1 CTS基本结构 3
1.2.2公共语言规范 5
1.3中间语言 7
1.3.1托管PE文件 7
1.3.2元数据 14
1.3.3 IL常用指令 17
1.3.4 IL与代码验证 19
1.4基础类库和框架类库 19
1.4.1 BCL基本命名空间 20
1.4.2 .NET Framework 4.0中对BCL的更新 21
1.4.3 FCL命名空间 23
1.5即时编译和预编译 23
1.6动态语言运行时 25
1.7本章小结 26
第2章 程序集与反射 27
2.1程序集 27
2.1.1模块的操作 27
2.1.2程序集概念 29
2.1.3强名称程序集 31
2.1.4共享程序集 33
2.1.5创建多文件程序集 34
2.2使用反射操作程序集 36
2.2.1反射程序集 36
2.2.2加载和卸载程序集 39
2.2.3动态创建程序集 40
2.3本章小结 42
第3章 应用程序域与CLR寄宿 44
3.1应用程序域基础 44
3.1.1应用程序域的特点 44
3.1.2创建应用程序域 45
3.1.3卸载应用程序域 45
3.2 CLR寄宿 48
3.2.1核心组件MSCOREE.DLL 48
3.2.2托管exe文件的加载和执行 57
3.2.3 ASP.NET Web窗体和Web Service 58
3.3高级宿主控制 63
3.3.1托管宿主 63
3.3.2托管环境下的线程注入实例 65
3.4本章小结 66
第二部分 .NET平台级安全性 68
第4章 代码访问安全性 68
4.1代码访问安全性机制 68
4.1.1代码访问安全性机制的作用 68
4.1.2工作方式 70
4.1.3安全性语法 73
4.2代码组 75
4.2.1对代码组的管理 75
4.2.2成员条件 81
4.2.3属性 85
4.3权限和权限集 86
4.3.1权限操作的基本概念 86
4.3.2 .NET提供的代码访问权限 92
4.3.3操作权限集 96
4.4代码访问安全性编程实践 98
4.4.1实现自定义权限的构造函数 99
4.4.2实现属性类 102
4.4.3安装到安全策略中 103
4.5本章小结 104
第5章 基于角色的安全性 105
5.1 .NET Framework基于角色的安全性 105
5.2基于角色的安全性编程实战 106
5.3主体和标识 110
5.3.1主体对象 110
5.3.2标识对象 117
5.4安全检查 123
5.4.1基于角色的安全性权限对象 123
5.4.2命令式安全检查 125
5.4.3声明式安全检查 127
5.4.4直接访问主体对象 128
5.5本章小结 129
第三部分 数据安全 132
第6章 数据加密 132
6.1加密技术简介 132
6.2对称加密 132
6.2.1对称加密原理 133
6.2.2对称加密算法 134
6.2.3 .NET对称加密体系 142
6.2.4对称加密实践 147
6.3非对称加密 152
6.3.1非对称加密原理 152
6.3.2非对称加密算法 153
6.3.3 .NET非对称加密体系 158
6.3.4非对称加密实践 161
6.4消息摘要和Hash算法 168
6.4.1 Hash原理 168
6.4.2 Hash算法 169
6.4.3 .NET中的Hash算法 175
6.4.4消息摘要编程实例 179
6.5数字签名和数字证书 182
6.5.1数字签名 182
6.5.2使用.NET进行数字签名 183
6.5.3数字证书 186
6.5.4在.NET中操作数字证书 190
6.6本章小结 196
第7章 数据存储安全 198
7.1磁盘文件安全 198
7.1.1文件的基本操作 199
7.1.2文件和目录的访问控制 209
7.1.3安全删除数据 216
7.1.4文件加密 解密 218
7.2数据库安全 221
7.2.1 SQL Server的CLR集成 221
7.2.2 CLR集成的功能 222
7.2.3编译过程 223
7.3 SQL Server的CLR集成安全性 223
7.3.1 CLR集成代码访问的安全性 223
7.3.2宿主保护特性和CLR集成编程 227
7.3.3 CLR集成安全性中的链接 228
7.3.4模拟和CLR集成安全性 229
7.3.5允许部分可信任的调用方 231
7.3.6应用程序域和CLR集成安全性 232
7.4本章小结 232
第8章 数据通信安全 233
8.1 SSL原理及应用 233
8.1.1 SSL协议体系结构 233
8.1.2配置HTTPS 238
8.1.3在.NET开发中处理HTTPS 250
8.2会话状态安全 252
8.2.1会话状态安全基础 253
8.2.2会话状态安全攻略 262
8.3本章小结 263
第四部分 .NET应用安全 266
第9章 应用程序保护 266
9.1反编译 266
9.1.1反编译工具Reflector 266
9.1.2 .NET反编译原理 269
9.2强名称 274
9.2.1使用强名称保护代码完整性 275
9.2.2引用强名称签名的程序集 280
9.2.3强名称的脆弱性 282
9.2.4保护强名称 283
9.3代码混淆 283
9.3.1名称混淆 283
9.3.2流程混淆 286
9.3.3语法混淆 294
9.4加壳 297
9.5本章小结 304
第10章 ASP.NET应用安全 305
10.1 ASP.NET安全性工作原理 305
10.1.1 ASP.NET安全性体系结构 305
10.1.2 ASP.NET安全数据流 308
10.1.3 ASP.NET模拟 311
10.1.4 ASP.NET身份验证 312
10.1.5 ASP.NET授权 325
10.1.6 ASP.NET SQL Server注册工具 327
10.2 ASP.NET成员资格 331
10.2.1 ASP.NET成员资格的功能 331
10.2.2 ASP.NET成员资格类 333
10.2.3配置成员资格 338
10.2.4成员资格的应用 342
10.2.5自定义成员资格提供程序 349
10.2.6 WCF身份验证服务 358
10.3 ASP.NET角色管理 362
10.3.1 ASP.NET角色和访问规则 362
10.3.2 ASP.NET角色管理类 365
10.3.3 ASP.NET角色管理提供程序 367
10.3.4自定义ASP.NET角色管理提供程序 368
10.3.5 WCF角色服务 370
10.4受保护配置 371
10.4.1管理受保护配置 371
10.4.2受保护配置提供程序 373
10.4.3 RSA密钥容器 379
10.5本章小结 381
第11章 WCF应用安全 382
11.1 WCF安全基本概念 382
11.1.1绑定 383
11.1.2安全模式 394
11.1.3身份验证凭据 396
11.1.4保护级别 398
11.1.5授权 400
11.1.6模拟 400
11.2 WCF局域网安全 400
11.2.1 NetTcpBinding Transport安全模式 401
11.2.2 NetTcpBinding Message安全模式 422
11.2.3局域网绑定安全 429
11.2.4局域网环境下的授权策略 434
11.3 WCF互联网安全 444
11.3.1 BasicHttpBinding示例 445
11.3.2 BasicHttpBinding安全项 449
11.3.3 BasicHttpBinding安全应用 454
11.3.4 WsHttpBinding简介 477
11.4 WCF安全认证流程 478
11.5本章小结 479
第12章 WPF应用安全 480
12.1 WPF应用程序 480
12.1.1 WPF独立应用程序 480
12.1.2 WPF浏览器应用程序 483
12.2 WPF应用程序安全性 485
12.2.1安全导航 486
12.2.2 Web浏览安全设置 487
12.2.3安全沙箱 500
12.2.4部分信任安全 501
12.2.5部分信任安全策略 506
12.2.6松散XAML文件的沙箱行为 510
12.3部分受信任代码的库调用 511
12.4本章小结 513
第13章 Silverlight应用安全 514
13.1 Silverlight运行机制 514
13.1.1 Silverlight运行环境 515
13.1.2 Silverlight架构 516
13.1.3 CoreCLR安全模型 518
13.2 Silverlight运行在沙箱中 519
13.3透明模型 524
13.3.1透明代码的调用 525
13.3.2透明代码、SafeCritical代码和关键代码的比较 527
13.3.3 Silverlight透明模型的优势 528
13.4网络通信 529
13.4.1基本HTTP功能 529
13.4.2 HTTP调用 530
13.4.3跨域通信 532
13.4.4网络安全访问限制 536
13.4.5 URL访问限制 548
13.5 Silverlight安全策略 550
13.5.1 XSS问题 550
13.5.2代码隔离 551
13.5.3用户数据保护 554
13.5.4保护xap文件 558
13.6本章小结 559
第14章 Open XML应用安全 561
14.1 Open XML规范 561
14.1.1文档格式 561
14.1.2开放打包协定 563
14.1.3 Open XML标记语言 566
14.2 Open XML开发基础 573
14.2.1操作ZIP 574
14.2.2操作XML 577
14.2.3 Open XML API 582
14.3 Open XML应用安全 586
14.3.1宏安全 586
14.3.2 OLE机制 587
14.3.3隐藏数据 590
14.3.4文档校验 592
14.3.5数字签名 593
14.4本章小结 599
第五部分 高级扩展 602
第15章 WIF开发框架 602
15.1 WIF基本原理 602
15.1.1标识库 603
15.1.2基于声明的标识模型 604
15.1.3安全令牌服务 609
15.1.4联合身份验证实例 614
15.1.5 WIF的功能 616
15.2 WIF编程模型 617
15.2.1 WIF编程模型的优势 617
15.2.2 WIF基本行为 618
15.2.3 IClaimsIdentity和IClaimsPrincipal 619
15.3 WIF与ASP&NET实践 620
15.3.1准备工作 620
15.3.2将认证外包给STS 622
15.3.3基本编程概念 625
15.4本章小结 638
第16章 微软云安全 639
16.1云计算 639
16.1.1云计算的演进 639
16.1.2云计算的特点 640
16.2微软的云计算 642
16.2.1 Windows Azure平台的架构 643
16.2.2应用模式 644
16.3 Windows Azure安全 645
16.3.1安全模式 645
16.3.2云安全设计 648
16.3.3开发生命周期安全 654
16.3.4服务的运营方式 654
16.4本章小结 656