CLR 4.0 安全模型

在公共语言运行时(CLR)过往的版本中，安全模型一直是最为复杂的模块之一，由于涉及Evidence，CAS策略等机制，难以被用户使用。在Silverlight中，CLR团队提出了三层安全级别，大大简化了安全模型，得到了很多积极的反馈。所以CLR4.0对之加以改进，希望能帮助用户开发出更为安全的应用程序，在 Microsoft .NET Framework 4 中，公共语言运行时 (CLR) 安全模型发生了不少变化。

三层安全级别及其运作机制 CLR4.0中的安全级别，从低到高排列如下：

• Transparent
• SafeCritical
• Critical

其运作机制如下图所示，可以用三个箭头加以说明：

• 标记为 SecurityTransparent 的代码从安全性角度而言是可靠的。它不能完成任何危险操作，例如声明权限、执行无法验证的代码或调用本机代码。它也不能直接调用 SecurityCritical 代码
• 与 SecurityTransparent 不同，SecurityCritical 代码能够执行任何所需操作。它能够执行声明、调用本机代码和其他操作。它能够调用其他方法，且不受透明性标记的限制。
• SecuritySafeCritical 代码起着桥梁的作用，它允许透明代码调用关键方法。SecuritySafeCritical 代码与 SecurityCritical 代码的权限相同，但它可由 SecurityTransparent 代码调用。因此，SecuritySafeCritical 代码必须以安全方式公开基础 SecurityCritical 方法（以避免一些部分受信任的恶意代码尝试通过 SecuritySafeCritical 层攻击这些方法），这一点极为重要。

具体参看Msdn杂志的两篇文章：

• 探究 .NET Framework 4 安全模式：http://msdn.microsoft.com/zh-cn/magazine/ee677170.aspx
• 将 APTCA 程序集迁移到 .NET Framework 4：http://msdn.microsoft.com/zh-cn/magazine/ee336023.aspx