Nota
L'accés a aquesta pàgina requereix autorització. Podeu provar d'iniciar la sessió o de canviar els directoris.
L'accés a aquesta pàgina requereix autorització. Podeu provar de canviar els directoris.
Algunos de los términos que se usan al analizar la seguridad pueden ser desconocidos. En este tema se proporcionan explicaciones breves de algunos de los términos de seguridad, pero no está pensado para proporcionar documentación completa para cada elemento.
Para obtener más información sobre los términos usados en la documentación de Windows Communication Foundation (WCF), consulta Conceptos fundamentales de Windows Communication Foundation.
lista de control de acceso (ACL)
Lista de protecciones de seguridad que se aplican a un objeto . (Un objeto puede ser un archivo, proceso, evento o cualquier otra cosa que tenga un descriptor de seguridad). Una entrada de una ACL es una entrada de control de acceso (ACE). Hay dos tipos de ACL: discrecionales y del sistema.
autenticación
Proceso para comprobar que un usuario, equipo, servicio o proceso es quién o lo que dice ser.
autorización
El acto de controlar el acceso y los derechos a un recurso. Por ejemplo, permitir a los miembros de un grupo leer un archivo, pero permitir que solo los miembros de otro grupo modifiquen el archivo.
certificado de entidad de certificación (CA)
Identifica la entidad de certificación que emite certificados de autenticación de servidor y cliente a los servidores y clientes que solicitan estos certificados. Dado que contiene una clave pública usada en firmas digitales, también se conoce como certificado de firma. Si la autoridad de certificación es una entidad raíz, el certificado de autoridad de certificación se puede denominar certificado raíz. También se conoce también como certificado de sitio.
Jerarquía de Autoridad de Certificación
Una jerarquía de la CA contiene varias CA. Se organiza para que cada entidad de certificación esté certificada por otra entidad de certificación en un nivel superior de la jerarquía hasta que se alcance la parte superior de la jerarquía, también conocida como autoridad raíz.
certificado
Una instrucción firmada digitalmente que contiene información sobre una entidad y la clave pública de la entidad, enlazando así estos dos fragmentos de información juntos. Un certificado lo emite una organización de confianza (o entidad), denominada entidad de certificación, después de que la entidad haya comprobado que la entidad es quien dice que es.
Los certificados pueden contener diferentes tipos de datos. Por ejemplo, un certificado X.509 incluye el formato del certificado, el número de serie del certificado, el algoritmo utilizado para firmar el certificado, el nombre de la CA que emitió el certificado, el nombre y clave pública de la entidad que solicita el certificado, y la firma de la CA.
almacén de certificados
Normalmente, se almacena un almacenamiento permanente en el que se almacenan los certificados, las listas de revocación de certificados (CRL) y las listas de confianza de certificados (CTL). Sin embargo, es posible crear y abrir un almacén de certificados únicamente en memoria al trabajar con certificados que no necesitan colocarse en almacenamiento permanente.
reclamaciones
Información que se pasa de una entidad a otra que se usa para establecer la identidad del remitente. Por ejemplo, un token de nombre de usuario y contraseña o un certificado X.509.
certificado de cliente
Hace referencia a un certificado usado para la autenticación de cliente, como autenticar un explorador web en un servidor web. Cuando un cliente del explorador web intenta acceder a un servidor web protegido, el cliente envía su certificado al servidor para permitirle comprobar la identidad del cliente.
credenciales
Datos de inicio de sesión autenticados previamente que una entidad de seguridad usa para establecer su propia identidad, como una contraseña o un vale de protocolo Kerberos. Las credenciales se usan para controlar el acceso a los recursos.
datos procesados
Tipo de contenido de datos definido por el estándar criptográfico de clave pública (PKCS) n.º 7 que consta de cualquier tipo de datos más un hash de mensaje (resumen) del contenido.
firma digital
Datos que enlazan la identidad de un remitente a la información que se envía. Una firma digital se puede agrupar con cualquier mensaje, archivo u otra información codificada digitalmente o transmitirse por separado. Las firmas digitales se usan en entornos de clave pública y proporcionan servicios de autenticación e integridad.
codificación
Proceso de convertir los datos en un flujo de bits. La codificación forma parte del proceso de serialización que convierte los datos en un flujo de uno y ceros.
par de la clave de intercambio
Par de claves pública y privada que se usa para cifrar las claves de sesión para que se puedan almacenar e intercambiar de forma segura con otros usuarios.
hash
Valor numérico de tamaño fijo obtenido mediante la aplicación de una función matemática (vea algoritmo hash) a una cantidad arbitraria de datos. Los datos suelen incluir datos aleatorios, conocidos como nonce. El servicio y cliente aportan nonces de intercambio para aumentar la complejidad del resultado. El resultado también se conoce como resumen de mensaje. Enviar un valor hash es más seguro que enviar datos confidenciales, como una contraseña, incluso si la contraseña está cifrada. El remitente y receptor del hash deben usar el mismo algoritmo hash y nonces para que, una vez recibido, se pueda comprobar el hash.
algoritmo de hash
Algoritmo usado para generar un valor hash de algunos datos, como un mensaje o una clave de sesión. Los algoritmos hash típicos incluyen MD2, MD4, MD5 y SHA-1.
Protocolo Kerberos
Protocolo que define cómo interactúan los clientes con un servicio de autenticación de red. Los clientes obtienen vales del Centro de Distribución de Claves (KDC) Kerberos y presentan estos vales a los servidores cuando se establecen las conexiones. Los tickets Kerberos representan las credenciales de red del cliente.
autoridad de seguridad local (LSA)
Subsistema protegido que autentica y registra a los usuarios en el sistema local. LSA también mantiene información sobre todos los aspectos de la seguridad local en un sistema, conocidos colectivamente como la directiva de seguridad local del sistema.
Negociar
Proveedor de soporte técnico de seguridad (SSP) que actúa como capa de aplicación entre la interfaz del proveedor de soporte técnico de seguridad (SSPI) y los demás SSP. Cuando una aplicación llama en SSPI para iniciar sesión en una red, puede especificar un SSP para que procese la solicitud. Si la aplicación especifica Negotiate, Negotiate analiza la solicitud y elige el mejor SSP para controlar la solicitud en función de la directiva de seguridad configurada por el cliente.
valor de seguridad
Un valor generado de forma aleatoria y que se utiliza para acabar con los ataques basados en “repeticiones”.
no rechazo
La capacidad de identificar a los usuarios que realizaron determinadas acciones, lo que contrarresta de forma irrefutable los intentos de un usuario de denegar la responsabilidad. Por ejemplo, un sistema puede registrar el identificador de un usuario cada vez que se elimina un archivo.
Estándar de criptografía de clave pública (PKCS)
Especificaciones producidas por RSA Data Security, Inc. en cooperación con desarrolladores de sistemas seguros en todo el mundo para acelerar la implementación de criptografía de clave pública.
PKCS n.º 7
Estándar de sintaxis de mensajes criptográficos. Sintaxis general de los datos a los que se puede aplicar la criptografía, como firmas digitales y cifrado. También proporciona sintaxis para difundir certificados o listas de revocación de certificados y otros atributos de mensaje, como marcas de tiempo, al mensaje.
Texto plano
Mensaje que no está cifrado. A veces, los mensajes de texto no cifrado se conocen como mensajes de texto no cifrado .
privilegio
Derecho de un usuario a realizar varias operaciones relacionadas con el sistema, como apagar el sistema, cargar controladores de dispositivo o cambiar la hora del sistema. El token de acceso de un usuario contiene una lista de los privilegios que posee el usuario o los grupos del usuario.
clave privada (private key)
La mitad secreta de un par de claves usada en un algoritmo de clave pública. Las claves privadas se suelen usar para cifrar una clave de sesión simétrica, firmar digitalmente un mensaje o descifrar un mensaje que se ha cifrado con la clave pública correspondiente. Vea también “clave pública”.
proceso
Contexto de seguridad en el que se ejecuta una aplicación. Normalmente, el contexto de seguridad está asociado a un usuario, por lo que todas las aplicaciones que se ejecutan en un proceso determinado toman los permisos y privilegios del usuario propietario.
par de claves pública y privada
Conjunto de claves criptográficas usadas para la criptografía de clave pública. Para cada usuario, un proveedor de servicios criptográficos (CSP) normalmente mantiene dos pares de claves públicas y privadas: un par de claves de intercambio y un par de claves de firma digital. Ambos pares de claves se mantienen de la sesión a la sesión.
clave pública (public key)
Una clave criptográfica que se usa normalmente al descifrar una clave de sesión o una firma digital. La clave pública también se puede usar para cifrar un mensaje, lo que garantiza que solo la persona con la clave privada correspondiente pueda descifrar el mensaje.
cifrado de clave pública
Cifrado que usa un par de claves, una clave para cifrar los datos y la otra clave para descifrar los datos. En cambio, los algoritmos de cifrado simétricos que usan la misma clave para el cifrado y el descifrado. En la práctica, la criptografía de clave pública se usa normalmente para proteger la clave de sesión que usa un algoritmo de cifrado simétrico. En este caso, la clave pública se usa para cifrar la clave de sesión, que a su vez se usó para cifrar algunos datos y la clave privada se usa para el descifrado. Además de proteger las claves de sesión, la criptografía de clave pública también se puede usar para firmar digitalmente un mensaje (mediante la clave privada) y validar la firma (mediante la clave pública).
infraestructura de clave pública (PKI)
Una infraestructura que proporciona un conjunto integrado de servicios y herramientas administrativas para crear, implementar y administrar aplicaciones de clave pública.
rechazo
La capacidad de un usuario de denegar falsamente haber realizado una acción mientras que otras partes no pueden demostrar de lo contrario. Por ejemplo, un usuario que elimina un archivo y que puede denegar correctamente que lo haya hecho.
autoridad raíz
La CA que se encuentra en la parte superior de una jerarquía de la CA. La entidad emisora raíz certifica CA en el siguiente nivel de la jerarquía.
Algoritmo hash seguro (SHA)
Algoritmo hash que genera un resumen de mensajes. SHA se utiliza con el Algoritmo de firma digital (DSA) en el Estándar de firmas digitales (DSS), entre otros. Hay cuatro variedades de SHA: SHA-1, SHA-256, SHA-384 y SHA-512. SHA-1 genera una síntesis del mensaje de 160 bits. SHA-256, SHA-384 y SHA-512 generan síntesis de mensajes de 256, 384 y 512 bits, respectivamente. SHA fue desarrollado por el National Institute of Standards and Technology (NIST, Instituto nacional de estándares y tecnología) y la National Security Agency (NSA, Agencia de seguridad nacional).
Capa de sockets seguros (SSL)
Protocolo para las comunicaciones de red seguras mediante una combinación de tecnología de clave pública y secreta.
contexto de seguridad
Las reglas o atributos de seguridad que están en vigor actualmente. Por ejemplo, el usuario actual que ha iniciado sesión en el equipo o el número de identificación personal ingresado por el usuario de tarjeta inteligente. Para SSPI, un contexto de seguridad es una estructura de datos opaca que contiene datos de seguridad pertinentes a una conexión, como una clave de sesión o una indicación de la duración de la sesión.
entidad de seguridad (security principal)
Una entidad reconocida por el sistema de seguridad. Los principales pueden incluir tanto a usuarios humanos como a procesos autónomos.
proveedor de soporte técnico de seguridad (SSP)
Una biblioteca de vínculos dinámicos (DLL) que implementa el SSPI haciendo que uno o varios paquetes de seguridad estén disponibles para las aplicaciones. Cada paquete de seguridad proporciona asignaciones entre las llamadas de funciones de SSPI de una aplicación y las funciones de un modelo de seguridad real. Los paquetes de seguridad admiten protocolos de seguridad como la autenticación Kerberos y Microsoft LAN Manager (LanMan).
Interfaz del proveedor de soporte técnico de seguridad (SSPI)
Una interfaz común entre las aplicaciones de nivel de transporte, como la llamada a procedimientos remotos (RPC) de Microsoft y los proveedores de seguridad, como la seguridad distribuida de Windows. SSPI permite a una aplicación de transporte llamar a uno de varios proveedores de seguridad para obtener una conexión autenticada. Estas llamadas no requieren un conocimiento extenso de los detalles del protocolo de seguridad.
servicio de token de seguridad
Servicios diseñados para emitir y administrar tokens de seguridad personalizados (tokens emitidos) en un escenario de varios servicios. Los tokens personalizados suelen ser tokens de lenguaje de marcado de aserciones de seguridad (SAML) que incluyen una credencial personalizada.
certificado de servidor
Hace referencia a un certificado usado para la autenticación de servidor, como autenticar un servidor web en un explorador web. Cuando un cliente del explorador web intenta acceder a un servidor web protegido, el servidor envía su certificado al explorador para permitir que compruebe la identidad del servidor.
sesión
Un intercambio de mensajes protegidos por una única parte de material criptográfico. Por ejemplo, las sesiones SSL utilizan una clave única para enviar varios mensajes en ambas direcciones bajo esa clave.
clave de sesión
Clave generada aleatoriamente que se usa una vez y, a continuación, se descarta. Las claves de sesión son simétricas (se usan para el cifrado y el descifrado). Se envían con el mensaje, protegidos mediante cifrado con una clave pública del destinatario previsto. Una clave de sesión consta de un número aleatorio de aproximadamente 40 a 2000 bits.
credenciales complementarias
Credenciales que se usan para autenticar una entidad de seguridad en dominios de seguridad externos.
cifrado simétrico
Cifrado que utiliza una clave única tanto para el cifrado como para el descifrado. Se prefiere el cifrado simétrico si se van a cifrar cantidades grandes de datos. Algunos de los algoritmos de cifrado simétrico más comunes son RC2, RC4 y Data Encryption Standard (DES).
Consulte también "cifrado de clave pública".
clave simétrica
Clave única que se usa para el cifrado y el descifrado. Las claves de sesión suelen ser simétricas.
token (token de acceso)
Un token de acceso contiene la información de seguridad de una sesión de inicio de sesión. El sistema crea un token de acceso cuando un usuario inicia sesión y cada proceso ejecutado en nombre del usuario tiene una copia del token. El token identifica al usuario, los grupos del usuario y los privilegios del usuario. El sistema usa el token para controlar el acceso a objetos protegibles y para controlar la capacidad del usuario de realizar diversas operaciones relacionadas con el sistema en el equipo local. Hay dos tipos de tokens de acceso, principal y suplantación.
capa de transporte
Capa de red responsable de la calidad del servicio y la entrega precisa de la información. Entre las tareas realizadas en esta capa se encuentran la detección y corrección de errores.
lista de confianza (lista de certificados de confianza o CTL)
Lista predefinida de elementos firmados por una entidad de confianza. Un CTL puede ser cualquier cosa, como una lista de hashes de certificados o una lista de nombres de archivo. La entidad de firma autentica (aprueba) todos los elementos de la lista.
proveedor de confianza
Software que decide si un archivo determinado es de confianza. Esta decisión se basa en el certificado asociado al archivo.
nombre principal de usuario (UPN)
Un nombre de cuenta de usuario (a veces denominado nombre de inicio de sesión de usuario) y un nombre de dominio que identifica el dominio en el que se encuentra la cuenta de usuario. Este es el uso estándar para iniciar sesión en un dominio de Windows. El formato es: someone@example.com (como para una dirección de correo electrónico).
Nota:
Además del formulario UPN estándar, WCF acepta UPN en forma de nivel descendente, por ejemplo, cohowinery.com\someone.
X.509
Estándar reconocido internacionalmente para los certificados que definen sus partes necesarias.