Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Niektóre terminologii używane podczas omawiania zabezpieczeń mogą być nieznane. Ten temat zawiera krótkie wyjaśnienia niektórych terminów zabezpieczeń, ale nie ma na celu udostępnienia kompleksowej dokumentacji dla każdego elementu.
Aby uzyskać więcej informacji na temat terminów używanych w dokumentacji programu Windows Communication Foundation (WCF), zobacz Podstawowe pojęcia dotyczące programu Windows Communication Foundation.
lista kontroli dostępu (ACL)
Lista zabezpieczeń, które mają zastosowanie do obiektu. (Obiekt może być plikiem, procesem, zdarzeniem lub czymś innym, co ma deskryptor zabezpieczeń.) Wpis w liście ACL to wpis kontroli dostępu (ACE). Istnieją dwa typy list ACL: dyskrecjonalne i systemowe.
uwierzytelnianie
Proces sprawdzania, czy użytkownik, komputer, usługa lub proces to kto lub co twierdzi.
autoryzacja
Czynność kontrolowania dostępu i praw do zasobu. Na przykład zezwalanie członkom jednej grupy na odczytywanie pliku, ale zezwalanie tylko członkom innej grupy na zmianę pliku.
certyfikat urzędu certyfikacji (CA)
Identyfikuje urząd certyfikacji, który wystawia certyfikaty uwierzytelniania serwera i klienta na serwerach i klientach żądających tych certyfikatów. Ponieważ zawiera klucz publiczny używany w podpisach cyfrowych, jest również określany jako certyfikat podpisu. Jeśli urząd certyfikacji jest urzędem głównym, certyfikat urzędu certyfikacji może być określany jako certyfikat główny. Czasami nazywane również certyfikatem witryny.
Hierarchia certyfikatów autoryzacyjnych
Hierarchia urzędów certyfikacji zawiera wiele takich urzędów. Jest ona zorganizowana tak, aby każdy urząd certyfikacji był certyfikowany przez inny urząd certyfikacji na wyższym poziomie hierarchii do momentu osiągnięcia górnej części hierarchii, znanej również jako urząd główny.
certyfikat
Podpisane cyfrowo oświadczenie zawierające informacje o jednostce i kluczu publicznym jednostki, łączące te dwa elementy informacji. Certyfikat jest wystawiany przez zaufaną organizację (lub jednostkę), nazywaną urzędem certyfikacji, po sprawdzeniu, czy jednostka jest tym, kim jest.
Certyfikaty mogą zawierać różne typy danych. Na przykład certyfikat X.509 zawiera format certyfikatu, numer seryjny certyfikatu, algorytm użyty do podpisania certyfikatu, nazwę urzędu certyfikacji, nazwę certyfikatu, nazwę i klucz publiczny jednostki żądającej certyfikatu oraz podpis urzędu certyfikacji.
Magazyn certyfikatów
Zazwyczaj magazyn trwały, w którym są przechowywane certyfikaty, listy odwołania certyfikatów (CRL) i listy zaufania certyfikatów (CTLS). Istnieje jednak możliwość utworzenia i otwarcia magazynu certyfikatów wyłącznie w pamięci podczas pracy z certyfikatami, które nie muszą być umieszczane w magazynie trwałym.
oświadczenia
Informacje przekazywane z jednej jednostki do innej użytej do ustanowienia tożsamości nadawcy. Na przykład token nazwy użytkownika i hasła lub certyfikat X.509.
certyfikat klienta
Odwołuje się do certyfikatu używanego do uwierzytelniania klienta, takiego jak uwierzytelnianie przeglądarki sieci Web na serwerze sieci Web. Gdy klient przeglądarki sieci Web próbuje uzyskać dostęp do zabezpieczonego serwera sieci Web, klient wysyła certyfikat do serwera, aby umożliwić mu zweryfikowanie tożsamości klienta.
dane uwierzytelniające
Wcześniej uwierzytelnione dane logowania używane przez podmiot zabezpieczeń do ustanawiania własnej tożsamości, takiej jak hasło lub bilet protokołu Kerberos. Poświadczenia służą do kontrolowania dostępu do zasobów.
przetworzone dane
Typ zawartości danych zdefiniowany przez standard kryptograficzny klucza publicznego (PKCS) #7, który składa się z dowolnego typu danych oraz skrótu komunikatu (skrót) zawartości.
podpis cyfrowy
Dane, które wiążą tożsamość nadawcy z wysyłanymi informacjami. Podpis cyfrowy może być dołączony do dowolnego komunikatu, pliku lub innych informacji zakodowanych cyfrowo lub przesyłanych oddzielnie. Podpisy cyfrowe są używane w środowiskach kluczy publicznych i zapewniają usługi uwierzytelniania i integralności.
kodowanie
Proces przekształcania danych w strumień bitów. Kodowanie jest częścią procesu serializacji, który konwertuje dane na strumień zer i zer.
para kluczy do wymiany
Para kluczy publicznych/prywatnych używana do szyfrowania kluczy sesji, dzięki czemu można je bezpiecznie przechowywać i wymieniać z innymi użytkownikami.
hasz
Wartość liczbowa o stałym rozmiarze uzyskana przez zastosowanie funkcji matematycznej (zobacz algorytm tworzenia wartości skrótu) do dowolnej ilości danych. Dane zazwyczaj zawierają losowe wartości, znane jako nonce. Zarówno usługa, jak i klient dostarczają liczby jednorazowe do wymiany, aby zwiększyć złożoność wyniku. Wynik jest również znany jako skrót komunikatu. Wysyłanie wartości skrótu jest bezpieczniejsze niż wysyłanie poufnych danych, takich jak hasło, nawet jeśli hasło jest szyfrowane. Nadawca skrótu i odbiorca muszą uzgodnić algorytm skrótu i liczby jednorazowe, aby można było zweryfikować skrót po jego otrzymaniu.
Algorytm haszujący
Algorytm używany do tworzenia wartości skrótu niektórych danych, takich jak komunikat lub klucz sesji. Typowe algorytmy wyznaczania wartości skrótu obejmują MD2, MD4, MD5 i SHA-1.
Protokół Kerberos
Protokół definiujący sposób interakcji klientów z usługą uwierzytelniania sieciowego. Klienci uzyskują bilety z centrum dystrybucji kluczy Protokołu Kerberos (KDC) i przedstawiają te bilety serwerom podczas nawiązywania połączeń. Bilety protokołu Kerberos reprezentują poświadczenia sieciowe klienta.
lokalny urząd zabezpieczeń (LSA)
Podsystem chroniony, który uwierzytelnia i rejestruje użytkowników w systemie lokalnym. LSA przechowuje również informacje o wszystkich aspektach zabezpieczeń lokalnych w systemie, zbiorczo nazywanych lokalnymi zasadami zabezpieczeń systemu.
Negocjacja
Dostawca wsparcia zabezpieczeń (SSP), który działa jako warstwa aplikacyjna między interfejsem dostawcy wsparcia zabezpieczeń (SSPI) oraz pozostałymi dostawcami wsparcia. Gdy aplikacja wywołuje interfejs SSPI w celu zalogowania się do sieci, może określić dostawcę zabezpieczeń do przetworzenia żądania. Jeśli aplikacja określa Negotiate, Negotiate analizuje żądanie i wybiera najlepszy dostawca usług udostępnionych do obsługi żądania na podstawie zasad zabezpieczeń skonfigurowanych przez klienta.
nonce
Losowo wygenerowana wartość używana do ochrony przed atakami typu "powtórka".
niezaprzeczalność
Możliwość identyfikowania użytkowników, którzy wykonali określone działania, co pozwala na niezaprzeczalne przeciwdziałanie wszelkim próbom odmowy odpowiedzialności przez użytkownika. Na przykład system może rejestrować identyfikator użytkownika za każdym razem, gdy plik zostanie usunięty.
Standard kryptografii klucza publicznego (PKCS)
Specyfikacje opracowane przez RSA Data Security, Inc. we współpracy z deweloperami bezpiecznych systemów na całym świecie w celu przyspieszenia wdrażania kryptografii klucza publicznego.
PKCS #7
Standard składni komunikatów kryptograficznych. Ogólna składnia danych, do których można zastosować kryptografię, taką jak podpisy cyfrowe i szyfrowanie. Zapewnia również składnię do rozpowszechniania certyfikatów lub list odwołania certyfikatów oraz innych atrybutów komunikatów, takich jak sygnatury czasowe, do komunikatu.
Postaci zwykłego tekstu
Komunikat, który nie jest zaszyfrowany. Komunikaty w postaci zwykłego tekstu są czasami nazywane komunikatami cleartext .
przywilej
Prawo użytkownika do wykonywania różnych operacji związanych z systemem, takich jak zamykanie systemu, ładowanie sterowników urządzeń lub zmienianie czasu systemowego. Token dostępu użytkownika zawiera listę uprawnień przechowywanych przez użytkownika lub grupy użytkowników.
klucz prywatny
Tajna połowa pary kluczy używana w algorytmie klucza publicznego. Klucze prywatne są zwykle używane do szyfrowania symetrycznego klucza sesji, cyfrowego podpisywania komunikatu lub odszyfrowywania komunikatu zaszyfrowanego przy użyciu odpowiedniego klucza publicznego. Zobacz też "klucz publiczny".
proces
Kontekst zabezpieczeń, w którym działa aplikacja. Zazwyczaj kontekst zabezpieczeń jest skojarzony z użytkownikiem, więc wszystkie aplikacje działające w ramach danego procesu przyjmują uprawnienia i przywileje użytkownika, który jest właścicielem.
para kluczy publicznych/prywatnych
Zestaw kluczy kryptograficznych używanych do kryptografii klucza publicznego. Dla każdego użytkownika dostawca usług kryptograficznych (CSP) zwykle utrzymuje dwie pary kluczy publicznych/prywatnych: parę kluczy wymiany i parę kluczy podpisu cyfrowego. Obie pary kluczy są utrzymywane z sesji do sesji.
klucz publiczny
Klucz kryptograficzny zwykle używany podczas odszyfrowywania klucza sesji lub podpisu cyfrowego. Klucz publiczny może również służyć do szyfrowania komunikatu, co gwarantuje, że tylko osoba z odpowiednim kluczem prywatnym może odszyfrować komunikat.
szyfrowanie klucza publicznego
Szyfrowanie, które używa pary kluczy, jednego klucza do szyfrowania danych i drugiego klucza do odszyfrowywania danych. Natomiast algorytmy szyfrowania symetrycznego to te, które używają tego samego klucza do szyfrowania i odszyfrowywania. W praktyce kryptografia klucza publicznego jest zwykle używana do ochrony klucza sesji używanego przez algorytm szyfrowania symetrycznego. W takim przypadku klucz publiczny jest używany do szyfrowania klucza sesji, który z kolei został użyty do szyfrowania niektórych danych, a klucz prywatny jest używany do odszyfrowywania. Oprócz ochrony kluczy sesji kryptografia klucza publicznego może być również używana do cyfrowego podpisywania komunikatu (przy użyciu klucza prywatnego) i weryfikowania podpisu (przy użyciu klucza publicznego).
infrastruktura kluczy publicznych (PKI)
Infrastruktura zapewniająca zintegrowany zestaw usług i narzędzi administracyjnych do tworzenia, wdrażania i zarządzania aplikacjami kluczy publicznych.
Odrzucenie
Zdolność użytkownika do fałszywego odmowy wykonania akcji, podczas gdy inne strony nie mogą udowodnić inaczej. Na przykład użytkownik, który usuwa plik i kto może pomyślnie temu zaprzeczyć.
urząd główny
Najwyższy urząd certyfikacji w hierarchii urzędów certyfikacji. Główny urząd certyfikacyjny certyfikuje urzędy certyfikacyjne na następnym poziomie hierarchii.
Bezpieczny algorytm wyznaczania skrótu (SHA)
Algorytm haszujący, który generuje skrót komunikatu. Algorytm SHA jest używany z algorytmem podpisu cyfrowego (DSA) w standardzie podpisu cyfrowego (DSS) między innymi. Istnieją cztery odmiany SHA: SHA-1, SHA-256, SHA-384 i SHA-512. Algorytm SHA-1 generuje 160-bitowy skrót komunikatu. Sha-256, SHA-384 i SHA-512 generują odpowiednio 256-bitowe, 384-bitowe i 512-bitowe skróty komunikatów. SHA został opracowany przez Narodowy Instytut Standardów i Technologii (NIST) i przez Agencję Bezpieczeństwa Narodowego (NSA).
Secure Sockets Layer (SSL)
Protokół umożliwiający bezpieczną komunikację sieciową przy użyciu kombinacji technologii kluczy publicznych i tajnych.
kontekst zabezpieczeń
Aktualnie obowiązujące atrybuty lub reguły zabezpieczeń. Na przykład bieżący użytkownik zalogowany na komputerze lub osobisty numer identyfikacyjny wprowadzony przez użytkownika karty inteligentnej. W przypadku interfejsu SSPI kontekst zabezpieczeń to nieprzezroczysta struktura danych zawierająca dane zabezpieczeń związane z połączeniem, taka jak klucz sesji lub wskazanie czasu trwania sesji.
podmiot zabezpieczeń
Jednostka rozpoznawana przez system zabezpieczeń. Podmioty mogą obejmować użytkowników ludzkich oraz procesy autonomiczne.
dostawca obsługi zabezpieczeń (SSP)
Biblioteka dll (dynamic-link library), która implementuje interfejs SSPI, udostępniając co najmniej jeden pakiet zabezpieczeń aplikacjom. Każdy pakiet zabezpieczeń udostępnia mapowania między wywołaniami funkcji SSPI aplikacji a rzeczywistymi funkcjami modelu zabezpieczeń. Pakiety zabezpieczeń obsługują protokoły zabezpieczeń, takie jak uwierzytelnianie Kerberos i program Microsoft LAN Manager (LanMan).
Interfejs dostawcy obsługi zabezpieczeń (SSPI)
Wspólny interfejs między aplikacjami na poziomie transportu, takimi jak zdalne wywołanie procedur Microsoft (RPC), a dostawcami zabezpieczeń, takimi jak rozproszone zabezpieczenia Windows. Interfejs SSPI umożliwia aplikacji transportowej wywołanie jednego z kilku dostawców zabezpieczeń w celu uzyskania uwierzytelnionego połączenia. Te połączenia nie wymagają obszernej wiedzy na temat szczegółów protokołu zabezpieczeń.
usługa tokenu zabezpieczającego
Usługi przeznaczone do wystawiania i zarządzania dedykowanymi tokenami zabezpieczającymi w wielousługowym scenariuszu. Tokeny niestandardowe są zwykle tokenami języka SAML (Security Assertions Markup Language), które zawierają poświadczenia niestandardowe.
certyfikat serwera
Odwołuje się do certyfikatu używanego do uwierzytelniania serwera, takiego jak uwierzytelnianie serwera sieci Web w przeglądarce sieci Web. Gdy klient przeglądarki sieci Web próbuje uzyskać dostęp do zabezpieczonego serwera sieci Web, serwer wysyła certyfikat do przeglądarki, aby umożliwić mu zweryfikowanie tożsamości serwera.
sesja
Wymiana komunikatów pod ochroną pojedynczego fragmentu materiału kluczowego. Na przykład sesje SSL używają jednego klucza do wysyłania wielu komunikatów pod tym kluczem.
klucz sesji
Losowo wygenerowany klucz, który jest używany raz, a następnie odrzucony. Klucze sesji są symetryczne (używane do szyfrowania i odszyfrowywania). Są one wysyłane z wiadomością chronioną przez szyfrowanie przy użyciu klucza publicznego od zamierzonego adresata. Klucz sesji składa się z losowej liczby około 40 do 2000 bitów.
poświadczenia uzupełniające
Poświadczenia do użycia podczas uwierzytelniania podmiotu zabezpieczeń w zagranicznych domenach zabezpieczeń.
szyfrowanie symetryczne
Szyfrowanie, które używa pojedynczego klucza do szyfrowania i odszyfrowywania. Szyfrowanie symetryczne jest preferowane podczas szyfrowania dużych ilości danych. Niektóre z najpopularniejszych algorytmów szyfrowania symetrycznego to RC2, RC4 i Data Encryption Standard (DES).
Zobacz również "szyfrowanie klucza publicznego".
klucz symetryczny
Pojedynczy klucz używany do szyfrowania i odszyfrowywania. Klucze sesji są zwykle symetryczne.
token (token dostępu)
Token dostępu zawiera informacje o zabezpieczeniach sesji logowania. System tworzy token dostępu, gdy użytkownik loguje się, a każdy proces wykonywany w imieniu użytkownika ma kopię tokenu. Token identyfikuje użytkownika, grupy użytkownika i uprawnienia użytkownika. System używa tokenu do kontrolowania dostępu do zabezpieczanych obiektów i kontrolowania możliwości użytkownika do wykonywania różnych operacji związanych z systemem na komputerze lokalnym. Istnieją dwa rodzaje tokenów dostępu: podstawowy i personifikacja.
warstwa transportu
Warstwa sieci, która jest odpowiedzialna zarówno za jakość usług, jak i dokładne dostarczanie informacji. Wśród zadań wykonywanych w tej warstwie są wykrywanie błędów i poprawianie.
lista zaufania (lista zaufania certyfikatów lub lista CTL)
Wstępnie zdefiniowana lista elementów podpisanych przez zaufaną jednostkę. CTL może być czymkolwiek, na przykład listą skrótów certyfikatów lub listą nazw plików. Wszystkie elementy na liście są uwierzytelniane (zatwierdzone) przez jednostkę podpisywania.
dostawca zaufania
Oprogramowanie, które decyduje, czy dany plik jest zaufany. Ta decyzja jest oparta na certyfikacie skojarzonym z plikiem.
główna nazwa użytkownika (UPN)
Nazwa konta użytkownika (czasami nazywana nazwą logowania użytkownika) i nazwa domeny identyfikującej domenę, w której znajduje się konto użytkownika. Jest to standardowe użycie logowania do domeny systemu Windows. Format to: someone@example.com (tak jak w przypadku adresu e-mail).
Uwaga / Notatka
Oprócz standardowego formatu nazwy UPN, program WCF akceptuje nazwy UPN w formacie niższego poziomu, na przykład cohowinery.com\someone.
X.509
Uznany na arenie międzynarodowej standard dla certyfikatów, który definiuje ich wymagane części.