Authentication Reset System
.gif "A checkmark indicates that the information in this topic is relevant for this platform, and that any API listed is also supported on this platform.")
.gif "A hyphen indicates that the information in this topic is not relevant for this platform, or that the platform does not support the API that is listed.")
9/8/2008
Este documento fornece detalhes sobre o design do sistema Authentication Reset, incluindo arquitetura geral, hooks para 3-parte componentes, atualizando codificar existente e um componente Reset de autenticação novo. Essa arquitetura é parte de sistemas gerenciamento e solução de segurança para dispositivos Windows Mobile.
Um novo sistema está no local para permitir que usuários com senhas esquecidas recuperar e continuar a usar dispositivos Windows Mobile sem perda de dados. Isso também se estende para 3-parte sistemas autenticação, como smartcards. Com esse sistema no local, os usuários serão capazes para se inscrever novamente para autenticação Sem possua o anteriormente-exigido informações sobre autenticação.
Este documento será acostume um leitor que já tem conhecimento dos Windows Mobile sistemas gerenciamento e solução de segurança com a arquitetura para Authentication Reset. Ele descreve a principal dois componentes, o Local Authentication Plugin (LAP) a Authentication Reset Component (ARC), seu relacionamento e como a ARC pode ser substituído por partes 3ª.
Para informações sobre a implementação um 3-parte LAP ou instruções para substituir o usar como padrão Windows Mobile LAP, referir para a seção See Also abaixo.
Design
Segurança |
A arquitetura permite que componentes para ser projetados que atendem aos dois objetivos de segurança:
|
3 º-parte compatibilidade LAP |
Manter compatibilidade com 3-parte LAP componentes e fornecer a capacidade de 3-parte LAPs para facilmente adicionar recursos Authentication Reset para um LAP. |
Controle de administração e flexibilidade |
A arquitetura permite 3-parte implementações de componente Reset de autenticação que oferecem Administradores controle Total sobre o processo. |
3 º-parte dispositivo gerenciamento solução compatibilidade |
A arquitetura permite 3-parte implementações de componente Reset de autenticação que requerem uma parceria ActiveSync nem um back-end server Exchange. |
Conveniência do usuário |
A arquitetura permite que soluções simples e convenientes. |
Terminologia
Lap |
Autenticação local plug-in. Um mecanismo de autenticação que se conecta em LASS. É geralmente criado por um OEM para habilitar autenticação Application-Independent. Windows Mobile fornece uma senha usar como padrão LAP, mas um personalizado LAP pode ser criado quando necessário. |
LASS |
Subsistema de autenticação local. A infra-estrutura que permite que autenticação do usuário independente do aplicativo e o mecanismo de autenticação específico. LASS é fornecida pelo Windows Embedded CE. |
O registro |
O processo pelo qual um usuário estabelece autenticação sobre o dispositivo, por exemplo, criando uma senha. |
A verificação |
O processo pelo qual um usuário é autenticado no dispositivo, por exemplo, digitar uma senha. |
Design High-Level
Um Windows Mobile - específico da arquitetura LASS/LAP definida por Windows Embedded CE é a componentes Reset de autenticação. Windows Mobile fornece um componente LAP usar como padrão como obrigadas por WinCE. Ele também permite que LAPs aproveitar a arquitetura Authentication Reset. Uso de APIs Reset a autenticação é opcional para LAPs.
A arquitetura para Authentication Reset requer dois componentes substituíveis:
Porque cada componente pode ser substituída por partes 3ª, específico exigido APIs são designados para comunicação mas a implementação de cada é desconhecida para o outro componente e não pode ser adotada. Windows Mobile determina a maneira em que novos componentes são registrados e sugere implementação diretrizes e requisitos. Caso contrário, cada componente é considerado uma "caixa preta". No entanto, Windows Mobile fornece implementações usar como padrão para cada um desses componentes. As implementações usar como padrão são descritas neste documento.
Arquitetura
A arquitetura para Authentication Reset é genérico, permitindo a máxima flexibilidade possível. Um componente LAP deve chamar AuthResetSetup durante a inscrição se ele deseja tornar Authentication Reset disponível para o usuário em um tempo posterior. Durante verificação, o LAP chama função AuthResetRequest em AYGShell para começar o processo. Esta API determina se um 3 - parte Authentication Reset Component tiver sido registrado, em seguida, carrega o DLL especificado e chama o correspondente API no que DLL. O AuthResetGetValue API é fornecido para fornecer um mecanismo para comentários entre os componentes.
Por padrão, o processo Authentication Reset não salvar qualquer informações do estado (Other Than falha tentativas). Se o usuário redefine o dispositivo durante esse processo, o processo iniciará novamente. LAPs e Reset componentes de autenticação podem escolher para informações do estado salvar.
Instalação de fluxo de trabalho
Windows Mobile implementa usar como padrão LAP e componentes Reset de autenticação. 3ª partes podem substituir uma ou ambas esses componentes. Durante a inscrição, o usar como padrão Windows Mobile LAP gera uma chave de administração passa-o para AuthResetSetup como Reset dados para permitir que o componente Reset de autenticação preparar o dispositivo para futuras redefine a autenticação. No componente de Authentication Reset usar como padrão, uma chave gerada é usada para criptografar o Admin Key, que é retornado como Request Data. A chave gerado é armazenada no servidor Exchange usando ActiveSync. O LAP irá armazenar este informações along with outras informações de inscrição e usa seja fazer solicitações no futuro. O LAP irá iniciar instalação redefinir autenticação Depois que o recurso Authentication Reset é usado. Posteriormente, os dados de solicitação já está armazenado e não precisa ser recuperados novamente.
Solicitação de fluxo de trabalho
Fluxo de dados é importante porque ele fornece segurança máxima para o usuário apesar a falta de conhecimento sobre 3-parte componentes. Quando um usuário começa o processo Authentication Reset primeiro serão exigido inserir a nova proposto senha. Em seguida, o componente Reset de autenticação é chamado, passando o Request Data armazenadas durante instalação. Este é um bloqueio chamar no segmento de VerifyUser e depending on o Authentication Reset Component pode levar milissegundos ou dias e pode exigir entrada a partir de usuário. A senha proposta permanentemente é armazenada apenas quando AuthResetRequest retorna com êxito e fornece o compatível Admin Key. Dessa forma, há há possibilidade de um usuário não autorizado que possua o dispositivo para inserção Um indesejável senha em qualquer lugar no processo. Além disso, o usuário é solicitado a verificar novamente depois de concluir o processo Authentication Reset. Para segurança é recomendável que 3-parte siga LAPs neste modelo, mas ele não é exigido.
Comentários
Um LAP terá suporte pino dupla em ordem para suporte a Authentication Reset System.
See Also
Reference
Authentication Reset System Reference
Concepts
Authentication Reset Component (ARC)
Aygshell Component
Local Authentication Plugin (LAP)
ARC / LAP Samples