Authentication Reset System
9/8/2008
Este documento fornece detalhes sobre o design do sistema Authentication Reset, incluindo arquitetura geral, hooks para 3-parte componentes, atualizando codificar existente e um componente Reset de autenticação novo. Essa arquitetura é parte de sistemas gerenciamento e solução de segurança para dispositivos Windows Mobile.
Um novo sistema está no local para permitir que usuários com senhas esquecidas recuperar e continuar a usar dispositivos Windows Mobile sem perda de dados. Isso também se estende para 3-parte sistemas autenticação, como smartcards. Com esse sistema no local, os usuários serão capazes para se inscrever novamente para autenticação Sem possua o anteriormente-exigido informações sobre autenticação.
Este documento será acostume um leitor que já tem conhecimento dos Windows Mobile sistemas gerenciamento e solução de segurança com a arquitetura para Authentication Reset. Ele descreve a principal dois componentes, o Local Authentication Plugin (LAP) a Authentication Reset Component (ARC), seu relacionamento e como a ARC pode ser substituído por partes 3ª.
Para informações sobre a implementação um 3-parte LAP ou instruções para substituir o usar como padrão Windows Mobile LAP, referir para a seção See Also abaixo.
Design
Segurança |
A arquitetura permite que componentes para ser projetados que atendem aos dois objetivos de segurança:
|
3 º-parte compatibilidade LAP |
Manter compatibilidade com 3-parte LAP componentes e fornecer a capacidade de 3-parte LAPs para facilmente adicionar recursos Authentication Reset para um LAP. |
Controle de administração e flexibilidade |
A arquitetura permite 3-parte implementações de componente Reset de autenticação que oferecem Administradores controle Total sobre o processo. |
3 º-parte dispositivo gerenciamento solução compatibilidade |
A arquitetura permite 3-parte implementações de componente Reset de autenticação que requerem uma parceria ActiveSync nem um back-end server Exchange. |
Conveniência do usuário |
A arquitetura permite que soluções simples e convenientes. |
Terminologia
Lap |
Autenticação local plug-in. Um mecanismo de autenticação que se conecta em LASS. É geralmente criado por um OEM para habilitar autenticação Application-Independent. Windows Mobile fornece uma senha usar como padrão LAP, mas um personalizado LAP pode ser criado quando necessário. |
LASS |
Subsistema de autenticação local. A infra-estrutura que permite que autenticação do usuário independente do aplicativo e o mecanismo de autenticação específico. LASS é fornecida pelo Windows Embedded CE. |
O registro |
O processo pelo qual um usuário estabelece autenticação sobre o dispositivo, por exemplo, criando uma senha. |
A verificação |
O processo pelo qual um usuário é autenticado no dispositivo, por exemplo, digitar uma senha. |
Design High-Level
Um Windows Mobile - específico da arquitetura LASS/LAP definida por Windows Embedded CE é a componentes Reset de autenticação. Windows Mobile fornece um componente LAP usar como padrão como obrigadas por WinCE. Ele também permite que LAPs aproveitar a arquitetura Authentication Reset. Uso de APIs Reset a autenticação é opcional para LAPs.
A arquitetura para Authentication Reset requer dois componentes substituíveis:
Porque cada componente pode ser substituída por partes 3ª, específico exigido APIs são designados para comunicação mas a implementação de cada é desconhecida para o outro componente e não pode ser adotada. Windows Mobile determina a maneira em que novos componentes são registrados e sugere implementação diretrizes e requisitos. Caso contrário, cada componente é considerado uma "caixa preta". No entanto, Windows Mobile fornece implementações usar como padrão para cada um desses componentes. As implementações usar como padrão são descritas neste documento.
Arquitetura
A arquitetura para Authentication Reset é genérico, permitindo a máxima flexibilidade possível. Um componente LAP deve chamar AuthResetSetup durante a inscrição se ele deseja tornar Authentication Reset disponível para o usuário em um tempo posterior. Durante verificação, o LAP chama função AuthResetRequest em AYGShell para começar o processo. Esta API determina se um 3 - parte Authentication Reset Component tiver sido registrado, em seguida, carrega o DLL especificado e chama o correspondente API no que DLL. O AuthResetGetValue API é fornecido para fornecer um mecanismo para comentários entre os componentes.
Por padrão, o processo Authentication Reset não salvar qualquer informações do estado (Other Than falha tentativas). Se o usuário redefine o dispositivo durante esse processo, o processo iniciará novamente. LAPs e Reset componentes de autenticação podem escolher para informações do estado salvar.
Instalação de fluxo de trabalho
Windows Mobile implementa usar como padrão LAP e componentes Reset de autenticação. 3ª partes podem substituir uma ou ambas esses componentes. Durante a inscrição, o usar como padrão Windows Mobile LAP gera uma chave de administração passa-o para AuthResetSetup como Reset dados para permitir que o componente Reset de autenticação preparar o dispositivo para futuras redefine a autenticação. No componente de Authentication Reset usar como padrão, uma chave gerada é usada para criptografar o Admin Key, que é retornado como Request Data. A chave gerado é armazenada no servidor Exchange usando ActiveSync. O LAP irá armazenar este informações along with outras informações de inscrição e usa seja fazer solicitações no futuro. O LAP irá iniciar instalação redefinir autenticação Depois que o recurso Authentication Reset é usado. Posteriormente, os dados de solicitação já está armazenado e não precisa ser recuperados novamente.
Solicitação de fluxo de trabalho
Fluxo de dados é importante porque ele fornece segurança máxima para o usuário apesar a falta de conhecimento sobre 3-parte componentes. Quando um usuário começa o processo Authentication Reset primeiro serão exigido inserir a nova proposto senha. Em seguida, o componente Reset de autenticação é chamado, passando o Request Data armazenadas durante instalação. Este é um bloqueio chamar no segmento de VerifyUser e depending on o Authentication Reset Component pode levar milissegundos ou dias e pode exigir entrada a partir de usuário. A senha proposta permanentemente é armazenada apenas quando AuthResetRequest retorna com êxito e fornece o compatível Admin Key. Dessa forma, há há possibilidade de um usuário não autorizado que possua o dispositivo para inserção Um indesejável senha em qualquer lugar no processo. Além disso, o usuário é solicitado a verificar novamente depois de concluir o processo Authentication Reset. Para segurança é recomendável que 3-parte siga LAPs neste modelo, mas ele não é exigido.
Comentários
Um LAP terá suporte pino dupla em ordem para suporte a Authentication Reset System.
See Also
Reference
Authentication Reset System Reference
Concepts
Authentication Reset Component (ARC)
Aygshell Component
Local Authentication Plugin (LAP)
ARC / LAP Samples