Terminologie zabezpečení WCF
Některá terminologie použitá při diskuzi o zabezpečení nemusí být neznámá. Toto téma obsahuje stručná vysvětlení některých termínů zabezpečení, ale není určena k poskytování komplexní dokumentace pro každou položku.
Další informace o termínech používaných v dokumentaci WCF (Windows Communication Foundation) naleznete v tématu Základní koncepty technologie Windows Communication Foundation.
seznam řízení přístupu (ACL)
Seznam bezpečnostních ochrany, které platí pro objekt. (Objektem může být soubor, proces, událost nebo cokoli jiného, co má popisovač zabezpečení.) Položka v seznamu ACL je položka řízení přístupu (ACE). Existují dva typy seznamů ACL: volitelné a systémové.
ověřování
Proces ověření, že uživatel, počítač, služba nebo proces je ten, kdo nebo co má být.
autorizace
Řízení přístupu a práv k prostředku. Například umožňuje členům jedné skupiny číst soubor, ale povolit, aby soubor změnili jenom členové jiné skupiny.
certifikát certifikační autority (CA)
Identifikuje certifikační autoritu, která vydává certifikáty ověřování serveru a klienta serverům a klientům, kteří tyto certifikáty požadují. Protože obsahuje veřejný klíč používaný v digitálních podpisech, označuje se také jako podpisový certifikát. Pokud je certifikační autorita kořenovou autoritou, může být certifikát certifikační autority označován jako kořenový certifikát. Někdy se také označuje jako certifikát lokality.
Hierarchie certifikační autority
Hierarchie certifikační autority obsahuje více certifikačních autorit. Je uspořádaná tak, aby každá certifikační autorita byla certifikována jinou certifikační autoritou na vyšší úrovni hierarchie, dokud se nedosáhne vrcholu hierarchie, označované také jako kořenová autorita.
certifikát
Digitálně podepsaný příkaz, který obsahuje informace o entitě a veřejném klíči entity, čímž tyto dva části informací propojí dohromady. Certifikát vydá důvěryhodná organizace (nebo entita), která se nazývá certifikační autorita, jakmile autorita ověří, že se jedná o entitu, o které říká.
Certifikáty můžou obsahovat různé typy dat. Například certifikát X.509 obsahuje formát certifikátu, sériové číslo certifikátu, algoritmus použitý k podepsání certifikátu, název certifikační autority, který certifikát vydal, název a veřejný klíč entity, která požaduje certifikát, a podpis certifikační autority.
úložiště certifikátů
Trvalé úložiště, ve kterém jsou uložené certifikáty, seznamy odvolaných certifikátů (CRL) a seznamy důvěryhodných certifikátů (CTL). Při práci s certifikáty, které nemusí být uložené v trvalém úložišti, je však možné vytvořit a otevřít úložiště certifikátů výhradně v paměti.
deklarace identity
Informace předávané z jedné entity do jiné, které slouží k navázání identity odesílatele. Například token uživatelského jména a hesla nebo certifikát X.509.
klientský certifikát
Odkazuje na certifikát používaný k ověřování klientů, například k ověřování webového prohlížeče na webovém serveru. Když se klient webového prohlížeče pokusí o přístup k zabezpečenému webovému serveru, odešle klientovi certifikát na server, aby mohl ověřit identitu klienta.
přihlašovací údaje
Dříve ověřená přihlašovací data, která objekt zabezpečení používá k vytvoření vlastní identity, jako je heslo nebo lístek protokolu Kerberos. Přihlašovací údaje slouží k řízení přístupu k prostředkům.
digested data
Datový typ obsahu definovaný kryptografickým standardem veřejných klíčů (PKCS) č. 7, který se skládá z libovolného typu dat a hodnoty hash zprávy (digest) obsahu.
digitální podpis
Data, která sváže identitu odesílatele s odesílanou informací. Digitální podpis se může sbalit s libovolnou zprávou, souborem nebo jinými digitálně zakódovanými informacemi nebo je přenášet samostatně. Digitální podpisy se používají v prostředích veřejných klíčů a poskytují služby ověřování a integrity.
encoding
Proces přeměny dat na datový proud bitů. Kódování je součástí procesu serializace, který převádí data na datový proud s nulami a nulami.
výměna páru klíčů
Pár veřejného a privátního klíče, který se používá k šifrování klíčů relace, aby se mohly bezpečně ukládat a vyměňovat s ostatními uživateli.
hash
Číselná hodnota s pevnou velikostí získaná použitím matematické funkce (viz algoritmus hash) na libovolné množství dat. Data obvykle zahrnují náhodná data, označovaná jako nonce. Služba i klient přispívají výměnou za účelem zvýšení složitosti výsledku. Výsledek se také označuje jako hodnota hash zprávy. Odeslání hodnoty hash je bezpečnější než odesílání citlivých dat, například hesla, i když je heslo zašifrované. Odesílatel hodnoty hash a příjemce musí souhlasit s algoritmem hash a nonces, aby bylo možné po přijetí hodnoty hash ověřit hodnotu hash.
hashovací algoritmus
Algoritmus používaný k vytvoření hodnoty hash některých částí dat, například zprávy nebo klíče relace. Mezi typické algoritmy hash patří MD2, MD4, MD5 a SHA-1.
Protokol Kerberos
Protokol, který definuje, jak klienti komunikují se službou ověřování sítě. Klienti získají lístky z centra KDC (Key Distribution Center) protokolu Kerberos a při navázání připojení tyto lístky předávají serverům. Lístky Protokolu Kerberos představují síťové přihlašovací údaje klienta.
místní bezpečnostní autorita (LSA)
Chráněný subsystém, který ověřuje uživatele a protokoluje uživatele do místního systému. LSA také udržuje informace o všech aspektech místního zabezpečení v systému, souhrnně označované jako místní zásady zabezpečení systému.
Vyjednávat
Zprostředkovatel podpory zabezpečení (SSP), který funguje jako aplikační vrstva mezi rozhraním SSPI (Security Support Provider Interface) a ostatními poskytovateli zabezpečení. Když aplikace volá SSPI, aby se přihlásila k síti, může zadat ZSP pro zpracování požadavku. Pokud aplikace určí Negotiate, Negotiate analyzuje požadavek a vybere nejlepší ZSP pro zpracování požadavku na základě zásad zabezpečení nakonfigurovaných zákazníkem.
nonce
Náhodně vygenerovaná hodnota použitá k porážce útoků "přehrání".
Neodvolatelnost
Schopnost identifikovat uživatele, kteří provedli určité akce, a tím neodkazovatelně proti všem pokusům uživatele o odepření odpovědnosti. Systém může například protokolovat ID uživatele při každém odstranění souboru.
Standard PKCS (Public Key Cryptography)
Specifikace vytvořené RSA Data Security, Inc. ve spolupráci s vývojáři zabezpečených systémů po celém světě, aby se urychlilo nasazení kryptografie veřejného klíče.
PKCS č. 7
Standard syntaxe kryptografických zpráv. Obecná syntaxe dat, na která se můžou použít kryptografie, jako jsou digitální podpisy a šifrování. Poskytuje také syntaxi pro šíření certifikátů nebo seznamů odvolaných certifikátů a dalších atributů zpráv, jako jsou časová razítka, do zprávy.
Nešifrovaném
Zpráva, která není šifrovaná. Zprávy ve formátu prostého textu se někdy označují jako zprávy typu cleartext .
Oprávnění
Právo uživatele provádět různé systémové operace, jako je vypnutí systému, načítání ovladačů zařízení nebo změna systémového času. Přístupový token uživatele obsahuje seznam oprávnění, která uživatel nebo skupiny uživatele uchovávají.
Privátní klíč
Tajná polovina páru klíčů použitá v algoritmu veřejného klíče. Privátní klíče se obvykle používají k šifrování symetrického klíče relace, digitálnímu podepsání zprávy nebo dešifrování zprávy, která byla zašifrována odpovídajícím veřejným klíčem. Viz také "veřejný klíč".
process
Kontext zabezpečení, pod kterým aplikace běží. Kontext zabezpečení je obvykle přidružený k uživateli, takže všechny aplikace spuštěné v rámci daného procesu přebírají oprávnění a oprávnění vlastnícího uživatele.
pár veřejného/privátního klíče
Sada kryptografických klíčů používaných pro kryptografii veřejných klíčů. Pro každého uživatele obvykle poskytovatel kryptografických služeb (CSP) udržuje dva páry veřejného a privátního klíče: pár klíčů výměny a pár klíčů digitálního podpisu. Oba páry klíčů se udržují z relace do relace.
veřejný klíč
Kryptografický klíč se obvykle používá při dešifrování klíče relace nebo digitálního podpisu. Veřejný klíč lze také použít k šifrování zprávy, která zaručuje, že zprávu může dešifrovat jenom osoba s odpovídajícím privátním klíčem.
šifrování veřejného klíče
Šifrování, které používá dvojici klíčů, jeden klíč k šifrování dat a druhý klíč k dešifrování dat. Naproti tomu symetrické šifrovací algoritmy, které používají stejný klíč pro šifrování i dešifrování. V praxi se kryptografie veřejného klíče obvykle používá k ochraně klíče relace, který používá symetrický šifrovací algoritmus. V tomto případě se veřejný klíč používá k šifrování klíče relace, který se zase použil k šifrování některých dat a privátní klíč se používá k dešifrování. Kromě ochrany klíčů relace může být kryptografie veřejného klíče použita také k digitálnímu podepsání zprávy (pomocí privátního klíče) a ověření podpisu (pomocí veřejného klíče).
infrastruktura veřejných klíčů (PKI)
Infrastruktura poskytující integrovanou sadu služeb a nástrojů pro správu pro vytváření, nasazování a správu aplikací s veřejným klíčem.
Odmítnutí
Schopnost uživatele nepravdě odepřít akci, zatímco jiné strany nemohou prokázat jinak. Například uživatel, který odstraní soubor a který to může úspěšně odepřít.
kořenová autorita
Certifikační autorita v horní části hierarchie certifikační autority Kořenová autorita certifikuje certifikační autority v další úrovni hierarchie.
Algoritmus SHA (Secure Hash Algorithm)
Algoritmus hash, který generuje hodnotu hash zprávy. SHA se používá s algoritmem DSA (Digital Signature Algorithm) mimo jiné v standardu digitálního podpisu (DSS). Existují čtyři odrůdy SHA: SHA-1, SHA-256, SHA-384 a SHA-512. SHA-1 vygeneruje 160bitovou zprávu digest. SHA-256, SHA-384 a SHA-512 generují 256bitové, 384bitové a 512bitové hodnoty hash zpráv. Sha byl vyvinut Národním institutem standardů a technologií (NIST) a národní bezpečnostní agenturou (NSA).
Ssl (Secure Sockets Layer)
Protokol pro zabezpečenou síťovou komunikaci pomocí kombinace technologie veřejného a tajného klíče.
kontext zabezpečení
Atributy zabezpečení nebo pravidla, která jsou aktuálně platná. Například aktuální uživatel přihlášený k počítači nebo osobní identifikační číslo zadané uživatelem čipové karty. V případě SSPI je kontext zabezpečení neprůhlenou datovou strukturou, která obsahuje data zabezpečení relevantní pro připojení, jako je klíč relace nebo označení doby trvání relace.
objekt zabezpečení
Entita rozpoznaná systémem zabezpečení. Objekty zabezpečení můžou zahrnovat lidské uživatele i autonomní procesy.
poskytovatel podpory zabezpečení (SSP)
Dynamická knihovna (DLL), která implementuje SSPI tím, že zpřístupňuje jeden nebo více balíčků zabezpečení aplikacím. Každý balíček zabezpečení poskytuje mapování mezi voláními funkce SSPI aplikace a skutečnými funkcemi modelu zabezpečení. Balíčky zabezpečení podporují protokoly zabezpečení, jako je ověřování Kerberos a Správce sítě Lan Manager (LanMan).
Rozhraní SSPI (Security Support Provider Interface)
Společné rozhraní mezi aplikacemi na úrovni přenosu, jako je vzdálené volání procedur (RPC) společnosti Microsoft a poskytovatelé zabezpečení, jako je distribuované zabezpečení systému Windows. SSPI umožňuje přenosové aplikaci volat jednoho z několika poskytovatelů zabezpečení, aby získala ověřené připojení. Tato volání nevyžadují rozsáhlé znalosti podrobností protokolu zabezpečení.
služba tokenů zabezpečení
Služby navržené k vydávání a správě vlastních tokenů zabezpečení (vydaných tokenů) ve scénáři s více službami Vlastní tokeny jsou obvykle tokeny SAML (Security Assertions Markup Language), které obsahují vlastní přihlašovací údaje.
certifikát serveru
Odkazuje na certifikát používaný k ověřování serveru, například k ověřování webového serveru ve webovém prohlížeči. Když se klient webového prohlížeče pokusí o přístup k zabezpečenému webovému serveru, odešle server do prohlížeče certifikát, aby mohl ověřit identitu serveru.
session
Výměna zpráv pod ochranou jediného materiálu klíče. Například relace SSL používají jeden klíč k odesílání více zpráv zpět a zpět pod tímto klíčem.
klíč relace
Náhodně vygenerovaný klíč, který se použije jednou a pak se zahodí. Klíče relace jsou symetrické (používají se pro šifrování i dešifrování). Posílají se se zprávou chráněnou šifrováním pomocí veřejného klíče od zamýšleného příjemce. Klíč relace se skládá z náhodného počtu přibližně 40 až 2 000 bitů.
doplňkové přihlašovací údaje
Přihlašovací údaje pro použití při ověřování objektu zabezpečení v cizích doménách zabezpečení.
symetrické šifrování
Šifrování, které používá jeden klíč pro šifrování i dešifrování Při šifrování velkých objemů dat se upřednostňuje symetrické šifrování. Mezi nejběžnější algoritmy symetrického šifrování patří RC2, RC4 a Data Encryption Standard (DES).
Viz také "šifrování veřejného klíče".
symetrický klíč
Jeden klíč používaný pro šifrování i dešifrování. Klíče relací jsou obvykle symetrické.
token (přístupový token)
Přístupový token obsahuje informace o zabezpečení pro přihlašovací relaci. Systém vytvoří přístupový token, když se uživatel přihlásí a každý proces spuštěný jménem uživatele má kopii tokenu. Token identifikuje uživatele, skupiny uživatele a oprávnění uživatele. Systém používá token k řízení přístupu k zabezpečitelným objektům a k řízení schopnosti uživatele provádět různé systémové operace v místním počítači. Existují dva druhy přístupových tokenů, primární a zosobnění.
transportní vrstva
Síťová vrstva, která odpovídá za kvalitu služby a přesné doručování informací. Mezi úkoly prováděné v této vrstvě patří detekce a oprava chyb.
seznam důvěryhodnosti (seznam důvěryhodnosti certifikátů nebo seznam CTL)
Předdefinovaný seznam položek podepsaných důvěryhodnou entitou Hodnota CTL může být cokoli, například seznam hodnot hash certifikátů nebo seznam názvů souborů. Všechny položky v seznamu jsou ověřeny (schváleny) podpisová entita.
poskytovatel důvěryhodnosti
Software, který rozhoduje, jestli je daný soubor důvěryhodný. Toto rozhodnutí vychází z certifikátu přidruženého k souboru.
hlavní název uživatele (UPN)
Název uživatelského účtu (někdy označovaný jako přihlašovací jméno uživatele) a název domény identifikující doménu, ve které se nachází uživatelský účet. Toto je standardní využití pro přihlášení k doméně Windows. Formát je: someone@example.com (jako u e-mailové adresy).
Poznámka:
Kromě standardního formuláře hlavního názvu uživatele (UPN) wcf přijímá hlavní názvy uživatele (UPN) ve formuláři nižší úrovně, cohowinery.com\someonenapříklad .
X.509
Mezinárodně uznávaný standard pro certifikáty, které definují jejich požadované části.