WCF-beveiligingsterminologie
Een deel van de terminologie die wordt gebruikt bij het bespreken van de beveiliging, is mogelijk onbekend. Dit onderwerp bevat korte uitleg over enkele beveiligingstermen, maar is niet bedoeld om uitgebreide documentatie te bieden voor elk item.
Zie De basisconcepten van Windows Communication Foundation (Fundamental Windows Communication Foundation) voor meer informatie over termen die worden gebruikt in wcF-documentatie (Windows Communication Foundation).
toegangsbeheerlijst (ACL)
Een lijst met beveiligingsbeveiligingen die van toepassing zijn op een object. (Een object kan een bestand, proces, gebeurtenis of iets anders zijn met een beveiligingsdescriptor.) Een vermelding in een ACL is een toegangsbeheervermelding (ACE). Er zijn twee soorten ACL's: discretionair en systeem.
verificatie
Het proces voor het controleren of een gebruiker, computer, service of proces is wie of wat het beweert te zijn.
autorisatie
De handeling van het beheren van toegang en rechten voor een resource. U kunt bijvoorbeeld leden van een groep toestaan een bestand te lezen, maar alleen leden van een andere groep toestaan het bestand te wijzigen.
CA-certificaat (certificeringsinstantie)
Identificeert de CA die server- en clientverificatiecertificaten uitgeeft aan de servers en clients die deze certificaten aanvragen. Omdat deze een openbare sleutel bevat die wordt gebruikt in digitale handtekeningen, wordt het ook wel een handtekeningcertificaat genoemd. Als de CA een basisinstantie is, wordt het CA-certificaat mogelijk een basiscertificaat genoemd. Ook wel bekend als een sitecertificaat.
CA-hiërarchie
Een CA-hiërarchie bevat meerdere CA's. Het is georganiseerd zodat elke CA wordt gecertificeerd door een andere CA op een hoger niveau van de hiërarchie totdat de bovenkant van de hiërarchie, ook wel de hoofdinstantie genoemd, wordt bereikt.
certificaat
Een digitaal ondertekende instructie die informatie bevat over een entiteit en de openbare sleutel van de entiteit, waardoor deze twee gegevens aan elkaar worden gekoppeld. Een certificaat wordt uitgegeven door een vertrouwde organisatie (of entiteit), een certificeringsinstantie genoemd, nadat de instantie heeft geverifieerd dat de entiteit is wie het is.
Certificaten kunnen verschillende typen gegevens bevatten. Een X.509-certificaat bevat bijvoorbeeld de indeling van het certificaat, het serienummer van het certificaat, het algoritme dat wordt gebruikt om het certificaat te ondertekenen, de naam van de CA die het certificaat heeft uitgegeven, de naam en openbare sleutel van de entiteit die het certificaat aanvraagt en de handtekening van de CA.
Certificaatarchief
Normaal gesproken wordt een permanente opslag opgeslagen waarin certificaten, certificaatintrekkingslijsten (CRL's) en certificaatvertrouwenslijsten (CCL's) worden opgeslagen. Het is echter mogelijk om een certificaatarchief alleen in het geheugen te maken en te openen wanneer u werkt met certificaten die niet in permanente opslag hoeven te worden geplaatst.
claims
Informatie die van de ene entiteit wordt doorgegeven aan een andere entiteit die wordt gebruikt om de identiteit van de afzender vast te stellen. Bijvoorbeeld een gebruikersnaam- en wachtwoordtoken of een X.509-certificaat.
clientcertificaat
Verwijst naar een certificaat dat wordt gebruikt voor clientverificatie, zoals het verifiëren van een webbrowser op een webserver. Wanneer een webbrowserclient probeert toegang te krijgen tot een beveiligde webserver, verzendt de client het certificaat naar de server om de identiteit van de client te verifiëren.
aanmeldingsgegevens
Eerder geverifieerde aanmeldingsgegevens die een beveiligingsprincipal gebruikt om een eigen identiteit, zoals een wachtwoord, of een Kerberos-protocolticket tot stand te brengen. Referenties worden gebruikt om de toegang tot resources te beheren.
verwerkte gegevens
Een gegevensinhoudstype dat is gedefinieerd door de cryptografische standaard voor openbare sleutels (PKCS) #7 die bestaat uit elk type gegevens plus een bericht-hash (digest) van de inhoud.
digitale handtekening
Gegevens die de identiteit van een afzender binden aan de informatie die wordt verzonden. Een digitale handtekening kan worden gebundeld met berichten, bestanden of andere digitaal gecodeerde gegevens of afzonderlijk worden verzonden. Digitale handtekeningen worden gebruikt in openbare-sleutelomgevingen en bieden verificatie- en integriteitsservices.
Codering
Het proces van het omzetten van gegevens in een stroom bits. Encoding maakt deel uit van het serialisatieproces waarmee gegevens worden geconverteerd naar een stroom van enen en nullen.
sleutelpaar uitwisselen
Een openbaar/persoonlijk sleutelpaar dat wordt gebruikt om sessiesleutels te versleutelen, zodat ze veilig kunnen worden opgeslagen en uitgewisseld met andere gebruikers.
Hash
Een numerieke waarde met een vaste grootte die wordt verkregen door een wiskundige functie (zie hash-algoritme) toe te passen op een willekeurige hoeveelheid gegevens. De gegevens bevatten doorgaans willekeurige gegevens, ook wel nonce genoemd. Zowel de service als de client dragen niet-uitwisselen bij om de complexiteit van het resultaat te vergroten. Het resultaat wordt ook wel een berichtsamenvating genoemd. Het verzenden van een hashwaarde is veiliger dan het verzenden van gevoelige gegevens, zoals een wachtwoord, zelfs als het wachtwoord is versleuteld. De hash-afzender en ontvanger moeten akkoord gaan met het hash-algoritme en de non-ces, zodat na ontvangst een hash kan worden geverifieerd.
hashing-algoritme
Een algoritme dat wordt gebruikt voor het produceren van een hash-waarde van een deel van de gegevens, zoals een bericht of sessiesleutel. Typische hash-algoritmen zijn MD2, MD4, MD5 en SHA-1.
Kerberos-protocol
Een protocol dat definieert hoe clients communiceren met een netwerkverificatieservice. Clients verkrijgen tickets van het Kerberos Key Distribution Center (KDC) en ze presenteren deze tickets aan servers wanneer er verbindingen tot stand worden gebracht. Kerberos-tickets vertegenwoordigen de netwerkreferenties van de client.
lokale beveiligingsautoriteit (LSA)
Een beveiligd subsysteem dat gebruikers verifieert en aanmeldt bij het lokale systeem. LSA onderhoudt ook informatie over alle aspecten van lokale beveiliging op een systeem, gezamenlijk bekend als het lokale beveiligingsbeleid van het systeem.
Onderhandelen
Een beveiligingsondersteuningsprovider (SSP) die fungeert als een toepassingslaag tussen de SSPI (Security Support Provider Interface) en de andere SSP's. Wanneer een toepassing SSPI aanroept om zich aan te melden bij een netwerk, kan er een SSP worden opgegeven om de aanvraag te verwerken. Als de toepassing opgeeft Negotiate, Negotiate analyseert u de aanvraag en kiest u de beste SSP om de aanvraag te verwerken op basis van het door de klant geconfigureerde beveiligingsbeleid.
nonce
Een willekeurig gegenereerde waarde die wordt gebruikt om 'replay'-aanvallen te verslaan.
niet-terugroep
De mogelijkheid om gebruikers te identificeren die bepaalde acties hebben uitgevoerd, waardoor eventuele pogingen van een gebruiker om verantwoordelijkheid te weigeren worden tegengegoed. Een systeem kan bijvoorbeeld de id van een gebruiker registreren wanneer een bestand wordt verwijderd.
Public Key Cryptography Standard (PKCS)
Specificaties geproduceerd door RSA Data Security, Inc. in samenwerking met ontwikkelaars van veilige systemen wereldwijd om de implementatie van openbare-sleutelcryptografie te versnellen.
PKCS #7
De standaard voor de syntaxis van cryptografische berichten. Een algemene syntaxis voor gegevens waarop cryptografie kan worden toegepast, zoals digitale handtekeningen en versleuteling. Het biedt ook syntaxis voor het verspreiden van certificaten of certificaatintrekkingslijsten en andere berichtkenmerken, zoals tijdstempels, voor het bericht.
Leesbare
Een bericht dat niet is versleuteld. Berichten met tekst zonder opmaak worden soms ook wel duidelijke tekstberichten genoemd.
Voorrecht
Het recht van een gebruiker om verschillende systeemgerelateerde bewerkingen uit te voeren, zoals het afsluiten van het systeem, het laden van apparaatstuurprogramma's of het wijzigen van de systeemtijd. Het toegangstoken van een gebruiker bevat een lijst met de bevoegdheden die de gebruiker of de groepen van de gebruiker bevatten.
persoonlijke sleutel
Het geheim van een sleutelpaar dat wordt gebruikt in een algoritme voor openbare sleutels. Persoonlijke sleutels worden meestal gebruikt voor het versleutelen van een symmetrische sessiesleutel, het digitaal ondertekenen van een bericht of het ontsleutelen van een bericht dat is versleuteld met de bijbehorende openbare sleutel. Zie ook 'openbare sleutel'.
process
De beveiligingscontext waaronder een toepassing wordt uitgevoerd. Normaal gesproken is de beveiligingscontext gekoppeld aan een gebruiker, dus alle toepassingen die worden uitgevoerd onder een bepaald proces, nemen de machtigingen en bevoegdheden van de eigenaar van de gebruiker over.
openbaar/persoonlijk sleutelpaar
Een set cryptografische sleutels die worden gebruikt voor openbare-sleutelcryptografie. Voor elke gebruiker onderhoudt een cryptografische serviceprovider (CSP) meestal twee openbare/persoonlijke sleutelparen: een exchange-sleutelpaar en een sleutelpaar voor digitale handtekeningen. Beide sleutelparen worden onderhouden van sessie tot sessie.
openbare sleutel
Een cryptografische sleutel die doorgaans wordt gebruikt bij het ontsleutelen van een sessiesleutel of een digitale handtekening. De openbare sleutel kan ook worden gebruikt om een bericht te versleutelen, zodat alleen de persoon met de bijbehorende persoonlijke sleutel het bericht kan ontsleutelen.
versleuteling van openbare sleutels
Versleuteling die gebruikmaakt van een paar sleutels, één sleutel om gegevens en de andere sleutel te versleutelen om gegevens te ontsleutelen. Symmetrische versleutelingsalgoritmen daarentegen die dezelfde sleutel gebruiken voor zowel versleuteling als ontsleuteling. In de praktijk wordt cryptografie van openbare sleutels meestal gebruikt om de sessiesleutel te beveiligen die door een symmetrisch versleutelingsalgoritmen wordt gebruikt. In dit geval wordt de openbare sleutel gebruikt om de sessiesleutel te versleutelen, die op zijn beurt is gebruikt om bepaalde gegevens te versleutelen en de persoonlijke sleutel wordt gebruikt voor ontsleuteling. Naast het beveiligen van sessiesleutels kan cryptografie van openbare sleutels ook worden gebruikt om een bericht digitaal te ondertekenen (met behulp van de persoonlijke sleutel) en de handtekening te valideren (met behulp van de openbare sleutel).
public key infrastructure (PKI)
Een infrastructuur die een geïntegreerde set services en beheerprogramma's biedt voor het maken, implementeren en beheren van toepassingen met openbare sleutels.
repudiation
De mogelijkheid van een gebruiker om een actie onwaar te weigeren terwijl andere partijen anders niet kunnen bewijzen. Een gebruiker die bijvoorbeeld een bestand verwijdert en wie dit kan weigeren.
basisinstantie
De CA boven aan een CA-hiërarchie. De basisinstantie certificeert CA's op het volgende niveau van de hiërarchie.
Secure Hash Algorithm (SHA)
Een hash-algoritme waarmee een berichtsamenvatking wordt gegenereerd. SHA wordt onder andere gebruikt met het Digital Signature Algorithm (DSA) in de Digital Signature Standard (DSS). Er zijn vier soorten SHA: SHA-1, SHA-256, SHA-384 en SHA-512. SHA-1 genereert een 160-bits berichtsamenvattering. SHA-256, SHA-384 en SHA-512 genereren respectievelijk 256-bits, 384-bits en 512-bits berichtsamenvatingen. SHA is ontwikkeld door het National Institute of Standards and Technology (NIST) en door het National Security Agency (NSA).
Secure Sockets Layer (SSL)
Een protocol voor beveiligde netwerkcommunicatie met behulp van een combinatie van technologie voor openbare en geheime sleutels.
beveiligingscontext
De beveiligingskenmerken of -regels die momenteel van kracht zijn. De huidige gebruiker heeft zich bijvoorbeeld aangemeld bij de computer of het persoonlijke identificatienummer dat is ingevoerd door de smartcardgebruiker. Voor SSPI is een beveiligingscontext een ondoorzichtige gegevensstructuur die beveiligingsgegevens bevat die relevant zijn voor een verbinding, zoals een sessiesleutel of een indicatie van de duur van de sessie.
beveiligingsprincipaal
Een entiteit die wordt herkend door het beveiligingssysteem. Principals kunnen menselijke gebruikers en autonome processen omvatten.
beveiligingsondersteuningsprovider (SSP)
Een DLL (Dynamic Link Library) waarmee de SSPI wordt geïmplementeerd door een of meer beveiligingspakketten beschikbaar te maken voor toepassingen. Elk beveiligingspakket biedt toewijzingen tussen de SSPI-functieaanroepen van een toepassing en de functies van een daadwerkelijk beveiligingsmodel. Beveiligingspakketten ondersteunen beveiligingsprotocollen zoals Kerberos-verificatie en Microsoft LAN Manager (LanMan).
SSPI (Security Support Provider Interface)
Een algemene interface tussen toepassingen op transportniveau, zoals RPC (Remote Procedure Call) van Microsoft en beveiligingsproviders, zoals gedistribueerde Windows-beveiliging. Met SSPI kan een transporttoepassing een van de verschillende beveiligingsproviders aanroepen om een geverifieerde verbinding te verkrijgen. Voor deze aanroepen is geen uitgebreide kennis van de details van het beveiligingsprotocol vereist.
beveiligingstokenservice
Services die zijn ontworpen voor het uitgeven en beheren van aangepaste beveiligingstokens (uitgegeven tokens) in een scenario met meerdere services. De aangepaste tokens zijn meestal SAML-tokens (Security Assertions Markup Language) die een aangepaste referentie bevatten.
servercertificaat
Verwijst naar een certificaat dat wordt gebruikt voor serververificatie, zoals het verifiëren van een webserver naar een webbrowser. Wanneer een webbrowserclient toegang probeert te krijgen tot een beveiligde webserver, verzendt de server het certificaat naar de browser om de identiteit van de server te verifiëren.
session
Een uitwisseling van berichten onder bescherming van één stuk sleutelmateriaal. SSL-sessies gebruiken bijvoorbeeld één sleutel om meerdere berichten heen en weer onder die sleutel te verzenden.
sessiesleutel
Een willekeurig gegenereerde sleutel die eenmaal wordt gebruikt en vervolgens wordt verwijderd. Sessiesleutels zijn symmetrisch (gebruikt voor zowel versleuteling als ontsleuteling). Ze worden verzonden met het bericht, beveiligd door versleuteling met een openbare sleutel van de beoogde ontvanger. Een sessiesleutel bestaat uit een willekeurig aantal van ongeveer 40 tot 2000 bits.
aanvullende referenties
Referenties voor het verifiëren van een beveiligingsprincipaal voor refererende beveiligingsdomeinen.
symmetrische versleuteling
Versleuteling die gebruikmaakt van één sleutel voor zowel versleuteling als ontsleuteling. Symmetrische versleuteling heeft de voorkeur bij het versleutelen van grote hoeveelheden gegevens. Enkele van de meest voorkomende symmetrische versleutelingsalgoritmen zijn RC2, RC4 en Data Encryption Standard (DES).
Zie ook 'openbare-sleutelversleuteling'.
symmetrische sleutel
Eén sleutel die wordt gebruikt voor zowel versleuteling als ontsleuteling. Sessiesleutels zijn meestal symmetrisch.
token (toegangstoken)
Een toegangstoken bevat de beveiligingsgegevens voor een aanmeldingssessie. Het systeem maakt een toegangstoken wanneer een gebruiker zich aanmeldt en elk proces dat namens de gebruiker wordt uitgevoerd, een kopie van het token heeft. Het token identificeert de gebruiker, de groepen van de gebruiker en de bevoegdheden van de gebruiker. Het systeem gebruikt het token om de toegang tot beveiligbare objecten te beheren en om de mogelijkheid van de gebruiker om verschillende systeemgerelateerde bewerkingen op de lokale computer uit te voeren. Er zijn twee soorten toegangstokens, primaire en imitatie.
transportlaag
De netwerklaag die verantwoordelijk is voor zowel de kwaliteit van de service als de nauwkeurige levering van informatie. Onder de taken die in deze laag worden uitgevoerd, zijn foutdetectie en -correctie.
vertrouwenslijst (certificaatvertrouwenslijst of CTL)
Een vooraf gedefinieerde lijst met items die zijn ondertekend door een vertrouwde entiteit. Een CTL kan alles zijn, zoals een lijst met hashes van certificaten of een lijst met bestandsnamen. Alle items in de lijst worden geverifieerd (goedgekeurd) door de ondertekeningsentiteit.
vertrouwensprovider
De software die bepaalt of een bepaald bestand wordt vertrouwd. Deze beslissing is gebaseerd op het certificaat dat aan het bestand is gekoppeld.
user principal name (UPN)
Een gebruikersnaam (ook wel de aanmeldingsnaam van de gebruiker genoemd) en een domeinnaam waarmee het domein wordt geïdentificeerd waarin het gebruikersaccount zich bevindt. Dit is het standaardgebruik voor het aanmelden bij een Windows-domein. De notatie is: someone@example.com (zoals voor een e-mailadres).
Notitie
Naast het standaard UPN-formulier accepteert WCF UPN's in een formulier op een lager niveau, bijvoorbeeld cohowinery.com\someone.
X.509
Een internationaal erkende standaard voor certificaten die de vereiste onderdelen definiëren.