S(安全术语表)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

S/MIME

请参阅安全/多用途 Internet 邮件扩展

SACL

请参阅系统访问控制列表

盐值

有时作为会话密钥的一部分包含在内的随机数据。 添加到会话密钥时,会将纯文本盐数据放置在加密密钥数据前面。 添加盐值会增加针对使用对称密钥密码加密的数据实施暴力(字典)攻击所需的工作。 盐值可通过调用 CryptGenRandom 生成。

SAM

请参阅安全帐户管理器

净化名称

在文件名(例如证书吊销列表)和注册表项中使用的证书颁发机构 (CA) 名称形式。 需要净化 CA 名称的过程,才能删除文件名、注册表项名称或可分辨名称值的非法字符,或者出于技术特定原因而非法的字符。 在证书服务中,净化过程会将 CA 公用名中的任何非法字符转换为格式为 **!**xxxx 的 5 个字符表示形式,其中 ! 用作转义字符,xxxx 表示四个唯一标识要转换的字符的十六进制整数。

SAS

请参阅安全关注序列

SCard$DefaultReaders

一个终端读取器组,其中包含分配给该终端的所有读取器,但是不将其保留用于此特定用途。

SCard$AllReaders

智能卡系统范围的读取器组,其中包含引入智能卡资源管理器的所有读取器。 向系统引入读取器时,会自动将其添加到组中。

SCARD_AUTOALLOCATE

智能卡系统常量,该常量将指示智能卡资源管理器分配足够的内存本身,返回指向已分配缓冲区的指针,而不是填充用户提供的缓冲区。 然后,必须调用 SCardFreeMemory 来最终释放返回的缓冲区。

SCEP

请参阅简单证书注册协议

Schannel

在客户端和服务器之间提供身份验证的安全包。

安全关注序列

(SAS) 开始登录或关闭过程的键序列。 默认序列为 CTRL+ALT+DEL。

安全电子交易

(SET) 用于通过 Internet 进行安全电子交易的协议。

安全哈希算法

(SHA) 一种生成消息摘要的哈希算法。 SHA 与数字签名标准 (DSS) 以及其他标准中的数字签名算法 (DSA) 一起使用。 CryptoAPI 通过算法的标识符 (CALG_SHA)、名称 (SHA) 和类 (ALG_CLASS_HASH) 引用此算法。 有四种 SHA:SHA-1、SHA-256、SHA-384 和 SHA-512。 SHA-1 生成 160 位消息摘要。 SHA-256、SHA-384 和 SHA-512 分别生成 256 位、384 位和 512 位消息摘要。 SHA 由美国国家标准与技术研究院 (NIST) 和美国国家安全局 (NSA) 开发。

安全哈希标准

一种由 NIST 和 NSA 设计的标准。 此标准定义与数字签名标准 (DSS) 配合使用的安全哈希算法 (SHA-1)。

另请参阅安全哈希算法

安全套接字层协议

(SSL) 一种协议,用于将公钥技术和私钥技术结合起来以确保网络通信的安全。

安全/多用途 Internet 邮件扩展

(S/MIME) 一种使用公钥加密的电子邮件安全标准。

安全帐户管理器

(SAM) 一项在登录过程中使用的 Windows 服务。 SAM 会维护用户帐户信息,包括用户所属的组。

安全性上下文

当前生效的安全属性或规则。 例如,当前登录到计算机中的用户或由智能卡用户输入的个人识别码。 对于 SSPI,安全上下文是一种不透明的数据结构,其中包含与连接相关的安全数据,如会话密钥或会话持续时间指示。

安全描述符

包含安全对象的安全信息的结构和关联数据。 安全描述符标识对象的所有者和主组。 它还可以包含控制对对象访问的 DACL,以及控制尝试访问对象的日志记录的 SACL。

另请参阅绝对安全描述符自主访问控制列表自相对安全描述符系统访问控制列表

安全标识符

(SID) 一种标识用户、组和计算机帐户的可变长度的数据结构。 首次创建帐户时,网络上的每个帐户都会获签发一个唯一 SID。 Windows 中的内部进程会引用帐户的 SID,而不是帐户的用户或组名称。

安全包

安全协议的软件实现。 安全包被包含在安全支持提供程序 DLL 或安全支持提供程序/身份验证包 DLL 中。

安全协议

一种定义有关如何使用对象来维护计算机系统安全的安全相关数据对象和规则的规范。

安全主体

一个可由安全系统识别的实体。 安全主体可以包括人类用户以及自治进程。

安全支持提供程序

(SSP) 一个动态链接库 (DLL),它通过使一个或多个安全包可供应用程序使用来实现 SSPI。 每个安全包都提供了应用程序的 SSPI 函数调用与实际安全模型的函数之间的映射。 安全包支持安全协议,如 Kerberos 身份验证和 Microsoft LAN Manager。

安全支持提供程序接口

(SSPI) 传输级应用程序(如 Microsoft 远程过程调用 (RPC))与安全提供程序(如 Windows 分布式安全)之间的一种公共接口。 SSPI 使传输应用程序可以调用几个安全提供程序中的一个,以获取经过身份验证的连接。 这些调用不需要对安全协议的细节进行详细了解。

自相对安全描述符

一种将所有安全信息存储在连续内存块中的安全描述符。

另请参阅安全描述符

序列化

将数据转换为一个由 1 和 0 组成的字符串的过程,以便可以串行传输数据。 编码是此过程的一部分。

序列化证书存储区格式

(SST) 序列化证书存储区格式是唯一保留所有证书存储区属性的格式。 如果已使用自定义 EKU 属性配置根,并且想要将其移到另一台计算机,则它非常有用。

服务器

响应来自客户端计算机的命令的计算机。 客户端和服务器协同工作来执行分布式应用程序功能。

另请参阅客户端

服务器证书

指用于服务器身份验证(如在 Web 浏览器上对 Web 服务器进行身份验证)的证书。 当 Web 浏览器客户端试图访问受保护的 Web 服务器时,服务器会将其证书发送给该浏览器,以便该浏览器可以验证服务器的标识。

服务器封闭加密

(SGC) 安全套接字层 (SSL) 的扩展,此扩展将使具有 Internet Information Services (IIS) 导出版本的金融机构等组织可使用强加密(例如 128 位加密)。

服务主体名称

(SPN) 客户端用于唯一标识服务实例的名称。 如果在计算机的整个目录林上安装多个服务实例,那么每个实例都必须有自己的 SPN。 如果客户端有多个名称可用于身份验证,则给定的服务实例可以有多个 SPN

服务提供程序(智能卡)

智能卡子系统组件,通过 COM 接口提供对特定智能卡服务的访问权限。

另请参阅主要服务提供程序

session

一种在一段密钥材料保护下进行的消息交换。 例如,SSL 会话使用一个密钥往来发送处于该密钥保护下的多个消息。

会话密钥

生存期相对较短的加密密钥,通常由客户端和服务器根据共享密钥协商。 会话密钥的生命周期受限于与其关联的会话。 会话密钥应足够强大,足以承受会话生存期的加密分析。 传输会话密钥时,通常会使用密钥交换密钥(通常是非对称密钥)来保护会话密码,以便只有预期收件人可以访问它们。 会话密钥可以通过调用 CryptDeriveKey 函数从哈希值派生。

会话密钥派生方案

指定何时从哈希派生密钥。 使用的方法取决于 CSP 类型。

SET

请参阅安全电子交易

SHA

安全哈希算法 SHA-1 的 CryptoAPI 名称。 其他哈希算法包括 MD2MD4MD5

另请参阅安全哈希算法

SHS

请参阅安全哈希标准

SID

请参阅安全标识符

签名和数据验证函数

简化的消息函数,用于对传出消息进行签名,并验证已接收消息和相关数据中所应用的签名的真实性。

请参阅简化的消息函数

签名证书

包含用于验证数字签名的公钥的证书。

签名文件

包含特定加密服务提供程序 (CSP) 的签名的文件。 需要签名文件才能确保 CryptoAPI 可识别 CSP。 CryptoAPI 会定期验证此签名,以确保 CSP 未被篡改。

签名函数

用于创建和验证数字签名的函数。

另请参阅简化的消息函数

签名密钥对

用于对消息进行身份验证(数字签名)的公钥/私钥对。 签名密钥对可通过调用 CryptGenKey 来创建。

另请参阅交换密钥对

签名私钥

签名密钥对的私钥。

请参阅签名密钥对

签名和信封数据

PKCS #7 定义的数据内容类型。 此数据类型包含任何类型的加密内容、一个或多个收件人的加密内容加密密钥,以及一个或多个签名者的双重加密消息哈希。 双重加密由具有签名者的私钥的加密组成,后跟内容加密密钥的加密。

已签名数据

PKCS #7 定义的数据内容类型。 此数据类型包含任何类型的内容,以及零个或多个签名者的内容的加密消息哈希(摘要)。 生成的哈希可用于确认消息签名者。 这些哈希还确认自消息签名以来尚未修改原始消息。

简单证书注册协议

(SCEP) 表示简单证书注册协议的首字母缩略词。 该协议目前是 Internet 标准草案,定义了网络设备与证书注册机构 (RA) 之间的通信。 有关详细信息,请参阅 Microsoft SCEP 实现白皮书

简单密钥 BLOB

使用目标用户的密钥交换公钥进行加密的会话密钥。 存储会话密钥或将会话密钥传输给其他用户时,将使用此密钥 BLOB 类型。 通过调用 CryptExportKey 可创建密钥 BLOB。

简化的消息函数

消息管理函数,如消息加密、解密、签名和签名验证函数。 相比基本加密函数或低级别消息函数,简化的消息函数在更高的级别运行。 简化的消息函数将多个基本加密、低级别消息和证书函数包装成单个函数,该函数将以特定方式执行特定任务,例如加密 PKCS #7 消息或对消息进行签名。

另请参阅低级别消息函数

单一登录

(SSO) 将 Microsoft 帐户(例如 Microsoft Outlook.com 帐户)链接到本地帐户的功能,以便一个登录允许用户使用支持使用 Microsoft 帐户登录的其他应用程序。

SIP

请参阅主题接口包

站点证书

服务器证书和证书颁发机构 (CA) 证书有时称为站点证书。 引用服务器证书时,证书将标识提供证书的 Web 服务器。 引用 CA 证书时,证书将标识向请求服务器和/或客户端身份验证证书的服务器和客户端签发这些证书的 CA。

Skipjack

作为 Fortezza 加密套件的一部分指定的加密算法。 Skipjack 是固定密钥长度为 80 位的对称密码。 Skipjack 是由美国国家安全局 (NSA) 创建的分类算法。 Skipjack 算法的技术详细信息是密钥。

智能卡

由个人或组拥有、信息必须根据具体所有权分配进行保护的集成电路卡 (ICC)。 这种卡提供自己的物理访问控制;没有智能卡子系统在智能卡上实施其他访问控制。 智能卡是一种塑料卡,其中包含与 ISO 7816 兼容的集成电路。

智能卡通用对话框

可帮助用户选择和查找智能卡的通用对话框。 此对话框可与智能卡数据库管理服务和读取器服务配合使用,以帮助应用程序并在必要时帮助用户标识要用于给定用途的智能卡。

智能卡数据库

资源管理器用于管理资源的数据库。 这种数据库包含一个已知智能卡列表、每张卡的接口和主要服务提供程序,以及已知的智能卡读卡器和读卡器组。

智能卡子系统

用于提供智能卡读卡器和智能卡感知应用程序之间的链接的子系统。

软件发行者证书

(SPC) 包含 X.509 证书的 PKCS #7 签名数据对象。

SPC

请参阅软件发行者证书

SPN

请参阅服务主体名称

SSL

请参阅安全套接字层协议

SSL3 客户端身份验证算法

在安全套接字层 (SSL) 版本 3 中用于客户端身份验证的算法。 在 SSL3 协议中,MD5 哈希和 SHA-1 哈希的串联可使用 RSA 私钥进行签名。 CryptoAPI 和 Microsoft Base 及增强型加密提供程序通过哈希类型 CALG_SSL3_SHAMD5 支持 SSL3。

SSL3 协议

安全套接字层 (SSL) 协议的版本 3。

SSO

请参阅单一登录

SSP

请参阅安全支持提供程序

SSPI

请参阅安全支持提供程序接口

SST

请参阅序列化证书存储区格式

State

与密钥或哈希等加密实体关联的所有持久化值集。 此集可以包括正在使用的初始化向量 (IV)、正在使用的算法或已计算的实体的值等。

流密码

用于串行加密数据(一次一位)的密码。

另请参阅块密码

子身份验证包

通常通过扩展身份验证算法来提供其他身份验证功能的可选 DLL。 如果安装了子身份验证包,身份验证包将先调用子身份验证包,然后在将身份验证结果返回到本地安全机构 (LSA)。

另请参阅本地安全机构

主题接口包

(SIP) 软件层的 Microsoft 专有规范,此规范将让应用程序可创建、存储、检索和验证主题签名。 主题包括但不限于可移植可执行文件映像 (.exe)、机柜 (.cab) 映像、平面文件和目录文件。 每个主题类型都使用不同的数据子集进行哈希计算,并且需要不同的存储和检索过程。 因此,每个主题类型都有一个唯一的主题接口包规范。

Suite B

美国国家安全局在其加密现代化计划中公开声明的一组加密算法。

补充凭据

用于向外部安全域证明安全主体身份的凭据。

另请参阅主要凭据

对称算法

一种通常使用单个密钥(通常称为会话密钥)进行加密和解密的加密算法。 对称算法可以分为两个类别:流算法和块算法(也称流密码块密码)。

对称加密

将单个密钥同时用于加密和解密的加密算法。 在对大量数据进行加密时,对称加密算法是首选算法。 一些比较常用的对称加密算法是 RC2RC4数据加密标准 (DES)。

另请参阅公钥加密

对称密钥 (symmetric key)

与对称加密算法配合使用的密钥(即使用同一密钥进行加密和解密的算法)。 所有通信方都需要知道此类密钥。

系统访问控制列表

(SACL) 用于控制生成审核消息以尝试访问安全对象的 ACL。 获取或设置对象的 SACL 的能力可通过通常仅由系统管理员持有的特权控制。

另请参阅访问控制列表自主访问控制列表特权

系统程序接口

由实现应用程序函数的加密服务提供程序 (CSP) 提供的函数集。