WCF 安全性用語
您可能會對討論安全性時使用的一些用語感到陌生。 本主題僅針對一些安全性名詞提供簡短說明,而不會針對每個項目逐一提供完整的文件說明。
如需 Windows Communication Foundation (WCF) 文件中使用詞彙的詳細資訊,請參閱基本 Windows Communication Foundation 概念。
Access Control List (ACL) - 存取控制清單 (ACL)
套用到物件的安全性保護清單 (物件可以是檔案、處理序、事件或具有安全性描述元的任何其他項目)。ACL 中的項目稱為存取控制項目 (ACE)。 ACL 有兩種:Discretionary 存取控制清單和系統存取控制清單。
驗證 (authentication)
用於驗證使用者、電腦、服務或處理序為何者或是否符合自稱之身分的處理序。
授權
控制資源的存取與權限的行為。 例如,允許某個群組成員閱讀檔案,但是只允許另一個群組的成員變更檔案。
憑證授權單位 (CA) 憑證
識別會將伺服器和用戶端驗證憑證發給要求這些憑證之伺服器和用戶端的憑證授權單位 (CA)。 由於此憑證包含數位簽章中所用的公開金鑰,因此也稱為 「簽章憑證」 (Signature Certificate)。 如果 CA 是根授權單位,則 CA 憑證可稱為根憑證。 有時亦稱為 「網站憑證」 (Site Certificate)。
CA 階層架構
CA 階層架構包含多個 CA。 它有經過組織,因此每個 CA 都可由較高階層架構中的另一個 CA 進行驗證,一直到達階層架構最頂層,亦稱為「根憑證授權單位」(Root Authority) 為止。
憑證 (certificate)
包含實體與實體公開金鑰相關資訊的數位簽署陳述式,因此會將這兩個資訊片段繫結在一起。 當實體通過授權單位驗證後,就會由稱為憑證授權單位的信任組織 (或實體) 發給憑證。
憑證可包含不同的資料類型。 例如,X.509 憑證包含憑證格式、憑證序號、用來簽署憑證的演算法、發行憑證的 CA 名稱、要求憑證的實體名稱與其公開金鑰,以及 CA 的簽章。
憑證存放區
一般來說,指的是用來存放憑證、憑證撤銷清單 (CRL),以及憑證信任清單 (CTL) 的永久存放區。 然而,當您使用不需要存放在永久存放區的憑證時,可以單純在記憶體中建立並開啟憑證存放區。
claims
從某個實體傳遞至另一個實體,用來建立傳送者身分識別的資訊。 例如,使用者名稱與密碼權杖,或是 X.509 憑證。
用戶端憑證
指的是用在用戶端驗證作業的憑證,例如在 Web 伺服器上驗證網頁瀏覽器。 當網頁瀏覽器用戶端嘗試存取安全的 Web 伺服器時,用戶端會將其憑證傳送給伺服器,以允許伺服器驗證用戶端身分識別。
credentials
安全性原則用來建立本身之身分識別的已驗證登入資料,例如密碼,或是 Kerberos 通訊協定票證。 認證可用來控制資源的存取。
已處理的資料
由公開金鑰密碼編譯標準 (PKCS) #7 (包含任何類型的資料加上內容的訊息雜湊 (摘要)) 所定義的資料內容類型。
數位簽章
將傳送者的身分識別繫結至所傳送資訊的資料。 數位簽章可與任何訊息、檔案,或其他數位編碼資訊一併送出,也可以個別傳輸。 數位簽章可以用在公開金鑰環境中,並提供驗證與完整性服務。
編碼
將資料轉換為位元資料流的處理序。 編碼是將資料轉換為零 (0) 與壹 (1) 資料流之序列化處理序的一部分。
交換金鑰組
公開/私密金鑰組,可用來加密工作階段金鑰,使其能安全地儲存並與其他使用者交換。
雜湊
透過將數學函式 (請參閱「雜湊演算法」) 套用到任意數量的資料,所取得的固定大小數值。 一般來說,此資料包含稱為 nonce 的隨機資料。 服務與用戶端同時都會提供交換 Nonce 以增加結果的複雜性。 此結果亦稱為 「訊息摘要」 (Message Digest)。 傳送雜湊值會比傳送機密資料 (例如密碼) 要來得安全,即使密碼已經加密也是一樣。 雜湊傳送者與接收者必須在雜湊演算法與 Nonce 上達成共識,以便在收到雜湊時可以加以驗證。
雜湊演算法
演算法,用來產生某些資料片段 (例如訊息或工作階段金鑰) 的雜湊值。 傳統的雜湊演算法包含 MD2、MD4、MD5,與 SHA-1。
Kerberos 通訊協定
一種通訊協定,可定義用戶端與網路驗證服務的互動方式。 用戶端從 Kerberos 金鑰發佈中心 (KDC) 取得票證,並在建立連線時將這些票證呈交給伺服器。 Kerberos 票證代表用戶端的網路認證。
本機安全性授權 (LSA)
一種受保護的子系統,可驗證使用者並將使用者登入本機系統中。 LSA 同時會在系統上維護所有本機安全性的相關資訊,合稱為系統的本機安全性原則。
交涉
安全性支援提供者 (SSP),可做為安全性支援提供者介面 (SSPI) 與其他 SSP 之間的應用程式層來使用。 當應用程式呼叫 SSPI 以登入網路時,它可以指定 SSP 來處理要求。 如果應用程式指定 Negotiate
,則 Negotiate
會分析要求,然後依據客戶設定的安全性原則,挑選最好的 SSP 來處理要求。
nonce
隨機產生的值,可用來使「重新執行」攻擊失效。
不可否認性
此功能可指出執行特定動作的使用者,因此毫無疑問地將讓使用者無法拒絕承擔責任。 例如,系統可能會在刪除檔案時,記錄使用者的識別碼。
公開金鑰密碼編譯標準 (PKCS)
RSA Data Security, Inc. 與全球安全系統開發人員合作研發出來的規格,可加速公開金鑰密碼編譯的部署。
PKCS #7
密碼編譯訊息語法標準。 一種通用的資料語法,可套用在數位簽章與加密之類的密碼編譯上。 它同時提供將憑證或憑證撤銷清單與其他訊息屬性 (例如時間戳記) 散佈到訊息的語法。
純文字
尚未加密的訊息。 純文字 (Plaintext) 訊息有時亦稱為 「純文字」 (Cleartext) 訊息。
權限
使用者用來執行各種系統相關作業的權限,例如關閉系統、載入裝置驅動程式,或是變更系統時間等等。 使用者的存取權杖包含使用者或使用者群組所擁有的權限清單。
私密金鑰
公開金鑰演算法中使用的金鑰組的密碼部分。 一般來說,私密金鑰可用來加密對稱工作階段金鑰、對訊息進行數位簽署,或是針對使用對應公開金鑰加密的訊息進行解密。 請參閱「公開金鑰」。
process
應用程式賴以執行的安全性內容。 一般來說,安全性內容會與使用者相關聯,因此所有在特定處理序下執行的應用程式都會具備擁有之使用者的權限。
公開/私密金鑰組
一組用在公開金鑰密碼編譯上的密碼編譯金鑰。 對每個使用者來說,密碼編譯服務提供者 (CSP) 通常需維護兩組公開/私密金鑰:一組交換金鑰,以及一組數位簽章金鑰。 兩組金鑰不管任何工作階段都會受到維護。
公開金鑰
解密工作階段金鑰或數位簽章時,慣常使用的密碼編譯金鑰。 公開金鑰也可以用來加密訊息,以保證只有擁有對應之私密金鑰的使用者才能解密訊息。
公開金鑰加密
使用一組金鑰來加密,其中一支金鑰用來加密資料,而另一支用來解密資料。 反之,對稱的加密演算法會使用相同的金鑰來進行加密與解密。 實務上,我們通常透過公開金鑰密碼編譯來保護對稱加密演算法所使用的工作階段金鑰。 在此情況下,會使用公開金鑰來加密工作階段金鑰,而過去則是用它來加密一些資料,而私密金鑰則是用來解密。 除了保護工作階段金鑰之外,公開金鑰密碼編譯同時也可用來數位簽署訊息 (使用私密金鑰) 並驗證簽章 (使用公開金鑰)。
公開金鑰基礎結構 (PKI)
這個基礎結構可提供整合式服務組合及一些管理工作,協助使用者建立、部署與管理公開金鑰應用程式。
否認
此功能可讓使用者拒絕承認執行了某些動作,而其他人亦無法證明是否為事實。 例如,使用者刪除了檔案之後,可以順利拒絕承認已刪除此檔案。
根授權單位
位於 CA 階層架構上層的 CA。 根授權可於下一層階層架構中驗證 CA。
安全雜湊演算法 (SHA)
可產生訊息摘要的雜湊演算法。 SHA 專門用在數位簽章標準 (DSS) 的數位簽章演算法 (DSA) 中。 SHA 共衍生出四種強度不同的演算法:SHA-1、SHA-256、SHA-384,與 SHA-512。 SHA-1 可產生 160 位元的訊息摘要。 SHA-256、SHA-384,與 SHA-512 可分別產生 256 位元、384 位元,與 512 位元的訊息摘要。 SHA 是由美國國家標準與技術局 (NIST) 與美國國家安全局 (NSA) 所共同開發出來的標準。
安全通訊端層 (SSL)
透過結合公開與私密金鑰技術來進行安全網路通訊的通訊協定。
安全性內容
目前生效的安全性屬性或規則。 例如,目前登入電腦的使用者或由智慧卡使用者所輸入的個人識別碼。 對 SSPI 來說,安全性內容是一種不透明的資料結構,其中包含與連線相關的安全性資料,例如工作階段金鑰或是指出工作階段的持續時間。
安全性原則
安全性系統所識別的實體。 這些原則包括人類使用者,以及自發處理序。
安全性支援提供者 (SSP)
動態連結程式庫 (DLL),可將一或多個安全性套件提供給應用程式以實作 SSPI。 每個安全性套件都能在應用程式的 SSPI 函式呼叫以及實際安全性模型的函式之間提供對應。 安全性套件可支援 Kerberos 驗證與 Microsoft LAN Manager (LanMan) 之類的安全性通訊協定。
安全性支援提供者介面 (SSPI)
一種介於傳輸層應用程式 (例如,Microsoft 遠端程序呼叫 (RPC)),以及安全性提供者 (例如,Windows 分散式安全性) 之間的公用介面。 SSPI 可讓傳輸應用程式呼叫其中一個安全性提供者來取得驗證的連線。 您不需要了解太多有關安全性通訊協定細節,就可以執行這些呼叫。
安全性權杖服務
在多重服務的情況下,設計用來發行與管理自訂安全性權杖 (已發行的權杖) 的服務。 自訂權杖通常指的是包含自訂認證的安全性判斷提示標記語言 (Security Assertions Markup Language,SAML) 權杖。
伺服器憑證
指供伺服器驗證作業使用的憑證,例如針對網頁瀏覽器驗證 Web 伺服器。 當網頁瀏覽器用戶端嘗試存取安全的 Web 伺服器時,伺服器會將其憑證傳送給瀏覽器,以允許用戶端驗證伺服器識別。
session
在保護單一金鑰設定資料的原則下,訊息的交換作業。 例如,SSL 工作階段使用單一金鑰,來回傳送多則訊息。
工作階段金鑰
只使用一次便捨棄的隨機產生金鑰。 工作階段金鑰是對稱式的 (可同時用來加密與解密)。 他們會與訊息一起傳送,並受到各個收件者的公開金鑰加密保護。 工作階段金鑰大約包含 40 到 2,000 位元的隨機數量。
附加認證
用來驗證外部安全性網域之安全性原則的認證。
對稱加密
在加密與解密過程中,使用單一金鑰的加密作業。 針對大量資料進行加密時,通常會使用對稱加密。 一些較常用的對稱加密演算法包括 RC2、RC4,與資料加密標準 (Data Encryption Standard,DES)。
請參閱「公開金鑰加密」。
對稱金鑰 (symmetric key)
在加密與解密過程中,所使用的單一金鑰。 工作階段金鑰通常是對稱的。
權杖 (存取權杖)
存取權杖包含登入工作階段所需的安全性資訊。 系統會在使用者登入時建立存取權杖,而且每個代表使用者執行的處理序都會擁有該權杖的複本。 權杖可識別使用者、使用者群組,以及使用者權限。 系統會使用權杖來控制安全物件的存取權限,並控制使用者是否能夠在本機電腦上執行與系統相關的各種作業。 存取權杖分為兩種:主要權杖與模擬權杖。
傳輸層
同時負責服務品質與正確資訊傳遞的網路層。 此網路層所負責執行的工作當中,包含錯誤偵測與修正。
信任清單 (憑證信任清單,或稱為 CTL)
由信任實體所簽署的預先定義項目清單。 CTL 可以任何形式出現,例如憑證的雜湊清單,或是檔案名稱清單。 清單裡的所有項目都會經由簽署實體加以驗證 (核准)。
信任提供者
決定是否信任特定檔案的軟體。 此決策是依據檔案相關的憑證而定。
使用者主要名稱 (UPN)
使用者帳戶名稱 (有時稱為使用者登入名稱) 和識別使用者帳戶所在網域的網域名稱。 這是登入 Windows 網域時的標準用法。 格式為:someone@example.com
(作為電子郵件地址)。
注意
除了標準 UPN 格式之外,WCF 還接受低階格式的 UPN,例如,cohowinery.com\someone
。
X.509
國際認可的標準,適用於定義其所需部分的憑證。