Apéndice 6: Glosario

Publicado: 26 de junio de 2006

Consulte la Página de entrada como punto de partida y para obtener una descripción completa del documento Crear aplicaciones ASP.NET seguras.

En esta página

A A
B B
C C
D D
E E
F F
G G
H H
I I
J J
K K
L L
M M
N N
O O
P P
Q Q
R R
S S
T T
U U
V V
W W
X X
Y Y
Z Z

A

Active Directory
Active Directory es el servicio de directorio LDAP que utiliza el sistema operativo Windows 2000.

Almacén de certificados
Un almacén de certificados es una ubicación de almacenamiento de certificados, listas de revocaciones de certificados (CRL) y listas de certificados de confianza (CTL).

Almacén de claves
Un almacén de claves es la ubicación donde la API de criptografía de Microsoft (CryptoAPI) almacena los pares de claves (normalmente en un archivo o en una clave del Registro). Los almacenes de claves son específicos de un usuario o del equipo en el que se generaron las claves.

Ataque de diccionario
Un ataque de diccionario es un ataque por fuerza bruta en el que el atacante prueba todas las claves secretas posibles para descifrar datos cifrados. Puede reducir la amenaza de esta forma de ataque mediante el uso de un valor salt junto con datos cifrados (o hash).

Autenticación
La autenticación es el proceso de comprobación de la identidad. Por ejemplo, cuando se inicia una sesión en Windows, el sistema operativo autentica al usuario mediante la solicitud de sus credenciales: un nombre de usuario y una contraseña. Cuando un proceso (un tipo de principal) que actúa en nombre de un usuario se conecta a un equipo remoto, utiliza un conjunto de credenciales de la memoria caché para responder a las solicitudes de autenticación de la red.

Autenticación anónima
La autenticación anónima es una forma de autenticación de IIS en la que IIS no intenta comprobar la identidad de sus clientes. La autenticación anónima es similar a la no autenticación. A menudo se utiliza junto con la autenticación mediante Formularios de ASP.NET, que utiliza un formulario HTML para capturar las credenciales del cliente

Autenticación básica
La autenticación básica forma parte del protocolo HTTP 1.0. Su uso es muy extendido, porque la implementan prácticamente todos los servidores Web y exploradores Web. La autenticación básica es un mecanismo de autenticación sencillo que no requiere criptografía ni protocolos de enlace desafío/respuesta. En lugar de eso, las credenciales de un principal (nombre de usuario y contraseña) se pasan directamente del cliente al servidor. La autenticación básica no es segura, a menos que se combine con SSL, ya que la contraseña no se cifra antes de transmitirla a la red. Se transmite mediante codificación base 64, de forma que puede obtenerse fácilmente la contraseña de texto sin cifrar.

Autenticación de certificados
La autenticación de certificados es una forma de autenticación de IIS en la que IIS acepta certificados de cliente que se utilizan para comprobar la identidad del cliente. Con esta forma de autenticación, IIS puede optar por asignar un certificado de cliente a una cuenta de usuario de Windows mediante una tabla de asignación interna o Active Directory.

Autenticación implícita
La autenticación implícita viene definida por el protocolo HTTP 1.1, aunque su uso no es muy extendido. Con esta forma de autenticación, una contraseña de texto sin cifrar no se transmite a través de la red. En su lugar, se transmite una contraseña hash o implícita. Aunque es más segura que la autenticación básica, requiere tener instalado Internet Explorer 5.0 o posterior en el cliente, y un equipo con Windows 2000 ejecutando IIS 5.0 con Active Directory en el servidor.

Autenticación mediante Formularios
La autenticación mediante formularios es un tipo autenticación admitida por ASP.NET que requiere que los usuarios inicien la sesión proporcionando credenciales de inicio de sesión a través de un formulario HTML.

Autenticación mutua
La autenticación mutua es una forma de autenticación en la que el cliente autentica al servidor, a la vez que el servidor autentica al cliente. La autenticación mutua no es admitida por NTLM pero sí por Kerberos. También es posible con SSL cuando el servidor acepta o solicita certificados de cliente.

Autoridad
Una autoridad es una entidad (organización o equipo) de confianza que se utiliza para proporcionar servicios de autenticación.

Autorización
La autorización es el proceso que determina si se permite o no a una identidad autenticada tener acceso a un recurso solicitado o ejecutar una operación solicitada.

Autorización declarativa
La autorización declarativa es una forma de autorización que se aplica en el uso de atributos. Por ejemplo, .NET proporciona la clase PrincipalPermissionAttribute que se puede utilizar para anotar métodos que proporcionen autorización declarativa.

Por ejemplo, la siguiente autorización declarativa garantiza que el método DoPrivMethod sólo puedan ejecutarlo miembros de la función Manager o Teller.

[PrincipalPermissionAttribute(SecurityAction.Demand, Role="Teller"),
   PrincipalPermissionAttribute(SecurityAction.Demand, Role="Manager")]
   public void DoPrivMethod() 
   {
   }

Autorización imperativa
La autorización imperativa es una forma de autorización que se aplica en el código del método. Por ejemplo, .NET proporciona la clase PrincipalPermissionAttribute que se puede utilizar para proporcionar autorización imperativa, tal y como se muestra en el siguiente código. El código pide que el llamador pertenezca a la función Teller. Si el llamador no pertenece a esta función, se genera una excepción de seguridad y no se ejecuta el código con privilegios (el código que sigue a la llamada al método Demand).

public UsePrivilege()
   {
   PrincipalPermission permCheck = new PrincipalPermission(null,"Teller");
   permCheck.Demand();
   // privileged code
   }

B

Base de datos SAM
La base de datos SAM es la base de datos que utilizan Windows NT y Windows 2000 (sin Active Directory) para mantener las cuentas de usuario y de grupo.

C

Certificado
Un certificado es una estructura de datos firmados digitalmente que contiene información acerca de un sujeto (persona o aplicación) y de la clave pública del mismo. Las organizaciones de confianza denominadas entidades emisoras de certificados (CA) emiten los certificados tras verificar la identidad del sujeto.

Certificado de cliente
Un certificado de cliente es un certificado que utilizan los clientes para proporcionar a las aplicaciones servidor una identificación positiva de su identidad.

Cifrado
El cifrado es un algoritmo criptográfico que se utiliza para cifrar datos.

Cifrado de claves pública y privada
El cifrado de claves pública y privada es una forma asimétrica de cifrado basado en un par de claves, pública y privada, generadas criptográficamente. Los datos cifrados con una clave privada pueden descifrarse únicamente con la clave pública correspondiente y viceversa.

Cifrado simétrico
El cifrado simétrico es una forma de cifrado que utiliza la misma clave (única) para cifrar y descifrar datos. Tanto el emisor como el destinatario de los datos cifrados deben tener la misma clave.

Cifrar
Cifrar es convertir datos (texto sin formato) en un valor aparentemente aleatorio y sin sentido (texto cifrado), que es difícil de descifrar sin una clave secreta. Se utiliza para proporcionar confidencialidad a los mensajes.

Clave
Una clave es un valor suministrado por un algoritmo de cifrado o descifrado que se utiliza para cifrar y descifrar datos. Los algoritmos de cifrado simétricos utilizan la misma clave para cifrar y descifrar, mientras que los algoritmos asimétricos utilizan un par de claves: pública y privada.

Clave de sesión
La clave de sesión es una clave simétrica generada aleatoriamente que se utiliza para cifrar datos que se transmiten entre dos partes. Las claves de sesión se utilizan una sola vez (en una sola sesión) y, a continuación, se descartan.

Clave privada
Una clave privada es la mitad del secreto de un par de claves que se utiliza en un algoritmo de clave pública. Las claves privadas suelen utilizarse para cifrar una clave de sesión simétrica, para firmar digitalmente un mensaje o para descifrar un mensaje que haya sido cifrado con la clave pública correspondiente.

Clave pública
Una clave pública es la mitad pública de un par de claves: pública y privada. Suele utilizarse al descifrar una clave de sesión o una firma digital. La clave pública también se puede utilizar para cifrar un mensaje, garantizando de este modo que sólo pueda descifrar el mensaje la persona con la correspondiente clave privada.

Codificación base 64
La codificación base 64 es un método bien definido para procesar datos binarios como texto ASCII imprimible, que se puede utilizar adecuadamente con los protocolos basados en texto como HTTP. No es un tipo de cifrado.

Comunicación segura
La comunicación segura consiste en proporcionar integridad y privacidad a los mensajes cuando se transmiten datos a través de una red. Algunas tecnologías que proporcionan una comunicación segura son SSL y IPSec.

Confianza
Los sistemas seguros se basan en el concepto de confianza en mayor o menor medida. Por ejemplo, se confía en que los usuarios con privilegios administrativos (es decir, los administradores) administrarán correctamente un sistema y no ejecutarán acciones malintencionadas deliberadamente. De forma similar, se debe confiar en el código que se ejecuta con privilegios extendidos, como los controladores de dispositivos, y en el código que se ejecuta como LocalSystem. El código que requiere tal confianza de manera implícita se ejecuta en la base de computación de confianza (TCB) del equipo. No se debe permitir la ejecución del código que no sea de total confianza en la TCB.

El concepto de confianza también es importante para el modelo de subsistema de confianza, que confía en una aplicación o servicio.

Confianza transitiva
La confianza transitiva es una forma bidireccional de relación de confianza entre equipos y dominios. Transitivo significa que si la autoridad A confía en la autoridad B y la autoridad B confía en la autoridad C, entonces la autoridad A confía de manera implícita en la autoridad C (sin que tenga que existir una relación de confianza explícita entre A y C). Active Directory en Windows 2000 admite las relaciones de confianza transitiva.

Confidencialidad
Vea privacidad.

Contexto de seguridad
El contexto de seguridad es un término genérico que se utiliza para hacer referencia a la colección de configuración de seguridad que afecta al comportamiento relacionado con la seguridad de un proceso o subproceso. Los atributos del inicio de sesión de un proceso y del testigo de acceso se combinan para formar el contexto de seguridad del proceso.

Contexto HTTP
El contexto HTTP es el contexto o colección de propiedades que se asocia a la solicitud Web actual y la describe.

Controlador HTTP
ASP.NET asigna solicitudes HTTP a controladores HTTP. ASP.NET asigna direcciones URL o grupos de extensiones URL a controladores HTTP específicos. Los controladores HTTP son una funcionalidad equivalente a las extensiones ISAPI, pero su modelo de programación es mucho más sencillo. Un controlador HTTP es un ensamblado que implementa las interfaces IHttpHandler y IHttpAsyncHandler.

Credenciales
Las credenciales son el conjunto de elementos que utiliza un objeto principal para probar su identidad. Un ejemplo habitual de conjunto de credenciales es el nombre de usuario y la contraseña.

Criptografía
La criptografía es el arte y la ciencia de la seguridad de la información. Abarca la confidencialidad, la integridad y la autenticación.

Cuenta
Una cuenta es una entrada en la base de datos de seguridad que mantiene los atributos de seguridad de un solo principal. La base de datos de seguridad puede ser la base de datos SAM o Active Directory.

Las cuentas pueden ser de dominio o locales.

Cuenta de Proxy
Vea cuenta de servicio.

Cuenta de servicio
Una cuenta de servicio es una cuenta configurada específicamente (también conocida como cuenta de proxy), que se utiliza exclusivamente para tener acceso a un recurso indirecto (a menudo una base de datos) en una aplicación distribuida de varios niveles. Los componentes de nivel medio suelen utilizar un número limitado de cuentas de servicio para conectarse a una base de datos y proporcionar la agrupación de la conexión. Las cuentas de servicio pueden ser cuentas de Windows mantenidas en Active Directory o la base de datos SAM, o cuentas SQL mantenidas en SQL Server.

Cuenta local
Una cuenta local es una cuenta de Windows que se mantiene y almacena en la base de datos SAM local de un equipo determinado. A diferencia de las cuentas de dominio, las cuentas locales no se pueden utilizar para tener acceso a los recursos de la red, a menos que se cree una cuenta local duplicada (con el mismo nombre y la misma contraseña) en el equipo remoto.

Cuentas de dominio
Las cuentas de dominio son cuentas de Windows o de grupo que se mantienen y administran de forma centralizada en una base de datos SAM de un controlador de dominio o en Active Directory.

D

Delegación
La delegación es una forma ampliada de suplantación que permite a un proceso servidor que trabaja en nombre de un cliente tener acceso a recursos de un equipo remoto. Kerberos proporciona esta capacidad de forma nativa en sistemas operativos Windows 2000 y posterior. La suplantación convencional (por ejemplo, la que proporciona NTLM) permite únicamente un salto de red. Cuando se utiliza la suplantación de NTLM, el salto se realiza entre los equipos servidor y cliente, y se restringe el acceso del servidor a los recursos locales durante la suplantación.

Derecho de acceso
Un derecho de acceso es un atributo de un testigo de acceso que determina el tipo de operación que un determinado grupo o usuario de Windows puede realizar en un objeto seguro. Algunos ejemplos de derechos de acceso son: lectura, escritura, eliminación, ejecución, etc.

DES (estándar de cifrado de datos)
DES es un cifrado de bloques que cifra datos en bloques de 64 bits. DES es un algoritmo simétrico que utiliza el mismo algoritmo y la misma clave para cifrar y descifrar. DES ha sido reemplazado por DES triple.

DES triple
Se trata del cifrado DES triple (3DES). Es una variación del algoritmo de cifrado de bloques DES que cifra el texto sin formato con una clave, cifra el texto cifrado resultante con una segunda clave y, por último, cifra el resultado del segundo cifrado con una tercera clave. DES triple es un algoritmo simétrico que utiliza el mismo algoritmo y las mismas claves para cifrar y descifrar.

Descriptor de seguridad (SD)
Un descriptor de seguridad (SD) contiene información de seguridad asociada a un objeto asegurable como un archivo o proceso. Un descriptor de seguridad contiene atributos que incluyen una identificación del propietario del objeto, los grupos de seguridad a los que pertenece y dos listas de control de acceso (ACL): la lista de control de acceso discrecional (DACL) que define los derechos de acceso de cada usuario y grupo de usuarios, y la lista de control de acceso al sistema (SACL) que define los tipos de operación que se ejecutan en el objeto y que deberían generar mensajes de auditoría.

DPAPI (API de protección de datos)
DPAPI es una API Win32, disponible en sistemas operativos Windows 2000 y posterior, que se utiliza para cifrar y descifrar datos. DPAPI pasa al sistema operativo el problema de administración de claves asociado a las técnicas de cifrado, ya que utiliza contraseñas de cuentas de Windows para generar claves de cifrado.

E

EFS (sistema de archivos de cifrado)
El sistema de archivos de cifrado (EFS) se incluye en los sistemas operativos Windows 2000 y posterior para proporcionar la capacidad de cifrado de archivos en un volumen NTFS.

Entidad emisora de certificados (CA)
Una CA es una organización o entidad de confianza que emite certificados.

Entrada de control de acceso (ACE)
Una entrada de control de acceso (ACE) identifica a un usuario o grupo de usuarios concreto en una lista de control de acceso y especifica los derechos de acceso de dicho usuario o grupo de usuarios. Una entrada ACE puede denegar o conceder derechos de forma explícita.

Entropía
La entropía es una medida de incertidumbre. Se utiliza asociada a algunas tecnologías de cifrado para introducir un grado de aleatoriedad en el proceso de cifrado. Un valor de entropía que se utiliza con una clave para cifrar datos debe utilizarse también para descifrar datos.

Equipo selector
Un equipo selector es una tecnología o subsistema que se utiliza para proporcionar control de acceso. Algunos ejemplos de equipos selectores son IIS, el módulo UrlAuthorizationModule de ASP.NET y el módulo FileAuthorizationModule de ASP.NET.

Extensión SOAP
Una extensión SOAP es un mecanismo de extensibilidad admitido por ASP.NET que permite extender el procesamiento de mensajes de SOAP. La extensión SOAP permite inspeccionar o modificar un mensaje en determinadas etapas del ciclo de procesamiento en el cliente o el servidor.

F

Firma digital
La firma digital se utiliza en la autenticación de mensajes para garantizar la validez del emisor del mensaje, la integridad del mensaje y la invariabilidad de los datos durante el tránsito. La firma de los datos no supone la alteración de los mismos, sino únicamente la creación de una cadena de firma digital que se transmite con los datos.

Las firmas digitales se crean con algoritmos de firma de clave pública como el cifrado de clave pública RSA.

Firma digital XML
Una firma digital XML es una firma digital que se aplica a un documento XML.

Funciones
Las funciones son identificadores lógicos (como "Administrador" o "Empleado") que utiliza una aplicación para agrupar a usuarios que comparten los mismos privilegios de seguridad en la aplicación. Algunos ejemplos de tipos de funciones son las funciones de .NET, las funciones de Servicios Empresariales (COM+) y las funciones de base de datos que utiliza SQL Server.

G

GenericIdentity
GenericIdentity es una implementación de la interfaz IIdentity que utiliza ASP.NET junto con los mecanismos de autenticación mediante formularios y de Passport (y algunas veces la autenticación personalizada). El objeto GenericPrincipal contiene un objeto GenericIdentity.

GenericPrincipal
GenericPrincipal es una implementación de la interfaz IPrincipal que utiliza ASP.NET junto con los mecanismos de autenticación mediante formularios y de Passport (y posiblemente la autenticación personalizada). Contiene la lista de funciones (obtenida por la aplicación de un almacén de datos personalizado) a las que pertenece el usuario.

El objeto GenericPrincipal se adjunta al contexto de solicitudes Web y se utiliza para la autorización. Contiene un objeto GenericIdentity.

H

hash
Un hash es un valor numérico de longitud fija que identifica datos de forma unívoca. Los valores hash se utilizan para comprobar la integridad de los datos que se envían a través de canales no seguros. Puede compararse el valor hash de los datos recibidos con el valor hash de los datos que se enviaron para determinar si se alteraron los datos.
Los valores hash también se utilizan en las firmas digitales. Dado que se pueden utilizar valores hash pequeños para representar cantidades de datos de mayor tamaño, sólo es necesario firmar el hash de un mensaje, en lugar de todos los datos del mismo.

I

Identidad
La identidad se refiere a una característica de un usuario o servicio que puede identificarlo de forma unívoca. Por ejemplo, a menudo es un nombre para mostrar que suele tener la forma “autoridad/nombre de usuario”.

Identidad del proceso
La identidad del proceso viene determinada por la cuenta de Windows que se utiliza para ejecutar un proceso ejecutable. Por ejemplo, la identidad predeterminada del proceso de trabajo de ASP.NET (aspnet_wp.exe) es ASPNET (una cuenta de Windows local con privilegios mínimos).
La identidad del proceso determina el contexto de seguridad que se utiliza cuando el código del proceso tiene acceso a recursos locales o remotos. Si el código está en suplantación, la identidad del subproceso (determinada por el testigo del subproceso) proporciona el contexto de seguridad para tener acceso a los recursos.

Implícita
Vea hash.

Inicio de sesión
Un inicio de sesión define el contexto de seguridad en cada proceso que ejecuta. Cuando se inicia una sesión en un equipo de forma interactiva, se crea un inicio de sesión interactivo para alojar el Shell de Windows y cualquier proceso que se inicie de forma interactiva. Cuando un proceso se conecta en nombre de un usuario a un equipo remoto, se utilizan las credenciales del usuario (almacenadas en la caché del inicio de sesión local) para controlar las solicitudes de autenticación del equipo remoto. Si el proceso de autenticación es correcto, se establece un inicio de sesión de red en el equipo remoto, que representa el trabajo realizado en nombre del usuario en el equipo remoto.

Integridad
Los canales de comunicación segura deben garantizar además la protección de los datos frente a modificaciones accidentales o deliberadas (malintencionadas) durante el tránsito. La integridad suelen proporcionarla los códigos de autenticación de mensajes (MAC).

IPSec (seguridad del protocolo Internet)
IPSec es una forma de seguridad en el transporte. IPSec se diseñó para cifrar datos mientras se transmiten entre dos equipos para evitar que sean modificados o interpretados.

J

K

Kerberos
Kerberos es un protocolo de autenticación que admiten los sistemas operativos Windows 2000 y posterior. Kerberos admite la forma ampliada de suplantación denominada delegación, que permite que el contexto de seguridad de un llamador tenga acceso a los recursos de la red y a los recursos locales del sistema operativo del servidor.

L

LDAP (protocolo ligero de acceso a directorios)
LDAP es un protocolo que se utiliza para tener acceso a servicios de directorio como Active Directory.

Lista de control de acceso (ACL)
Una lista de control de acceso (ACL) es una lista ordenada de entradas de control de acceso (ACE) adjuntas a un objeto asegurable. El sistema operativo Windows utiliza dos tipos de ACL: una lista de control de acceso discrecional (DACL) que se utiliza para especificar los derechos de acceso de un usuario o grupo de usuarios y una lista de control de acceso al sistema (SACL) que se utiliza para determinar cuándo deben generar mensajes de auditoría los tipos de acceso específicos.

Lista de control de acceso discrecional (DACL)
Una DACL se asocia a un objeto asegurable (mediante un descriptor de seguridad) y especifica el conjunto de derechos de acceso que se concede a los usuarios o grupos de usuarios. El propietario de un objeto controla la DACL, que consiste en una lista ordenada de entradas de control de acceso (ACE) que determinan los tipos de operaciones que puede ejecutar un usuario o un grupo de usuarios en el objeto.

Lista de revocaciones de certificados (CRL)

Una lista CRL es un documento que mantiene y publica una entidad emisora de certificados (CA) y que contiene los certificados emitidos por la CA que ya no son válidos.

LogonUser
LogonUser es una API Win32 que se utiliza para crear un inicio de sesión (y un testigo de acceso) para una cuenta de Windows especificada. El código que llama a LogonUser debe ser parte del TCB del equipo, lo que significa que debe ejecutarse en un proceso cuya cuenta de Windows tenga concedido el privilegio "Actuar como parte del sistema operativo".

LSA (autoridad de seguridad local)
La Autoridad de seguridad local (LSA) es un subsistema de Windows local que proporciona servicios de autenticación.

M

MAC (código de autenticación de mensajes)
El código de autenticación de mensajes es un valor hash que se agrega a un mensaje para proporcionar integridad. Cuando se utiliza un algoritmo MAC para generar un Hash, la aplicación receptora debe tener también la clave de la sesión para volver a calcular el valor hash y comprobar que los datos del mensaje no se han modificado.

Modelo de subsistema de confianza
Un modelo de subsistema de confianza es un modelo de acceso a recursos adoptado por las aplicaciones Web, en el que la aplicación utiliza una identidad "de confianza" fija para tener acceso a administradores de recursos indirectos como, por ejemplo, bases de datos.

Un administrador de bases de datos define las funciones y permisos de seguridad de la identidad "de confianza" específica en la base de datos. Este modelo admite la agrupación de la conexión a la base de datos, que facilita enormemente la escalabilidad de una aplicación. Se contrapone al modelo de suplantación/delegación.

Modelo de suplantación/delegación
Un modelo de suplantación/delegación es un modelo de acceso a recursos que transmite el contexto de seguridad del llamador original, a través de sucesivos niveles de aplicación, a los administradores de recursos del servidor. De esta forma, los administradores de recursos pueden implementar decisiones de autorización basadas en la identidad del llamador original.

Se contrapone al modelo de subsistema de confianza que utiliza identidades "de confianza" fijas para tener acceso a los recursos.

Módulo HTTP
Un módulo HTTP es un módulo que utiliza ASP.NET para procesar solicitudes Web. Un módulo HTTP es un ensamblado que implementa la interfaz IhttpModule y controla eventos. ASP.NET utiliza una serie de módulos integrados, como los módulos de autenticación, el módulo de estado de la sesión y el módulo de la caché global. Es posible desarrollar módulos HTTP personalizados y conectarlos a la canalización de procesamiento HTTP de ASP.NET.

N

NTLM
NTLM (Windows NT LAN Manager) es un protocolo de autenticación desafío/respuesta que se utiliza en redes con sistemas que ejecutan versiones del sistema operativo Microsoft Windows NT anteriores a Windows 2000 y en sistemas independientes.

O

P

Par de claves
Un par de claves es un par formado por una clave pública y una privada que pertenecen a una entidad y se utilizan para cifrar y descifrar datos.

Perfil de usuario
Los perfiles de usuario contienen la información de configuración de un usuario. Esta información incluye la organización del escritorio, los grupos de programas personales, los elementos de programa, los colores de pantalla, los protectores de pantalla, las conexiones de red, etc. Cuando un usuario inicia una sesión de forma interactiva, el sistema carga el perfil del usuario y configura el entorno según la información del perfil.

La API LoadUserProfile se puede utilizar para cargar el perfil de usuario mediante programación. Las cuentas no interactivas como la cuenta ASPNET local que se utiliza para ejecutar aplicaciones Web ASP.NET no tienen un perfil de usuario.

PKCS (estándares de criptografía de clave pública)
PKCS es un conjunto de estándares de sintaxis para la criptografía de clave pública que abarca funciones de seguridad como, por ejemplo, los métodos para firmar datos, intercambiar claves, solicitar certificados, y cifrar y descifrar claves públicas.

Principal
Un principal es una entidad (normalmente una persona, un equipo, una aplicación o un servicio) que intenta tener acceso a un recurso o aplicación seguros). Un principal tiene un nombre unívoco y alguna forma de proporcionar su identidad a otros principales en un sistema.

Principio de privilegio mínimo
El principio de privilegio mínimo es el concepto de ejecutar código ejecutable con la identidad del proceso más débil posible. De esta forma se limitan los posibles daños producidos en caso de que la seguridad del proceso se viera comprometida.

Si un usuario malintencionado logra insertar código en un proceso del servidor, los privilegios concedidos a dicho proceso determinan en gran medida los tipos de operaciones que puede ejecutar dicho usuario.

Privacidad
La privacidad consiste en garantizar la confidencialidad de los datos para que no puedan ser visualizados por usuarios malintencionados con software de supervisión de la red. La privacidad suele proporcionarse mediante el cifrado.

Privilegio
Un privilegio es el derecho de un usuario de ejecutar diversas operaciones relacionadas con el sistema como, por ejemplo, cerrar el sistema, cargar controladores de dispositivos o cambiar la hora del sistema. El testigo de acceso de un usuario contiene una lista de privilegios del usuario o del grupo de usuarios.

Q

R

RC2
RC2 es el nombre del algoritmo CryptoAPI para el algoritmo RC2.

RC4
RC4 es el nombre del algoritmo CryptoAPI para el algoritmo RC4

RSA
RSA Data Security, Inc., es uno de los principales desarrolladores y publicadores de estándares de criptografía de clave pública. El nombre RSA responde a las iniciales de los nombres de los tres desarrolladores y propietarios de la empresa: Rivest, Shamir y Adleman.

S

SACL (lista de control de acceso al sistema)Una SACL se asocia a un objeto asegurable (mediante un descriptor de seguridad) y especifica los tipos de operaciones ejecutadas por usuarios concretos que deberían generar mensajes de auditoría.

Seguridad de acceso al código

La seguridad de acceso al código es una forma de seguridad de .NET que se utiliza para controlar el acceso del código a los recursos protegidos.

Servidor de aplicaciones

Un servidor de aplicaciones es un equipo servidor dedicado, independiente de un servidor Web cliente. El servidor de aplicaciones suele alojar servicios Web, componentes remotos o aplicaciones de Servicios Empresariales que contienen la mayoría de la lógica empresarial de una aplicación.

SHA (algoritmo hash seguro)
SHA es un algoritmo que se utiliza para generar un valor hash o implícito. El algoritmo SHA original ha sido reemplazado por el algoritmo SHA1 mejorado.

SID (identificador de seguridad)
Un identificador de seguridad (SID) identifica de forma unívoca a un usuario o a un grupo de usuarios en un dominio. Un SID es un valor de longitud variable formado por un nivel de revisión, un valor de la autoridad que autentica (el emisor del SID, que suele ser Windows), un conjunto de valores de subautoridad (normalmente el dominio de la red) y un identificador relativo (RID), que es único en la combinación de autoridad/subautoridad que autentica.

Los SID nunca se reutilizan, incluso cuando se elimina una cuenta de usuario y se vuelve a crear con la misma combinación de nombre y contraseña.

Sin repudio

Capacidad de identificar a los usuarios que ejecutan determinadas acciones, lo que contrarresta irrefutablemente cualquier intento de denegación de responsabilidad por parte del usuario. Por ejemplo, un sistema puede registrar el Id. de un usuario cuando se elimina un archivo.

SOAP
SOAP es un protocolo ligero basado en XML para intercambiar información en un entorno distribuido. Lo utilizan los servicios Web.

SSL (nivel de sockets seguro)
SSL es un protocolo de seguridad de las comunicaciones de red que utiliza una combinación de tecnología de claves secretas y públicas.

SSPI (interfaz del proveedor de compatibilidad con seguridad)
SSPI es una interfaz común entre aplicaciones de transporte, como la llamada a procedimiento remoto de Microsoft (RPC), y proveedores de seguridad, como el proveedor de autenticación integrada de Windows. SSPI permite que una aplicación de transporte llame a uno de los diversos proveedores de seguridad para obtener una conexión autenticada de manera uniforme.

Suplantación
La suplantación es la técnica que utiliza una aplicación servidor para tener acceso a los recursos en nombre de un cliente, mediante una copia del testigo de acceso del cliente. Para facilitar la generación del testigo de acceso de un cliente en un equipo servidor, el cliente debe pasar su identidad a la aplicación servidor, a través de la red.

Vea también suplantación principal fija.

Suplantación principal fija
La suplantación principal fija es una forma de suplantación que utiliza ASP.NET, en la que la identidad representada permanece constante independientemente de la identidad del llamador autenticado. Normalmente, la identidad suplantada viene determinada por la identidad del llamador. La identidad que se utiliza para la suplantación principal fija se especifica mediante los atributos userName y password del elemento <identity> en el archivo Web.config. A continuación se muestra un ejemplo.

<identity userName="Bob" password="password" />

T

TCB (base de computación de confianza)
Una TCB es un límite que define la parte de un sistema en la que se confía para exigir la directiva de seguridad. El código ejecutable que se ejecuta en la TCB puede realizar operaciones sin ser objeto de las comprobaciones de seguridad habituales. Los controladores de dispositivos se ejecutan en la TCB. El código de usuario se ejecuta en la TCB si la cuenta del proceso asociado tiene el privilegio "Actuar como parte del sistema operativo". El código de usuario que se ejecuta en la cuenta SISTEMA local también se ejecuta en los límites de la TCB.

Testigo

Vea testigo de acceso.

Testigo de acceso
Un testigo de acceso es una estructura de datos adjunta a cada proceso de Windows. Mantiene información del contexto de seguridad del proceso, que incluye un SID de usuario que identifica el principal que representa al inicio de sesión y los atributos de autorización, como los privilegios y los SID del grupo del usuario.

Cada testigo de acceso se asocia exactamente con un inicio de sesión, mientras que un inicio de sesión puede contener varios testigos de acceso, uno por cada proceso que se inicie en la sesión y, opcionalmente, otros testigos del subproceso adjuntos a subprocesos individuales.

Testigo de suplantación
Vea testigo del subproceso.

Testigo del subproceso
Un testigo del subproceso es un testigo de acceso temporal asociado a un determinado subproceso. Cuando se crea un subproceso, no tiene testigo de acceso y las operaciones seguras que realiza el subproceso utilizan la información obtenida del testigo del proceso. Una situación típica en la que un subproceso adquiere un testigo de acceso es cuando un subproceso de un proceso servidor desea trabajar en nombre de un cliente. En tal situación, el subproceso representa al cliente mediante la adquisición de un testigo de acceso.

Los testigos del proceso también se denominan testigos temporales y testigos de suplantación.

Testigo temporal
Vea testigo del subproceso.

Texto cifrado
El texto cifrado son datos que se han cifrado.

Texto sin cifrar
El texto sin cifrar son datos que no se han cifrado.

Texto sin formato
Vea texto sin cifrar.

U

V

Valor salt
El valor salt son datos aleatorios que pueden utilizarse junto con los datos cifrados o hash para aumentar las defensas necesarias para proteger los datos de ataques de diccionario por fuerza bruta. Se suele colocar delante de los datos cifrados o hash.

W

WindowsIdentity
WindowsIdentity es una implementación de la interfaz IIdentity que utiliza ASP.NET junto con la autenticación de Windows. Un objeto WindowsIdentity expone el testigo de acceso de Windows del usuario junto con la información del nombre de usuario. El objeto WindowsPrincipal contiene un objeto WindowsIdentity.
WindowsPrincipal

WindowsPrincipal es una implementación de la interfaz IPrincipal que utiliza ASP.NET junto con la autenticación de Windows. ASP.NET agrega un objeto WindowsPrincipal al contexto de la solicitud Web actual para representar al llamador autenticado. Se utiliza para la autorización.

El objeto WindowsPrincipal contiene el conjunto de funciones (grupos de Windows) a las que pertenece el usuario. También contiene un objeto WindowsIdentity que proporciona información acerca de la identidad del llamador.

X

Y

Z

Mostrar: