SSL 通过保护 IMS™ TM
资源适配器与 IMS Connect 之间的 TCP/IP 连接为交互操作提供安全性。
随着 Web 和随需应变业务的不断发展,对于因特网用户来说,数据安全性已变得非常重要。安全套接字层(SSL)协议可以确保通过因特网传送的敏感信息是安全的。SSL 可以防止信息面临下列风险:
- 因特网窃听
- 窃取数据
- 流量分析
- 修改数据
- 特洛伊木马浏览器/服务器
IMS TM
资源适配器与 IMS Connect
之间的一种通信方法是通过 TCP/IP 套接字进行通信。如果 IMS TM
资源适配器使用 TCP/IP,则可以使用 SSL 来保护两个实体之间进行的 TCP/IP 通信。IMS
Connector for Java™
提供的 SSL 支持与 IMS
Connect 提供的支持将公用密钥、专用密钥和对称密钥加密方案结合使用,从而获得客户机和服务器认证、数据机密性和完整性。SSL 依赖于 TCP/IP 通信协议,允许已启用 SSL 的服务器向已启用 SSL 的客户机认证它自己,反之亦然。对于 IMS TM
资源适配器与 IMS Connect
之间的 SSL 连接,IMS TM
资源适配器被认为是客户机,而 IMS Connect
被认为是服务器。一旦完成了认证,上述服务器与客户机之间就可以建立加密连接,这同时也保护了数据的完整性。
对于 SSL 支持,当在 WebSphere® 环境中运行时,IMS TM
资源适配器使用 Java 安全套接字扩展(IBM® JSSE)的 IBM 实现。SSL 库包括在 Rational®
Application Developer 和 WebSphere Integration
Developer 之类的 IBM 开发环境和 WebSphere
Application Server 中。
SSL 概念
- 证书
- 数字证书是一个用来验证证书所有者标识的数字文档。数字证书包含一些个人信息,例如,所有者的姓名、所在公司以及公用密钥。证书都经过认证中心(CA,一个值得信赖的权威机构)利用数字签名进行了签名。
- 认证中心
- 认证中心(CA)是一个值得信赖的机构,它负责为用户和系统创建并颁发数字证书。作为一个有效凭证,CA 为证书建立了值得信赖的基础。
- 证书管理
- 证书和专用密钥都存储在称为密钥库的文件中。密钥库就是一个用来保存密钥资料的数据库。可以将密钥库信息分为两类:密钥条目和可信任证书条目。可以将这两类条目存储在同一个密钥库中;为了安全起见,也可以将它们分别存储在密钥库和信任库中。SSL 客户机(IMS TM
资源适配器)和 SSL 服务器(IMS Connect)都使用密钥库和信任库。
- 密钥库
- 密钥库保存密钥条目,如 IMS TM
资源适配器和 SSL 客户机的专用密钥。
- 信任库
- 信任库是一个只保存用户信任的证书的密钥库。仅当用户决定信任某实体时,才应该将条目添加至信任库。IMS TM
资源适配器(客户机)信任库条目的一个示例是目标 SSL 服务器 IMS Connect 的证书。
为了方便起见,IMS TM
资源适配器允许用户将密钥条目和可信任证书条目存储在密钥库或信任库中。但是,用户也可以选择将它们分开存储。在分布式平台(包括 zLinux)上,IMS TM
资源适配器仅支持 X.509 证书和“JKS”密钥库类型;而在 OS/390® 和 z/OS® 上,它支持“JKS”密钥库类型或 RACF® 密钥环。
SSL 过程
SSL 协议由服务器认证、客户机认证(它是可选的,但是强烈建议您使用)以及加密对话组成。以下方案逐步完成了 SSL 过程。
服务器认证
SSL 服务器认证允许客户机确认服务器的身份。已启用 SSL 的客户机软件使用标准的公用密钥密码术来确保服务器的证书和公用标识有效,并且该证书和标识是由客户机的可信任认证中心(CA)列表中的某一个颁发的。
客户机认证
SSL 客户机认证允许服务器确认客户机的身份。通过使用进行服务器认证时采用的相同技术,已启用 SSL 的服务器软件将验证客户机的证书和公用标识是否有效,并且该证书和标识是由服务器的可信任认证中心(CA)列表中的某一个颁发的。
Null 加密
Null 加密允许在 SSL 握手期间发生认证。一旦完成了
SSL 握手,所有消息未经加密就通过该套接字流动。
SSL 握手
客户机(IMS TM
资源适配器)和服务器(IMS)都将它们的证书和专用密钥存储在密钥库中。IMS TM
资源适配器与 IMS Connect
之间真正的 SSL 会话是遵循客户机与服务器之间的握手序列建立的。根据服务器是配置为仅提供服务器证书,还是提供服务器证书并请求客户机证书,以及可供使用的密码套件的不同,握手序列也将有所不同。密码就是一种加密算法。SSL 协议确定客户机与服务器协商如何使用密码套件以便进行相互认证、传输证书、建立会话密钥以及传输消息。密码套件中使用的一些算法包括:
- DES - 数据加密标准
- DSA - 数字签名算法
- KEA - 密钥交换算法
- MD5 - 消息摘要算法
- RC2 和 RC4 - Rivest 加密密码
- RSA - 用于加密和认证的公用密钥算法
- RSA 密钥交换 - 基于 RSA 算法的、用于 SSL 的密钥交换
- SHA-1 - 安全散列算法
- SKIPJACK - 在符合 FORTEZZA 的硬件中实现的一种保密对称密钥算法
- 三重 DES - 应用了 DES 三次。
SSL 2.0 和 SSL 3.0 协议支持发生重叠的多组密码套件。管理员可以对客户机和服务器启用或禁用受支持的任何密码套件。当特定客户机和服务器在 SSL 握手期间交换信息时,客户机和服务器将标识它们共同具有的最强壮的密码套件,并将其中一个密码套件用于 SSL 会话。
传输层安全性版本 1(TLS V1)是对 SSL 3.0 协议的升级。IMS TM
资源适配器仅支持 TLS V1。不存在向后兼容性问题。