SSl (Secure Sockets layer)

SSL permet de protéger vos interactions en sécurisant la connexion TCP/IP entre l'adaptateur de ressources du gestionnaire de transactions IMS et IMS Connect.
Avec l'évolution constante du Web et du On-Demand Business, la sécurité des données est cruciale pour les internautes. Le protocole SSl (Secure Sockets Layer) assure une transmission sécurisée des informations sensibles sur Internet. Vos informations sont protégées contre :

L'adaptateur de ressources IMS TM communique avec IMS Connect par le biais, entre autres, de sockets TCP/IP. Si l'adaptateur de ressources IMS TM utilise TCP/IP, SSL peut être utilisé pour sécuriser la communication TCP/IP entre les deux entités. La prise en charge de SSL fournie par IMS Connector for Java, ainsi que la prise en charge fournie par IMS Connect, utilise une combinaison de clés privées et publiques avec un chiffrement de clé symétrique pour assurer l'authentification des serveurs et des clients, la confidentialité et l'intégrité des données. Le protocole SSL vient se placer au-dessus du protocole de communication TCP/IP et permet à un serveur activé par SSL de s'authentifier lui-même auprès d'un client activé par SSL et inversement. Dans une connexion SSL entre l'adaptateur de ressources IMS TM et IMS Connect, l'adaptateur de ressources IMS TM est considéré comme le client et IMS Connect comme le serveur. Une fois l'authentification effectuée, le serveur et le client peuvent établir une connexion chiffrée qui préserve également l'intégrité des données échangées.

Pour le support de SSL dans un environnement WebSphere, l'adaptateur de ressources IMS TM utilise l'implémentation IBM de Java Secure Socket Extension (IBM JSSE). La bibliothèque SSL est incluse dans les environnements de développement d'IBM comme Rational Application Developer et WebSphere Integration Developer ainsi que dans WebSphere Application Server.

Concepts SSL

Certificat
Un certificat numérique est un document numérique validant l'identité du propriétaire du certificat. Il comprend des informations sur les personnes telles que leur nom, l'entreprise et la clé publique. Il est signé d'une signature numérique par l'autorité de certification (CA), autorité digne de confiance.
Autorité de certification
Une autorité de certification (CA) est un tiers sécurisé créant et émettant des certificats numériques pour les utilisateurs et les systèmes. En tant qu'organisme reconnu comme étant compétent et de confiance, elle établit la base de la sécurité des certificats.
Gestion des certificats
Les certificats et les clés privées sont stockés dans des fichiers appelés fichiers de clés. Un fichier de clés est une base de données de clés. Les informations contenues dans un fichier de clés se divisent en deux catégories : les entrées de clés et les entrées de certificats sécurisés. Ces deux catégories d'entrées peuvent être stockées dans le même fichier de clés ou, pour des raisons de sécurité, dans deux fichiers séparés, un fichier de clés et un fichier de clés certifiées. Les fichiers de clés et les fichiers de clés certifiées sont utilisés aussi bien par le client SSL, l'adapateur de ressources IMS TM, que par le serveur SSL, IMS Connect.
Fichier de clés
Un fichier de clés comporte des entrées de clés, telles que la clé privée de l'adaptateur de ressources IMS TM, et le client SSL.
Fichier de clés certifiées
Un fichier de clés certifiées est un fichier de clés comportant uniquement les certificats sécurisés de l'utilisateur. Une entrée ne doit être insérée dans un fichier de clés certifiées que si l'utilisateur décide de sécuriser cette entrée. Un exemple d'entrée du fichier de clés certifiées de l'adaptateur de ressources IMS TM (client) est le certificat du serveur SSL cible, IMS Connect.

Par commodité, l'adaptateur de ressources IMS TM autorise l'utilisateur à stocker les entrées de clés et les entrées de certificats sécurisés dans le fichier de clés ou dans le fichier de clés certifiées. Cependant, l'utilisateur est libre de choisir de les stocker séparément. L'adaptateur de ressources IMS TM prend uniquement en charge les certificats X.509 et le type de fichier de clés "JKS" sur les plateformes distribuées (y compris zLinux) et le type de fichier de clés "JKS" ou des keyrings RACF sous OS/390 et z/OS.

Processus SSL

Le protocole SSL est destiné à l'authentification des serveurs, des clients (facultatif mais fortement conseillé) suivi d'une conversation chiffrée. Le scénario suivant montre le principe de fonctionnement du processus SSL.

Authentification du serveur

L'authentification du serveur permet à un client de confirmer l'identité d'un serveur. Le logiciel client SSL utilise des techniques standards de cryptographie de clés publiques pour assurer la validité du certificat et de l'ID publique d'un serveur, et l'émission de ce certificat et de cet ID par l'une des listes d'autorité de certification de confiance (CA) du client.
Authentification client

L'authentification du client permet à un serveur de confirmer l'identité du client. Le logiciel du serveur SSL utilise les mêmes techniques que pour l'authentification du serveur et assure la validité du certificat et de l'ID publique d'un client, et l'émission de ce certificat et de cet ID par l'une des listes d'autorité de certification de confiance (CA) du serveur.
Chiffrement Null

Le chiffrement Null permet l'authentification pendant la phase d'établissement de liaison SSL. Une fois cette phase achevée, tous les messages circulent sans être chiffrés sur la connexion socket.
Etablissement de liaison SSL

Le client, l'adaptateur de ressources IMS TM, et le serveur, IMS Connect, stockent tous deux leurs certificats et leurs clés privées dans des fichiers de clés. La session SSL proprement dite entre l'adaptateur de ressources IMS TM et IMS Connect est établie en suivant une séquence d'établissement de liaison (handshake) entre le client et le serveur. La séquence varie en fonction de la configuration du serveur, pour fournir simplement un certificat serveur ou pour fournir un certificat serveur et demander un certificat client. Elle dépend également des algorithmes de cryptographie disponibles. Un code de chiffrement est un algorithme de chiffrement. Le protocole SSL détermine comment le client et le serveur négocient l'algorithme de cryptographie à utiliser, comment ils s'authentifient l'un l'autre, transmettent les certificats, établissent les clés de session et transmettent leurs messages. Parmi les algorithmes utilisés dans les algorithmes de cryptographie, on trouve :
  • DES - Data Encryption Standard (Norme DES)
  • DSA - Digital Signature Algorithm (Algorithme de signature numérique)
  • KEA - Key Exchange Algorithm (Algorithme d'échange de clés)
  • MD5 - Message Digest algorithm (Algorithme de synthèse de messages)
  • RC2 et RC4 - Rivest encryption ciphers (Algorithmes de cryptage et décryptage)
  • RSA - Algorithme de chiffrement et d'authentification avec une clé publique
  • RSA d'échange de clés - Algorithme d'échange de clés pour SSL basé sur l'algorithme RSA
  • SHA-1 - Secure Hash Algorithm
  • SKIPJACK - Algorithme de clé symétrique mis en place par FORTEZZA
  • Norme DES triple - Norme DES appliquée trois fois

Les protocoles SSL 2.0 et SSL 3.0 prennent en charge le chevauchement des algorithmes de cryptographie. Les administrateurs peuvent activer ou désactiver tout algorithme de cryptographie pris en charge pour les clients et les serveurs. Lorsqu'un client et un serveur échangent des informations lors de l'établissement de liaison, ils identifient les algorithmes de cryptographie activés les plus puissants qu'ils ont en commun et utilisent l'un d'entre eux pour la session SSL.

Transport Layer Security, Version 1 (TLS V1) fait suite au protocole SSL 3.0. L'adaptateur de ressources IMS prend uniquement en charge TLS V1. Il n'existe pas de compatibilité amont.

Concepts associés
Sécurité de l'adaptateur de ressources IMS TM
Connexion de système EIS gérée par conteneur
Connexion de système EIS gérée par composant

Vos commentaires