Védett socket réteg (SSL)

Az SSL az interakciók számára az IMS TM erőforrás-illesztő és az IMS Connect közötti TCP/IP kapcsolat védelmével teremti meg a biztonságot.
A Web és az Igényalapú üzletvitel fejlődésével az adatvédelem nagyon fontossá vált az Internet felhasználók számára. A Védett socket réteg (SSL) protokoll biztosítja az érzékeny információk Interneten keresztüli átvitelének biztonságát. Az SSL az információkat a következőktől védi:

Az IMS TM erőforrás-illesztő az IMS Connect programmal csak egy módon: TCP/IP socket-eken keresztül kommunikál. Ha az IMS TM erőforrás-illesztő TCP/IP protokollt használ, akkor SSL segítségével biztosítható a TCP/IP kommunikáció védelme a két entitás között. Az IMS Connector for Java által biztosított SSL támogatás az IMS Connect által nyújtott támogatással együtt nyilvános- és magánkulcsok kombinációját használja szimmetrikus kulcstitkosítási sémával, hogy megvalósítsa az ügyfél és kiszolgáló hitelesítését, az adatok megbízhatóságát és az integritást. Az SSL alapja a TCP/IP kommunikációs protokoll; lehetővé teszi egy SSL-képes kiszolgáló számára, hogy hitelesítse magát egy SSL-képes ügyfélen és viszont. Az IMS TM erőforrás-illesztő és IMS Connect közötti kapcsolat esetén az IMS TM erőforrás-illesztő ügyfélnek, az IMS Connect pedig kiszolgálónak tekintett. Amint a hitelesítés teljesül, a kiszolgáló és ügyfél titkosított kapcsolatot hozhat létre, amely megőrzi az adatok integritását is.

WebSphere környezetben futtatáskor az IMS TM erőforrás-illesztő az SSL támogatáshoz a Java SSE IBM megvalósítását (IBM JSSE) használja. Az SSL könyvtár része az IBM fejlesztői környezeteinek, úgymint a Rational Application Developer, WebSphere Integration Developer és WebSphere Application Server termékeknek.

SSL alapelvek

Igazolás
A digitális igazolás olyan digitális dokumentum, amely érvényesíti az igazolás tulajdonosának az azonosságát. A digitális igazolás információkat tartalmaz az egyénről, úgymint nevet, cégnevet és nyilvános kulcsot. Az igazolást egy megbízható hatóság, az Igazolási hatóság (CA) írja alá digitális aláírással.
Igazolási hatóság
Az Igazolási hatóság (CA) megbízható fél, amely digitális igazolásokat hoz létre és ad ki felhasználók és rendszerek számára. A CA érvényes azonosítóként létrehozza az igazolás alapját az igazolásokban.
Igazoláskezelés
Az igazolásokat és magánkulcsokat a rendszer kulcstárolóknak nevezett fájlokban tárolja. A kulcstároló a kulcsok tartalmának az adatbázisa. A kulcstároló információk két kategóriába csoportosíthatók: kulcs bejegyzések és megbízható igazolás bejegyzések. A kétféle bejegyzés tárolható ugyanabban a kulcstárolóban vagy biztonsági célokból elkülönítve egy kulcstárolóban és egy igazolástárolóban. A kulcstárolókat és igazolástárolókat mind az SSL ügyfél, az IMS TM erőforrás-illesztő, mind az SSL kiszolgáló, az IMS Connect használja.
Kulcstároló
A kulcstároló kulcs bejegyzéseket tárol, például az IMS TM erőforrás-illesztő és az SSL ügyfél magánkulcsát.
Igazolástároló
Az igazolástároló olyan kulcstároló, amely csak olyan az igazolásokat tárol, amelyek a felhasználó számára megbízhatóak. Csak akkor kerül az igazolástárolóhoz hozzáadásra bejegyzés, ha a felhasználó eldönti, hogy megbízik az adott példányban. Egy IMS TM erőforrás-illesztő (ügyfél) igazolástároló bejegyzésére példa a cél SSL kiszolgáló, az IMS Connect igazolása.

Kényelmi okokból az IMS TM erőforrás-illesztő engedélyezi a felhasználónak kulcs bejegyzések és megbízható igazolás bejegyzések tárolását mind a kulcstárolóban, mind az igazolástárolóban. Azonban a felhasználó választhatja azok elkülönített tárolását. Az IMS TM erőforrás-illesztő osztott platformokon (beleértve a zLinux platformot is) csak X.509 igazolásokat és a "JKS" kulcstároló típust támogatja; OS/390 és z/OS platformokon pedig a "JKS" kulcstároló típust vagy az RACF kulcscsomót.

SSL folyamat

Az SSL protokoll kiszolgáló-hitelesítésből, ügyfélhitelesítésből (ez elhagyható, de erősen ajánlott), valamint az ezeket követő titkosított párbeszédből áll. A következő példahelyzet az SSL folyamat lépéseit írja le.

Kiszolgáló-hitelesítés

Az SSL kiszolgáló-hitelesítés lehetővé teszi az ügyfél számára a kiszolgáló azonosságának a megerősítését. Az SSL-képes ügyfélszoftverek szabványos nyilvános kulcsú kriptográfiai eljárásokat használnak annak biztosításául, hogy egy kiszolgáló igazolása és nyilvános azonosítója érvényes, valamint hogy az adott igazolást és azonosítót az ügyfél egyik megbízható igazolási hatósága (CA) adta ki.
Ügyfélhitelesítés

Az SSL ügyfélhitelesítés lehetővé teszi a kiszolgáló számára egy ügyfél azonosságának a megerősítését. A kiszolgáló-hitelesítésben használt eljárásokkal az SSL-képes kiszolgálószoftver ellenőrzi, hogy az ügyfél igazolása és nyilvános azonosítója érvényes, valamint hogy az adott igazolást és azonosítót a kiszolgáló egyik megbízható igazolási hatósága (CA) adta ki.
Nulltitkosítás

A nulltitkosítás lehetővé teszi, hogy a hitelesítés az SSL egyeztetés során valósuljon meg. Amint az SSL egyeztetés befejeződött, minden üzenet titkosítás nélkül halad át az adott socket-en.
SSL egyeztetés

Mind az ügyfél, az IMS TM erőforrás-illesztő, mind a kiszolgáló, az IMS Connect az igazolásait és magánkulcsait kulcstárolókban tárolja. Az IMS TM erőforrás-illesztő és az IMS Connect közötti tényleges SSL munkamenet az ügyfél és kiszolgáló közötti egyeztetést követően kerül kialakításra. A sorrend változhat attól függően, hogy a kiszolgáló csak kiszolgáló-igazolás nyújtására vagy kiszolgáló-igazolás nyújtására és ügyféligazolás kérésére beállított, valamint hogy melyik rejtjelkészlet áll rendelkezésre. A rejtjel egy titkosítási algoritmus. Az SSL protokoll meghatározza, hogyan egyezteti az ügyfél és a kiszolgáló a használandó rejtjelkészletet, hogyan hitelesíti egymást, hogyan visz át igazolásokat, hogyan hoz létre munkamenet kulcsokat és hogyan visz át üzeneteket. A rejtjelkészletekben használt néhány algoritmus:
  • DES - Data Encryption Standard (Adattitkosítási szabvány)
  • DSA - Digital Signature Algorithm (Digitális aláírás algoritmus)
  • KEA - Key Exchange Algorithm (Kulcscsere algoritmus)
  • MD5 - Message Digest (Üzenetkivonat) algoritmus
  • RC2 és RC4 - Rivest titkosítási rejtjelek
  • RSA - Nyilvános kulcsú algoritmus titkosításhoz és hitelesítéshez
  • RSA kulcscsere - Az RSA algoritmuson alapuló SSL kulcscsere
  • SHA-1 - Secure Hash Algorithm (Biztonságos kivonatkészítési algoritmus)
  • SKIPJACK - FORTEZZA elvárásnak megfelelő hardverben megvalósított, osztályozott szimmetrikus kulcsú algoritmus
  • Triple-DES - Háromszorosan alkalmazott DES.

Az SSL 2.0 és az SSL 3.0 protokollok támogatják a rejtjelkészletek átfedő halmazait. Az adminisztrátorok mind az ügyfelek, mind a kiszolgálók bármelyik támogatott rejtjelkészletét engedélyezhetik vagy letilthatják. Amikor egy adott ügyfél és kiszolgáló információkat cserél az SSL egyeztetés során, az ügyfél és a kiszolgáló azonosítja a mindkettőjüknél meglévő legerősebb engedélyezett rejtjelkészleteket és azok közül az egyiket fogják használni az SSL munkamenetben.

Az SSL 3.0 protokoll utódja a Szállítási réteg biztonság 1-es verziója (TLS V1). Az IMS TM erőforrás-illesztő csak a TLS V1 protokollt támogatja. Ebben az esetben nincsen visszamenőleges kompatibilitás.

Kapcsolódó fogalmak
IMS TM erőforrás-illesztő biztonság
Tároló által felügyelt EIS bejelentkezés
Összetevő által felügyelt EIS bejelentkezés

Visszajelzés