Az SSL az interakciók számára az IMS
TM erőforrás-illesztő és az IMS
Connect közötti TCP/IP kapcsolat védelmével teremti meg a biztonságot.
A Web és az Igényalapú üzletvitel fejlődésével az adatvédelem nagyon
fontossá vált az Internet felhasználók számára. A Védett socket réteg
(SSL) protokoll biztosítja az érzékeny információk Interneten keresztüli
átvitelének biztonságát.
Az SSL az információkat a következőktől védi:
- Internet lehallgatás
- Adatlopás
- Forgalomelemzés
- Adatok módosítása
- Trójai böngésző/kiszolgáló programok
Az IMS
TM erőforrás-illesztő az IMS
Connect programmal csak egy módon: TCP/IP socket-eken keresztül
kommunikál. Ha az IMS
TM erőforrás-illesztő TCP/IP protokollt használ, akkor SSL segítségével
biztosítható a TCP/IP kommunikáció védelme a két entitás között. Az IMS
Connector for Java
által biztosított SSL támogatás az IMS
Connect által nyújtott támogatással együtt nyilvános- és magánkulcsok
kombinációját használja szimmetrikus kulcstitkosítási sémával, hogy
megvalósítsa az ügyfél és kiszolgáló hitelesítését, az adatok
megbízhatóságát és az integritást. Az SSL alapja a TCP/IP kommunikációs
protokoll; lehetővé teszi egy SSL-képes kiszolgáló számára, hogy
hitelesítse magát egy SSL-képes ügyfélen és viszont. Az IMS
TM erőforrás-illesztő és IMS
Connect közötti kapcsolat esetén az IMS
TM erőforrás-illesztő ügyfélnek, az IMS
Connect pedig kiszolgálónak tekintett.
Amint a hitelesítés teljesül, a kiszolgáló és ügyfél titkosított
kapcsolatot hozhat létre, amely megőrzi az adatok integritását is.
WebSphere
környezetben futtatáskor az IMS
TM erőforrás-illesztő az SSL támogatáshoz a Java
SSE IBM
megvalósítását (IBM
JSSE) használja. Az SSL könyvtár része az IBM fejlesztői környezeteinek,
úgymint a Rational
Application Developer, WebSphere
Integration Developer és WebSphere
Application Server termékeknek.
SSL alapelvek
- Igazolás
- A digitális igazolás olyan digitális dokumentum, amely érvényesíti
az igazolás tulajdonosának az azonosságát. A digitális igazolás
információkat tartalmaz az egyénről, úgymint nevet, cégnevet és nyilvános
kulcsot. Az igazolást egy megbízható hatóság, az Igazolási hatóság
(CA) írja alá digitális aláírással.
- Igazolási hatóság
- Az Igazolási hatóság (CA) megbízható fél, amely digitális
igazolásokat hoz létre és ad ki felhasználók és rendszerek számára. A
CA érvényes azonosítóként létrehozza az igazolás alapját az
igazolásokban.
- Igazoláskezelés
- Az igazolásokat és magánkulcsokat a rendszer kulcstárolóknak nevezett fájlokban
tárolja. A kulcstároló a kulcsok tartalmának az adatbázisa. A
kulcstároló információk két kategóriába csoportosíthatók: kulcs
bejegyzések és megbízható igazolás bejegyzések. A kétféle bejegyzés
tárolható ugyanabban a kulcstárolóban vagy biztonsági célokból elkülönítve egy
kulcstárolóban és egy igazolástárolóban. A kulcstárolókat és
igazolástárolókat mind az SSL ügyfél, az IMS
TM erőforrás-illesztő, mind az SSL kiszolgáló, az IMS
Connect használja.
- Kulcstároló
- A kulcstároló kulcs bejegyzéseket tárol, például az IMS
TM erőforrás-illesztő és az SSL ügyfél magánkulcsát.
- Igazolástároló
- Az igazolástároló olyan kulcstároló, amely csak olyan az igazolásokat
tárol, amelyek a felhasználó számára megbízhatóak. Csak akkor kerül az
igazolástárolóhoz hozzáadásra bejegyzés, ha a felhasználó eldönti, hogy
megbízik az adott példányban. Egy IMS
TM erőforrás-illesztő (ügyfél) igazolástároló bejegyzésére példa a cél SSL
kiszolgáló, az IMS
Connect igazolása.
Kényelmi okokból az IMS
TM erőforrás-illesztő engedélyezi a felhasználónak kulcs bejegyzések és
megbízható igazolás bejegyzések tárolását mind a kulcstárolóban, mind az
igazolástárolóban. Azonban a felhasználó választhatja azok elkülönített
tárolását.
Az IMS TM
erőforrás-illesztő osztott platformokon (beleértve a zLinux platformot is)
csak X.509 igazolásokat és a "JKS" kulcstároló típust támogatja;
OS/390
és z/OS
platformokon pedig a "JKS" kulcstároló típust vagy az
RACF
kulcscsomót.
SSL folyamat
Az SSL protokoll
kiszolgáló-hitelesítésből, ügyfélhitelesítésből (ez elhagyható, de erősen ajánlott),
valamint az ezeket követő titkosított párbeszédből áll. A következő
példahelyzet az SSL folyamat lépéseit írja le.
Kiszolgáló-hitelesítés
Az
SSL kiszolgáló-hitelesítés lehetővé teszi
az ügyfél számára a kiszolgáló azonosságának a megerősítését. Az
SSL-képes ügyfélszoftverek szabványos nyilvános kulcsú kriptográfiai
eljárásokat használnak annak biztosításául, hogy egy kiszolgáló igazolása
és nyilvános azonosítója érvényes, valamint hogy az adott igazolást és
azonosítót az ügyfél egyik megbízható igazolási hatósága (CA) adta ki.
Ügyfélhitelesítés
Az
SSL ügyfélhitelesítés lehetővé teszi a kiszolgáló számára egy ügyfél
azonosságának a megerősítését. A kiszolgáló-hitelesítésben használt
eljárásokkal az SSL-képes kiszolgálószoftver ellenőrzi, hogy az ügyfél
igazolása és nyilvános azonosítója érvényes, valamint hogy az adott igazolást és
azonosítót a kiszolgáló egyik megbízható igazolási hatósága (CA) adta ki.
Nulltitkosítás
A
nulltitkosítás lehetővé teszi, hogy a hitelesítés az SSL egyeztetés során
valósuljon meg. Amint az SSL egyeztetés befejeződött, minden üzenet
titkosítás nélkül halad át az adott socket-en.
SSL egyeztetés
Mind
az ügyfél, az IMS
TM erőforrás-illesztő, mind a kiszolgáló, az IMS
Connect az igazolásait és magánkulcsait kulcstárolókban tárolja. Az IMS
TM erőforrás-illesztő és az IMS
Connect közötti tényleges SSL munkamenet az ügyfél és kiszolgáló közötti egyeztetést követően kerül
kialakításra.
A sorrend változhat attól függően, hogy a kiszolgáló csak
kiszolgáló-igazolás nyújtására vagy kiszolgáló-igazolás nyújtására és ügyféligazolás
kérésére beállított, valamint hogy melyik rejtjelkészlet áll rendelkezésre. A
rejtjel egy titkosítási algoritmus. Az SSL protokoll meghatározza, hogyan
egyezteti az ügyfél és a kiszolgáló a használandó rejtjelkészletet,
hogyan hitelesíti egymást, hogyan visz át igazolásokat, hogyan hoz létre
munkamenet kulcsokat és hogyan visz át üzeneteket. A rejtjelkészletekben
használt néhány algoritmus:
- DES - Data Encryption Standard (Adattitkosítási szabvány)
- DSA - Digital Signature Algorithm (Digitális aláírás algoritmus)
- KEA - Key Exchange Algorithm (Kulcscsere algoritmus)
- MD5 - Message Digest (Üzenetkivonat) algoritmus
- RC2 és RC4 - Rivest titkosítási rejtjelek
- RSA - Nyilvános kulcsú algoritmus titkosításhoz és hitelesítéshez
- RSA kulcscsere - Az RSA algoritmuson alapuló SSL kulcscsere
- SHA-1 - Secure Hash Algorithm (Biztonságos kivonatkészítési algoritmus)
- SKIPJACK - FORTEZZA elvárásnak megfelelő hardverben megvalósított, osztályozott szimmetrikus kulcsú algoritmus
- Triple-DES - Háromszorosan alkalmazott DES.
Az SSL
2.0 és az SSL 3.0 protokollok támogatják a rejtjelkészletek átfedő
halmazait. Az adminisztrátorok mind az ügyfelek, mind a kiszolgálók
bármelyik támogatott rejtjelkészletét engedélyezhetik vagy letilthatják. Amikor
egy adott ügyfél és kiszolgáló információkat cserél az SSL egyeztetés
során, az ügyfél és a kiszolgáló azonosítja a mindkettőjüknél meglévő
legerősebb engedélyezett rejtjelkészleteket és azok közül az egyiket
fogják használni az SSL munkamenetben.
Az SSL 3.0 protokoll utódja
a Szállítási réteg biztonság 1-es verziója (TLS V1). Az IMS
TM erőforrás-illesztő csak a TLS V1 protokollt támogatja. Ebben az
esetben nincsen visszamenőleges kompatibilitás.