Secure Sockets layer (SSL)

SSL гарантирует защиту взаимодействий путем обеспечения надежного соединения по TCP/IP между адаптером ресурсов IMS TM и IMS Connect.
С развитием Web и бизнеса On-Demand, остро встал вопрос о защите данных в Internet. Протокол Secure Sockets Layer (SSL) разработан специально для защиты передаваемой через Internet информации. SSL обеспечивает защиту данных от следующих угроз:

Использование сокетов TCP/IP является одним из способов обеспечения обмена информацией между адаптером ресурсов IMS TM иIMS Connect. Если адаптером ресурсов IMS TM используется протокол TCP/IP, SSL можно применять для защиты соединения TCP/IP между этими двумя элементами. Поддержку SSL обеспечивает IMS Connector for Java, а также IMS Connect. Для взаимной идентификации, обеспечения конфиденциальности и целостности данных используются комбинации общих и частных ключей, а также симметричное шифрование. SSL работает поверх TCP/IP и позволяет серверам, поддерживающим SSL, идентифицировать себя на клиентах, поддерживающих SSL, и наоборот. В соединении SSL, установленном между адаптером ресурсов IMS TM и IMS Connect, последний выступает в роли сервера, а адаптер ресурсов IMS TM - в роли клиента. После идентификации они устанавливают между собой соединение с шифрованием, которое также обеспечивает целостность данных.

Для поддержки SSL в средеWebSphere адаптером ресурсовIMS TM используется реализация Java Secure Socket Extension IBM (IBM JSSE). Библиотека SSL включается в состав таких сред разработки IBM, как Rational Application Developer и WebSphere Integration Developer, а также WebSphere Application Server.

Основные понятия SSL

Сертификат
Цифровой сертификат - это цифровой документ, позволяющий удостовериться в том, что его владелец действительно тот, за кого себя выдаёт. В сертификате содержится информация о субъекте, такая как имя, компания и общий ключ. Он подписывается цифровой подписью надежной сертификатной компанией (Certificate Authority - CA).
Сертификатная компания
Сертификатная компания (Certificate Authority - CA) - это надежная организация, которая создает цифровые сертификаты и выдает их пользователям и системам. CA является фундаментальным компонентом в схеме идентификации по сертификатам.
Управление сертификатами
Сертификаты и личные ключи хранятся в файлах, которые называются хранилищами ключей. Хранилище ключей представляет собой базу данных с идентификационной информацией. Хранящаяся в них информация может быть разделена на две категории: ключи и надежные сертификаты. Информация обоих категорий может храниться в одном файле или двух разных файлах. Хранилища ключей и хранилища надежных сертификатов используются как клиентом SSL, адаптером ресурсов IMS TM, так и сервером SSL, IMS Connect.
Хранилище ключей
В хранилище ключей содержатся личные ключи, например, личный ключ адаптера ресурсов IMS TM и клиента SSL.
Хранилище надежных сертификатов
В хранилище надежных сертификатов содержатся сертификаты, которым пользователь доверяет. Новые записи добавляются в хранилище только после принятия пользователем решения о надежности сертификата. Для адаптера ресурсов IMS TM (клиента) в хранилище может содержаться сертификат целевого сервера SSL; IMS Connect.

Для удобства адаптер ресурсов IMS TM позволяет хранить ключи и надежные сертификаты в одном файле - хранилище ключей или надежных сертификатов. Однако пользователь может по-прежнему хранить их отдельно. Адаптер ресурсов IMS TM поддерживает только сертификаты X.509 и хранилище ключей "JKS" на распределенных платформах (в том числе zLinux), а также хранилище ключей "JKS" или наборы ключей RACF в системах OS/390 иz/OS.

Работа протокола SSL

Работа по протоколу SSL состоит из идентификации сервера, идентификации клиента (необязательный, но рекомендуемый этап) и зашифрованного обмена данными. Ниже приведено более подробное описание этих этапов.

Идентификация сервера

Идентификация сервера SSL позволяет клиенту проверить его подлинность. Клиент с поддержкой SSL использует стандартные способы шифрования с общим ключом, чтобы убедиться в том, что сертификат и внешний ИД сервера действуют и выданы сертификатной компанией, входящей во внутренний список надежных CA клиента.
Идентификация клиента

Идентификация клиента позволяет серверу проверить подлинность клиента. Для проверки срока действия и источника сертификата и внешнего ИД клиента сервер с поддержкой SSL использует те же приемы, что и в случае идентификации сервера.
Нулевое шифрование

Нулевое шифрование обеспечивает идентификацию в процедуре согласования SSL. По окончании процедуры согласования SSL, все сообщения передаются без шифрования через этот сокет.
Процедура согласования SSL

Как клиент, адаптер ресурсовIMS TM, так и сервер, IMS Connect, хранят свои сертификаты и личные ключи в хранилищах ключей. Сеанс SSL между адаптером ресурсовIMS TM и IMS Connect устанавливается путем выполнения процедуры согласования между клиентом и сервером. Эта процедура определяется настройками сервера: он может только предоставлять свой сертификат, или же предоставлять свой сертификат и запрашивать сертификат клиента, а также определяется, какие комплекты шифров будут использоваться. Шифр - это криптографический алгоритм. Протокол SSL определяет процедуры согласования используемых шифров между клиентом и сервером, взаимной идентификации, передачи сертификатов, установления ключей сеанса и передачи сообщений. Ниже указаны некоторые алгоритмы, используемые в комплектах шифров:
  • DES - Data Encryption Standard (стандарт шифрования данных)
  • DSA - Digital Signature Algorithm (алгоритм цифровой подписи)
  • KEA - Key Exchange Algorithm (алгоритм обмена ключами)
  • MD5 - Message Digest algorithm (алгоритм представления сообщения в краткой форме)
  • RC2 и RC4 - Шифры Ривеста
  • RSA - алгоритм шифрования с общим ключом, используется для шифрования и идентификации
  • Обмен ключами RSA - механизм обмена ключами для SSL, основанный на алгоритме RSA
  • SHA-1 - Secure Hash Algorithm (защищённый алгоритм хеширования)
  • SKIPJACK - классифицированный алгоритм с симметричным ключом, реализованный в устройствах, совместимых с FORTEZZA
  • Triple-DES - алгоритм DES, применяемый трижды.

Наборы комплектов шифров, применяемых протоколами SSL 2.0 и SSL 3.0, во многом пересекаются. Администраторы могут разрешать и запрещать любые поддерживаемые комплекты шифров как для сервера, так и для клиента. В рамках процедуры согласования SSL сервер и клиент выявляют самый надежный из разрешенных комплектов шифров и используют его для сеанса SSL.

Transport Layer Security версии 1 (TLS V1) - это преемник протокола SSL 3.0. Адаптером ресурсов IMS TM поддерживается только LS V1. Никакие проблемы, связанные с совместимостью со старыми версиями, не выявлены.

Понятия, связанные с данным
Защита адаптера ресурсовIMS TM
Вход в информационную систему предприятия, управляемый контейнером
Вход в информационную систему предприятия, управляемый компонентами

Комментарии