SSL гарантирует защиту взаимодействий путем обеспечения надежного соединения по TCP/IP
между адаптером ресурсов IMS TM и IMS Connect.
С развитием Web и бизнеса On-Demand, остро встал вопрос о защите данных
в Internet. Протокол Secure
Sockets Layer (SSL) разработан специально для защиты передаваемой через Internet информации. SSL
обеспечивает защиту данных от следующих угроз:
- Несанкционированного извлечения информации
- Хищения данных
- Анализа потока данных
- Подмены данных
- "Троянских коней" для браузера/сервера
Использование сокетов TCP/IP является одним из способов обеспечения обмена информацией между адаптером ресурсов IMS TM иIMS Connect. Если адаптером ресурсов IMS TM используется протокол TCP/IP, SSL
можно применять для защиты соединения TCP/IP между этими двумя элементами. Поддержку
SSL обеспечивает IMS Connector for Java, а также IMS Connect.
Для взаимной идентификации, обеспечения конфиденциальности и
целостности данных используются комбинации общих и частных ключей, а также симметричное
шифрование. SSL работает поверх TCP/IP и позволяет серверам, поддерживающим SSL, идентифицировать
себя на клиентах, поддерживающих SSL, и наоборот. В соединении SSL, установленном между адаптером ресурсов IMS TM и
IMS Connect, последний выступает в роли сервера, а адаптер ресурсов IMS TM - в роли клиента. После
идентификации они устанавливают между собой соединение с шифрованием, которое также обеспечивает
целостность данных.
Для поддержки SSL в средеWebSphere адаптером ресурсовIMS TM
используется реализация Java Secure Socket Extension IBM (IBM JSSE). Библиотека
SSL включается в состав таких сред разработки IBM, как Rational Application
Developer и WebSphere Integration
Developer, а также WebSphere Application Server.
Основные понятия SSL
- Сертификат
- Цифровой сертификат - это цифровой документ, позволяющий удостовериться в том, что его владелец
действительно тот, за кого себя выдаёт. В сертификате содержится информация о субъекте, такая как
имя, компания и общий ключ. Он подписывается цифровой подписью надежной сертификатной компанией
(Certificate Authority - CA).
- Сертификатная компания
- Сертификатная компания (Certificate Authority - CA) - это надежная организация, которая создает
цифровые сертификаты и выдает их пользователям и системам. CA является фундаментальным компонентом
в схеме идентификации по сертификатам.
- Управление сертификатами
- Сертификаты и личные ключи хранятся в файлах, которые называются хранилищами ключей. Хранилище
ключей представляет собой базу данных с идентификационной информацией. Хранящаяся в них информация может быть разделена на две категории:
ключи и надежные сертификаты. Информация обоих категорий может храниться в одном файле или двух разных файлах. Хранилища ключей и хранилища надежных сертификатов используются как клиентом
SSL, адаптером ресурсов IMS TM, так и сервером SSL, IMS Connect.
- Хранилище ключей
- В хранилище ключей содержатся личные ключи, например, личный ключ адаптера ресурсов IMS TM и клиента SSL.
- Хранилище надежных сертификатов
- В хранилище надежных сертификатов содержатся сертификаты, которым пользователь доверяет. Новые
записи добавляются в хранилище только после принятия пользователем решения о надежности сертификата. Для адаптера ресурсов IMS TM (клиента) в хранилище может
содержаться сертификат целевого сервера SSL; IMS Connect.
Для удобства адаптер ресурсов IMS TM позволяет хранить ключи и надежные сертификаты в одном файле - хранилище ключей или надежных сертификатов. Однако пользователь может по-прежнему хранить их отдельно. Адаптер ресурсов IMS TM
поддерживает только сертификаты X.509 и хранилище ключей "JKS" на распределенных
платформах (в том числе zLinux), а также хранилище ключей "JKS"
или наборы ключей RACF
в системах OS/390 иz/OS.
Работа протокола SSL
Работа по протоколу SSL состоит из идентификации сервера, идентификации клиента (необязательный, но рекомендуемый этап) и зашифрованного обмена данными. Ниже приведено более подробное описание этих этапов.
Идентификация сервера
Идентификация сервера SSL позволяет клиенту проверить его подлинность.
Клиент с поддержкой SSL использует стандартные способы шифрования с общим ключом, чтобы убедиться
в том, что сертификат и внешний ИД сервера действуют и выданы сертификатной компанией, входящей во внутренний
список надежных CA клиента.
Идентификация клиента
Идентификация клиента позволяет серверу проверить подлинность клиента.
Для проверки срока действия и источника сертификата и внешнего ИД клиента сервер с поддержкой SSL
использует те же приемы, что и в случае идентификации сервера.
Нулевое шифрование
Нулевое шифрование обеспечивает идентификацию в процедуре согласования SSL. По окончании процедуры согласования
SSL, все сообщения передаются без шифрования через этот сокет.
Процедура согласования SSL
Как клиент, адаптер ресурсовIMS TM,
так и сервер, IMS Connect, хранят свои сертификаты и личные ключи в хранилищах ключей. Сеанс SSL между адаптером ресурсовIMS TM и
IMS Connect
устанавливается путем выполнения процедуры согласования между клиентом и сервером.
Эта процедура определяется настройками сервера: он может только предоставлять свой сертификат,
или же предоставлять свой сертификат и запрашивать сертификат клиента, а также определяется, какие комплекты шифров будут использоваться. Шифр - это криптографический алгоритм.
Протокол SSL определяет процедуры согласования используемых шифров между клиентом и сервером,
взаимной идентификации, передачи сертификатов,
установления ключей сеанса и передачи сообщений. Ниже указаны некоторые алгоритмы, используемые в комплектах шифров:
- DES - Data Encryption Standard (стандарт шифрования данных)
- DSA -
Digital Signature Algorithm (алгоритм цифровой подписи)
- KEA - Key
Exchange Algorithm (алгоритм обмена ключами)
- MD5 - Message Digest
algorithm (алгоритм представления сообщения в краткой форме)
- RC2 и
RC4 - Шифры Ривеста
- RSA - алгоритм шифрования с общим ключом,
используется для шифрования и идентификации
- Обмен ключами RSA -
механизм обмена ключами для SSL, основанный на алгоритме RSA
- SHA-1 -
Secure Hash Algorithm (защищённый алгоритм хеширования)
- SKIPJACK -
классифицированный алгоритм с симметричным ключом, реализованный в устройствах, совместимых с
FORTEZZA
- Triple-DES - алгоритм DES, применяемый трижды.
Наборы комплектов шифров, применяемых протоколами SSL 2.0 и SSL 3.0, во многом пересекаются. Администраторы могут разрешать и запрещать любые поддерживаемые комплекты шифров как для сервера,
так и для клиента. В рамках процедуры согласования SSL сервер и клиент выявляют самый надежный из
разрешенных комплектов шифров и используют его для сеанса SSL.
Transport
Layer Security версии 1 (TLS V1) - это преемник протокола SSL 3.0. Адаптером ресурсов IMS TM поддерживается только LS V1. Никакие проблемы, связанные с совместимостью
со старыми версиями, не выявлены.