Protokół SSL (Secure Sockets Layer)

Protokół SSL zapewnia bezpieczeństwo interakcji użytkownika poprzez ochronę połączenia TCP/IP między adapterem zasobów IMS TM i produktem IMS Connect.
Wraz z ewolucją sieci WWW i modelu biznesowego "na żądanie" bezpieczeństwo danych stało się dla użytkowników sieci Internet bardzo ważne. Protokół SSL (Secure Sockets Layer) zapewnia, że przesyłanie poufnych informacji przez Internet jest bezpieczne. Protokół SSL zabezpiecza informacje przed:

Jednym ze sposobów komunikowania się adaptera zasobów IMS TM z produktem IMS Connect jest pośrednictwo gniazd TCP/IP. Jeśli adapter zasobów IMS TM korzysta z protokołu TCP/IP, może zostać użyta warstwa SSL do ochrony komunikacji TCP/IP między obiema stronami. Obsługa protokołu SSL zapewniana przez produkt IMS Connector for Java wraz z obsługą zapewnianą przez produkt IMS Connect w celu uwierzytelniania klienta i serwera oraz zachowania poufności i integralności danych wykorzystuje kombinację kluczy publicznych i prywatnych z zastosowaniem schematów symetrycznego szyfrowania kluczy. Protokół SSL znajduje się na szczycie protokołu komunikacyjnego TCP/IP i umożliwia wykorzystującym go serwerom uwierzytelnianie klientów, a klientom uwierzytelnianie serwerów. W przypadku połączenia SSL między adapterem zasobów IMS TM i produktem IMS Connect, adapter zasobów IMS TM jest traktowany jako klient, a produkt IMS Connect jako serwer. Po przeprowadzeniu uwierzytelnienia serwer i klient mogą nawiązać połączenie szyfrowane, które także chroni integralność danych.

W środowisku WebSphere do obsługi protokołu SSL adapter zasobów IMS TM używa implementacji IBM rozszerzenia Java Secure Socket Extension (IBM JSSE). Biblioteka SSL dołączana jest do środowisk programistycznych firmy IBM, takich jak Rational Application Developer, WebSphere Integration Developer i WebSphere Application Server.

Pojęcia dotyczące protokołu SSL

Certyfikat
Certyfikatem cyfrowym jest dokument cyfrowy, który sprawdza tożsamość posiadacza certyfikatu. Certyfikat cyfrowy zawiera informacje o osobie, takie jak nazwa, przedsiębiorstwo i klucz publiczny. Certyfikat jest podpisany za pomocą podpisu cyfrowego wydanego przez ośrodek certyfikacji (CA), który ma odpowiednie uprawnienia.
Ośrodek certyfikacji
Ośrodek certyfikacji (CA) to zaufana firma, która tworzy i wydaje certyfikaty cyfrowe dla użytkowników i systemów. Ośrodek CA, jako poprawna referencja, jest podstawą zaufania dla certyfikatów.
Zarządzanie certyfikatami
Certyfikaty oraz klucze prywatne przechowywane są w plikach nazywanych magazynami kluczy. Magazyn kluczy jest bazą danych kluczy. Informacje magazynu kluczy można pogrupować na dwie kategorie: pozycje kluczy i pozycje zaufanych certyfikatów. Te dwie pozycje można przechowywać w tym samym magazynie kluczy lub, ze względów bezpieczeństwa, osobno: w magazynie kluczy i w magazynie zaufanych certyfikatów. Magazyny kluczy i magazyny zaufanych certyfikatów są używane zarówno przez klienta SSL, adapter zasobów IMS TM, jak i serwer SSL, produkt IMS Connect.
Magazyn kluczy
W magazynie kluczy przechowywane są pozycje kluczy, takie jak klucz prywatny adaptera zasobów IMS TM i klienta SSL.
Magazyn zaufanych certyfikatów
Magazyn zaufanych certyfikatów to magazyn kluczy, w którym są przechowywane tylko te certyfikaty, którym użytkownik zaufał. Do magazynu zaufanych certyfikatów pozycja powinna być dodawana tylko w przypadku, gdy użytkownik zadecyduje o zaufaniu do danej jednostki. Przykładem pozycji magazynu zaufanych certyfikatów dla adaptera zasobów IMS TM (klienta) jest certyfikat docelowego serwera SSL, produktu IMS Connect.

Dla wygody adapter zasobów IMS TM umożliwia użytkownikowi przechowywanie kluczy oraz zaufanych certyfikatów zarówno w magazynie kluczy, jak i w magazynie zaufanych certyfikatów. Jednak użytkownik może także przechowywać je osobno. Adapter zasobów IMS TM obsługuje jedynie certyfikaty X.509 i magazyn kluczy typu "JKS" dla platform rozproszonych (które obejmują system zLinux) oraz magazyn kluczy typu "JKS" lub pliki kluczy RACF dla systemów OS/390 i z/OS.

Proces SSL

Na działanie protokołu SSL składa się uwierzytelnianie serwera oraz uwierzytelnianie klienta (opcjonalne, ale zalecane) poprzedzające zaszyfrowaną konwersację. Przedstawiony poniżej scenariusz opisuje poszczególne kroki procesu SSL.

Uwierzytelnianie serwera

Uwierzytelnianie serwera za pomocą protokołu SSL umożliwia klientom potwierdzanie tożsamości serwera. Aplikacje klienckie z obsługą protokołu SSL korzystają ze standardowych technik szyfrowania klucza publicznego w celu zapewnienia, że certyfikat serwera oraz identyfikator publiczny są poprawne oraz że certyfikat i identyfikator zostały wydane przez jeden z zaufanych ośrodków certyfikacji (CA) znajdujących się na liście klienta.
Uwierzytelnianie klienta

Uwierzytelnianie klienta za pomocą protokołu SSL umożliwia serwerowi potwierdzanie tożsamości klienta. Za pomocą tych samych technik, które są używane przy uwierzytelnianiu serwera, oprogramowanie serwera z obsługą protokołu SSL sprawdza, czy certyfikat klienta oraz identyfikator publiczny są poprawne, oraz czy ten certyfikat i identyfikator zostały wydane przez jeden z zaufanych ośrodków certyfikacji (CA) znajdujących się na liście klienta.
Zerowe szyfrowanie

Zerowe szyfrowanie umożliwia uwierzytelnianie podczas procesu uzgadniania SSL. Bezpośrednio po zakończeniu uzgadniania SSL wszystkie komunikaty przepływają przez dane gniazdo bez szyfrowania.
Uzgadnianie SSL

Zarówno klient, adapter zasobów IMS TM, jak i serwer, produkt IMS Connect, przechowują swoje certyfikaty i klucze prywatne w magazynach kluczy. Rzeczywista sesja SSL między adapterem zasobów IMS TM i produktem IMS Connect ustanawiana jest w ramach sekwencji uzgadniania między klientem a serwerem. Sekwencja ta będzie się różnić w zależności od tego, czy serwer został skonfigurowany wyłącznie do udostępnienia certyfikatu serwera czy też do udostępnienia certyfikatu serwera i żądania certyfikatu klienta, a także od tego, które zestawy szyfrów są dostępne do użycia. Szyfr to algorytm szyfrowania. Protokół SSL określa, w jaki sposób klient i serwer negocjują używany zestaw algorytmów szyfrowania, wykonują wzajemne uwierzytelnienie, przesyłają certyfikaty, ustanawiają klucze sesji oraz przesyłają komunikaty. Niektóre algorytmy z zestawu algorytmów szyfrowania to:
  • algorytm DES - Data Encryption Standard,
  • algorytm DSA - Digital Signature Algorithm,
  • algorytm KEA - Key Exchange Algorithm,
  • algorytm MD5 - Message Digest,
  • algorytmy RC2 i RC4 - algorytmy szyfrowania Rivest,
  • algorytm RSA - algorytm klucza publicznego służący do szyfrowania i uwierzytelniania,
  • wymiana kluczy RSA - wymiana kluczy dla protokołu SSL w oparciu o algorytm RSA,
  • algorytm SHA-1 - Secure Hash Algorithm,
  • algorytm SKIPJACK - tajny algorytm klucza symetrycznego zaimplementowany w sprzęcie zgodnym ze standardem FORTEZZA,
  • algorytm Triple-DES - algorytm DES zastosowany trzy razy.

Protokoły SSL 2.0 i SSL 3.0 obsługują nakładanie zestawów algorytmów szyfrowania. Administratorzy mogą włączyć lub wyłączyć dowolny z zestawów algorytmów szyfrowania zarówno dla klienta, jak i dla serwera. Gdy podczas uzgadniania sesji SSL następuje wymiana informacji między klientem a serwerem, identyfikowany i używany jest najsilniejszy wspólny zestaw algorytmów szyfrowania.

Protokół TLS (Transport Layer Security), wersja 1 (TLS V1), jest następcą protokołu SSL 3.0. Adapter zasobów IMS TM obsługuje jedynie protokół TLS V1. Nie ma kompatybilności wstecznej.

Pojęcia pokrewne
Bezpieczeństwo adaptera zasobów IMS TM
Logowanie do systemu EIS zarządzane przez kontener
Logowanie do systemu EIS zarządzane przez komponent

Opinie