只有在使用 WebSphere MQ 实时传输方式 与 WebSphere Message Broker Real-timeInput 和 Real-timeOptimizedFlow 节点之间,才支持认证服务。
WebSphere Message Broker 认证服务验证了代理和客户机应用程序是否是它们所声明的那样,以及是否可以就此参加发布/预订会话。
会话中的每个参与者使用认证协议来向对方证明它们是它们所宣称的身份,而不是假冒有效参与者的闯入者。
WebSphere Message Broker 产品支持以下四个协议:
在简单 telnet-like 密码认证和交互提问/应答密码认证 中分别描述了这些协议中的前二个及其基础结构需求。在SSL 认证中描述了非对称和对称 SSL 协议。
根据就参与者不是会话的有效参与者所提供的保护,该协议长度会变化;P 是最弱的而 R 是最强的。
可以由代理域中特定的代理所支持的协议集合,可以使用工作台来配置。 可以为每个代理指定一个或多个协议。 使用工作台,可以启用或禁用为特定代理定义的每个 Real-timeInput node 节点上的认证。当启用一个 Real-timeInput node 节点上的认证时,该节点支持为其相应代理所指定的全部协议集合。下图说明了配置选项:
该协议还可描述为不加密,因为密码在网络上不加密地传递。客户机应用程序使用 TCP/IP 连接到 Real-timeInput 节点。该输入节点要求客户机标识自身。客户机发送它的“用户标识”及其密码。
简单协议依赖于客户机和代理双方都知道与该用户标识相关联的密码。 特别是,代理需要到用户和密码信息库的访问权。用户标识和密码信息通过用户名称服务器分布到 WebSphere Message Broker 产品的域中的所有代理。用户名称服务器 从操作系统文件抽取用户和密码信息。
用户名称服务器方法允许集中维护用户和密码的源,并自动分发信息到代理,并自动刷新信息(如有必要)。它还带来了可用性方面的提高,因为用户和密码信息在每个代理上是持久维护的。
每个客户机应用程序必须知道它自己的用户标识并保密其密码。创建连接时,客户机会指定它的凭证为名称/密码组合。
此协议提供相对较弱的安全性。它不计算会话密钥,并只应该在没有“窃听者”和不可信任的“中间人”的环境中使用此协议。
在用户和密码信息以平面文件的形式保存在用户名服务器系统的情况下,密码以“明文”的方式存储和分发。
客户机和服务器的计算负载是相当轻的。
这是较复杂和安全的协议,它涉及了生成加密会话密钥。客户机和服务器都使用客户机的密码计算此密钥。它们通过提问和响应协议使它们知道此秘密来互相证明对方。
在服务器回答客户机的提问之前客户机必须先回答服务器的提问。这意味着假扮为客户机的攻击者无法收集信息来发动一个“脱机”密码猜测攻击。客户机和服务器互相证明它们知道密码,因此此协议不会受到“假冒”攻击的损害。
在简单类 telnet(telnet-like)密码协议的情况下,代理必须能访问用户和密码信息。用户标识和密码信息通过“用户名服务器”分发到 域中的所有代理。用户名服务器从操作系统文件取出用户和密码信息。
每个客户机应用程序必须知道它自己的用户标识并保密其密码。创建连接时,客户机会指定它的凭证为名称/密码组合。
客户机和服务器上的计算要求是适量的。