인증 서비스

인증 서비스는 WebSphere MQ Real-time TransportWebSphere Message Broker Real-timeInput 및 Real-timeOptimizedFlow 노드를 사용하는 클라이언트 응용프로그램 사이에서만 지원됩니다.

WebSphere Message Broker 인증 서비스는 브로커와 클라이언트 응용프로그램이 올바르므로 publish/subscribe 세션에 참여할 수 있는지 확인합니다.

세션의 각 참여자는 인증 프로토콜을 사용하여 자신이 올바른 참여자를 가장한 침입자가 아니라는 본인 여부를 상대방에게 입증합니다.

WebSphere Message Broker 제품은 다음 네 가지 프로토콜을 지원합니다.

이러한 프로토콜 중 위에서 두 가지 및 해당 인프라스트럭처 요구사항은 각각 단순 텔넷식 암호 인증상호 접근 시도/응답 암호 인증에 설명되어 있습니다. 비대칭 및 대칭 SSL 프로토콜은 SSL 인증에 설명되어 있습니다.

세션의 올바른 참여자가 아닌 참여자에 대한 보호를 제공함에 있어 프로토콜의 강도는 다양합니다. P는 가장 약하며 R은 가장 강합니다.

인증 프로토콜 구성

브로커 도메인의 특정 브로커가 지원할 수 있는 프로토콜 세트는 Workbench를 사용하여 구성할 수 있습니다. 각 브로커에 대해 하나 이상의 프로토콜을 지정할 수 있습니다. 특정 브로커에 대해 정의된 각 Real-timeInput 노드에서 Workbench를 사용하여 인증을 사용 가능하게 하거나 불가능하게 하십시오. Real-timeInput 노드에서 인증이 사용 가능하면, 노드가 해당 브로커에 지정된 전체 프로토콜 세트를 지원합니다. 구성 옵션은 다음 다이어그램에서 설명됩니다.

인증 구성의 개요
인증 구성의 개요
두 단계 런타임 인증 프로세스
 이 다이어그램은 런타임 인증 프로세스의 2단계를 보여줍니다. 응용프로그램의 세션 액세스가 허용되거나 거부됩니다.

단순 텔넷식 암호 인증

또한, 이 프로토콜은 네트워크를 통해 암호화되지 않은 암호를 전달하므로 명문 암호(password in the clear)로 설명할 수도 있습니다. 클라이언트 응용프로그램은 TCP/IP를 사용하여 Real-timeInput 노드에 연결합니다. 입력 노드는 클라이언트가 자체적으로 신원을 확인하도록 요청합니다. 클라이언트는 "사용자 ID"와 암호를 송신합니다.

단순 프로토콜은 사용자 ID와 연관된 암호를 알고 있는 클라이언트와 브로커에 의존합니다. 특히, 브로커는 사용자 및 암호 정보 저장소에 대한 액세스가 필요합니다. 사용자 이름 서버WebSphere Message Broker 제품 도메인의 모든 브로커로 사용자 ID와 암호 정보를 분배합니다. 사용자 이름 서버는 운영 체제 파일에서 사용자 및 암호 정보를 추출합니다.

사용자 이름 서버 접근법을 사용하면 정보를 브로커로 자동으로 분배하고 필요한 경우 정보를 자동으로 새로 고침으로써 사용자 및 암호 소스를 중앙집중식으로 관리할 수 있습니다. 또한 각 브로커에서 지속적으로 사용자 및 암호 정보가 관리되기 때문에 사용가능성 혜택도 있습니다.

각 클라이언트 응용프로그램은 자체 사용자 ID를 알아야 하며 암호를 기밀로 유지해야 합니다. 연결을 작성할 때, 클라이언트는 해당 신임을 이름/암호 결합으로 지정합니다.

이 프로토콜은 상대적으로 보안이 약합니다. 이 프로토콜은 세션 키를 처리하지 않으므로 "도청자" 및 신뢰할 수 없는 "중간자"가 없는 환경에서만 사용해야 합니다.

사용자 및 암호 정보가 사용자 이름 서버 시스템의 플랫 파일에 저장되는 경우, 암호는 "in-the-clear"에 분배 및 저장됩니다.

클라이언트와 서버의 처리 로드는 매우 가볍습니다.

상호 접근 시도/응답 암호 인증

기밀 세션 키의 생성과 관련된 보다 정교하고 안전한 프로토콜입니다. 클라이언트와 서버 모두 클라이언트 암호를 사용하여 이 키를 처리합니다. 클라이언트와 서버는 접근 시도/응답 프로토콜을 통해 이 기밀 정보를 알고 있음을 서로 입증합니다.

클라이언트가 서버의 접근 시도를 충족시켜야만 서버가 클라이언트의 접근 시도를 충족합니다. 즉 클라이언트로 위장한 침입자가 "오프라인" 암호를 추측하여 침입하는 데 필요한 정보도 수집할 수 없습니다. 클라이언트와 서버는 암호를 알고 있다는 사실이 서로에게 입증되므로, 이 프로토콜은 "위장" 칩입으로부터 안전합니다.

단순 텔넷식 암호 프로토콜의 경우, 브로커는 사용자 및 암호 정보에 액세스할 수 있어야 합니다. 사용자 이름 서버는 사용자 ID 및 암호에 대한 정보를 도메인의 모든 브로커에 분배합니다. 사용자 이름 서버는 운영 체제 파일에서 사용자 및 암호 정보를 추출합니다.

각 클라이언트 응용프로그램은 자체 사용자 ID를 알아야 하며 암호를 기밀로 유지해야 합니다. 연결을 작성할 때, 클라이언트는 해당 신임을 이름/암호 결합으로 지정합니다.

클라이언트와 서버 모두에서 처리 요구량은 크지 않은 편입니다.

주의사항 | 등록상표 | 다운로드 | 라이브러리 | 지원 | 피드백
Copyright IBM Corporation 1999, 2006 마지막 갱신 날짜: 2006/08/21
aq01206_