Autentificación de SSL

En WebSphere Business Integration Event Broker, la autentificación de SSL tiene soporte para un protocolo de autentificación conocido como autentificación de desafío mutuo de respuesta de contraseña. Se trata de una variante no estándar del protocolo SSL estándar del sector, en la que el cifrado de clave pública al que SSL llama se sustituye por por un cifrado de clave simétrica secreta. Aunque este protocolo es seguro y conveniente para para la administración, puede ser preferible utilizar el protocolo SSL estándar del sector exactamente tal como se ha definido, especialmente si ya se ha difundido una criptografía de clave pública con otros fines. Hay dos versiones estándar de SSL. Son las siguientes:

SSL asimétrico

Lo utilizan la mayoría de navegadores de la web. En este protocolo, únicamente los intermediarios que tienen clientes y pares de claves pública/privada conocen las claves públicas del los intermediarios. El protocolo SSL establece una conexión segura en la que el intermediario se autentifica ante el cliente utilizando el cifrado de clave pública, tras lo cual el cliente puede enviar su contraseña, cifrada mediante una clave de sesión segura, para autentificarse a sí mismo ante el intermediario.

SSL simétrico

En esta ocasión ambos participantes tienen pares de claves pública/privada. El protocolo SSL utiliza el cifrado de clave pública para realizar una autentificación mutua.

En ambos casos, la autentificación de SSL no mantienen el protocolo de SSL activo durante toda la duración de una conexión, debido a que esto crearía actividades generales de protección en todos los mensajes. El protocolo SSL permanece activo el tiempo necesario para llevar a cabo la autentificación mutua y para establecer una clave de sesión secreta compartida que pueda utilizar la protección de mensajes (consulte el apartado Protección de mensajes). A continuación, los mensajes se protegen individualmente de acuerdo con el nivel especificado para ése tema en particular.

La implementación del protocolo SSL requiere un archivo de estándares de cifrado de clave pública (PKCS), que contenga certificados X.509 V3 para la clave privada del intermediario y, posiblemente, las claves públicas de clientes y demás intermediarios. Este archivo, llamado archivo de conjunto de claves, ha de contener como mínimo un certificado para el intermediario y para la autoridad de certificación (CA) que emitió y firmó el certificado del intermediario. Para el formato R de SSL, el archivo de conjunto de claves también puede contener las clave públicas de clientes y de otros intermediarios que sea necesario autentificar, así como los certificados que dan soporte a dichas claves públicas. No obstante, el protocolo SSL llama para efectuar un intercambio de claves públicas y certificados, por lo que no es necesario preparar totalmente de esta manera los archivos de conjunto de claves, puesto que se trata normalmente de autoridades suficientemente fiables que aseguran la realización de la autentificación.

Por convenio, los archivos de conjunto de claves están cifrados y protegidos por una frase de paso que está almacenada en un segundo archivo. Esta frase de paso requiere una protección cuidadosa cuando se utilizan mecanismos del sistema operativo para asegurarse de que no queda expuesta a la vista de observadores no autorizados. Un observador que conoce la frase de paso puede conocer las palabras privadas del archivo de conjunto de claves. De todas formas, únicamente es necesario asegurar de este modo la frase de paso y el archivo de conjunto de claves queda protegido por dicha frase de paso. Únicamente las claves privadas son confidenciales. El resto de la información del archivo de conjunto de claves como, por ejemplo, los certificados de intermediarios, puede revelarse sin comprometer la seguridad.

Conceptos relacionados
Seguridad

Tareas relacionadas
Configuración de la seguridad de un dominio de intermediarios
Implementación de la autentificación de SSL

Referencia relacionada
Requisitos de seguridad para tareas administrativas