Web Service 安全性的硬件加密设备支持
在 IBM® WebSphere® Application Server V6.1 或更高版本中,Web Service 安全性支持使用加密硬件设备。可以通过两种方式将硬件加密设备与 Web Service 安全性配合使用。
在硬件设备上启用加密操作
可以在硬件设备上启用加密操作。可以将使用的密钥存储在 Java™ 密钥库文件中;不需要将它们存储在硬件设备上。仅在服务器级别作出使用“在硬件设备上启用加密操作”的决定,而不在应用程序级别作出该决定。
如果启用了在硬件设备上执行加密操作,那么 Web Service 安全性运行时将首先尝试使用硬件设备来执行加密操作。如果尝试使用硬件设备失败,或者硬件设备不支持所使用的算法,那么该运行时将使用安全性提供商列表中的软件提供商。
根据硬件设备的不同,启用此功能有可能提高性能。有关如何在硬件设备上启用加密操作的更多信息,请参阅配置 Web Service 安全性的硬件加密设备。
安全密钥
可以将密钥存储在硬件加密设备上并且永久保存在该设备上。这些安全密钥仅限于在硬件加密设备上提高安全性而不是从性能方面考虑的。可以在应用程序级别选择是使用存储在硬件加密设备中的密钥还是使用 Java 密钥库文件中的密钥。
如果将密钥库引用指定为硬件设备配置,那么 Web Service 安全性运行时将首先尝试从硬件设备中获取密码算法。如果算法不受支持或者失败,那么该运行时将使用安全性提供商列表中的软件提供商。
有关如何启用安全密钥的进一步信息,请参阅在 Web Service 安全性中启用存储在硬件设备中的密钥。
局限性
- 不支持作为 Java Platform, Enterprise Edition (Java EE) 应用程序客户机运行的 Web Service 客户机。
- 不支持在 iSeries 上使用硬件加密设备。
- 只有 V6.1 和更高版本的 Web Service 安全性应用程序才能利用硬件加密支持。注: V5.x 和 V6.0.x Web Service 安全性应用程序可以在 WebSphere Application Server V6.1 中运行,但是它们不能利用硬件加密支持。
长期使用会话密钥
可以配置 WebSphere Application Server 以使用硬件密钥库,也可以配置硬件加速卡以允许长期使用会话密钥。会话密钥可能不安全。
如果您担心会话密钥不安全,请配置 WebSphere Application Server 以使用硬件密钥库。请参阅有关如何启用存储在 Web Service 安全性的硬件设备中的密钥的信息。
- 对于 nCipher nforce 1600 服务器 V2.23.6,请遵循 nCipher 文档指示信息。
- 可以在 cknfastrc 配置文件中设置 CKNFAST_SECURITY_ASSURANCES_OVERRIDE=longterm 参数。此配置更改消除了与会话密钥相关的时间限制。
- 请遵循密码文档以重新启动 nCipher 服务器。
- 重新启动 WebSphere Application Server。