WebSphere Application Server 安全性标准配置

对于通常用于满足政府规定的安全性要求的各种安全性标准,可以将 WebSphere® Application Server 配置为使用这些安全性标准。

注: WebSphere Application Server 集成了加密模块,这些模块包括 Java™ 安全套接字扩展 (JSSE) 和 Java 密码术扩展 (JCE)。标准中的大多数要求都在 JSSE 和 JCE 中处理,这些处理必须经历认证过程才能符合政府标准。必须将 WebSphere Application Server 配置为在为特定标准启用了 JSSE 和 JCE 的情况下运行,现在还支持 FIPS 140-2、SP800-131 和 Suite B 安全性标准。
  • FIPS 140-2 是指定有关加密模块的要求的联邦信息处理标准 (FIPS)。可以将许多用户配置为使用此级别,但这些用户可能需要移至较新的 SP800-131 或 Suite B 标准。

    请参阅美国国家标准技术学会 Web 站点,以获取有关 140-2 标准的更多信息。

    要配置 FIPS 140-2,请参阅“配置联邦信息处理标准 Java 安全套接字扩展文件”主题。

  • SP800-131 是美国国家标准技术学会 (NIST) 提出的要求,它要求更长的密钥长度和更强大的密码术。该规范还提供一个转换配置,使用户可以移至 SP800-131 的严格实施。该转换配置还使用户可以在混合使用 FIPS140-2 和 SP800-131 中设置的情况下运行。可以通过两种方式运行 SP800-131:transitionstrict
    WebSphere Application Server 上 SP800-131 要求的严格实施包括以下内容:
    • 为安全套接字层 (SSL) 上下文使用 TLSv1.2 协议。
    • 证书的长度必须至少为 2048。椭圆曲线 (EC) 证书要求大小至少为 244 位曲线。
    • 必须使用 SHA256、SHA384 或 SHA512 签名算法来为证书签名。有效的 signatureAlgorithms 包括下列签名:
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • SP800-131 核准的密码套件

    请参阅美国国家标准技术学会 Web 站点,以获取有关 SP800-131 标准的更多详细信息。

    请参阅“将 WebSphere Application Server 转换为采用 SP800-131 安全性标准”主题,以获取有关如何将 WebSphere Application Server 转换为采用 SP800-131 严格标准的信息。请参阅“配置 WebSphere Application Server 以使用 SP800-131 标准严格方式”主题,以获取有关如何配置 SP800-131 的信息。

  • Suite B 是美国国家安全局 (NSA) 提出的要求,用于指定加密互操作性策略。此标准类似于 SP800-131,但具有一些更严格的限制。Suite B 可以通过两种方式运行:128 位或 192 位。受限制的策略文件针对 128 位方式提供了加密,缺省情况下将应用此加密。如果使用 192 位方式,那么必须向 JDK 应用不受限制的策略文件,以便可以使用 192 位方式所需的更强大的密码。

    下表列示了受限制的策略文件允许用于 IBMJCE 和 IBMJCECCA 算法的最大密钥大小。需要进行更强大加密的用户必须使用不受限制的策略文件。

    表 1. 受限制的策略文件值
    算法 最大密钥大小(按位计)
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    所有其他算法 128

    要应用不受限制的策略文件,请将 US_export_policy.jar 和 local_policy.jar files 从 WAS_HOME/java/J5.0/lib/security 目录复制到 WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted 目录。

    WebSphere Application Server 上的 Suite B 要求包括:
    • 为 SSL 上下文使用 TLSv1.2 协议
    • Suite B 核准的密码套件
    • 证书:
      • 必须使用 SHA256withECDSA 为 128 位方式证书签名
      • 必须使用 SHA384withECDSA 为 192 位方式证书签名
    • 密码:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384。

    请参阅“配置 WebSphere Application Server 以使用 Suite B 安全性标准”主题,以获取有关如何配置 Suite B 的信息。

用于启动安全性标准的属性

IBM® Java 虚拟机 (JVM) 根据系统属性在给定安全性方式下运行。WebSphere Application Server 根据安全性配置设置来设定这些系统属性。可以通过管理控制台或脚本编制管理任务来设置安全性配置。如果应用程序直接设置这些属性,那么它可以影响 WebSphere Application Server SSL 通信。

表 2. 用于启用安全性标准的 JVM 系统属性
安全性标准 要启用的系统属性 有效值
FIPS 140-2 com.ibm.jsse2.usefipsprovider truefalse
SP800-131 com.ibm.jsse2.sp800-131 transitionstrict
Suite B com.ibm.jsse2.suiteB 128 或 192

如果已设置这些属性,那么 WebSphere Application Server 配置将清除所有这些属性,然后以指定安全性配置的方式来设置这些属性。WebSphere Application Server 根据安全性配置中设置的定制属性来启用安全性标准。

用于启用安全性标准的 WebSphere Application Server 安全性定制属性

表 3. 用于启用安全性标准的 WebSphere Application Server 安全性定制属性
安全性标准 安全性定制属性 JVM 系统属性
FIPS 140-2

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2

com.ibm.jsse2.usefipsprovider=true
SP800-131 - 转换

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=transition

com.ibm.jsse2.sp800-131=transition
SP800-131 - 严格

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131

com.ibm.jsse2.sp800-131=strict
Suite B 128

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=128

com.ibm.jsse2.suiteB=128
Suite B 192

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=192

com.ibm.jsse2.suiteB=192

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_security_standards
文件名:csec_security_standards.html