7.0及更高版本中的websphere-mq安全性更改-是否可以在不使用安全性出口的情況下保護MQ對象

Question

我們正在WebsphereMQ 6.0中使用安全出口，以在連接到MQ和MQ-MQ連接的Java客戶端中提供安全性。 我們使用安全出口提供安全的方法來連接到Queue manager，Queue，channel。

最新版本的安全機制是否有任何更改，以便我們可以完全避免使用安全出口？

這就是我們對MQ安全性的要求/目標

• 只能通過提供正確的用戶名和密碼來訪問隊列管理器（我知道在沒有安全出口的情況下，這在6.0中是不可能的）

• 驗證queuemanager連接后的合法用戶應該只能訪問其隊列/通道。

謝謝

Answer 1

簡短答案-不。

WMQ v7.0對安全性進行了一些重大更改，例如添加了可以應用安全性的主題作為一流的WMQ對象。 但是，WMQ v7.0中的遠程連接身份驗證使用與v6.0中相同的機制，即SSL，出口或這些的某種組合。 盡管WMQ Explorer現在可以放置用戶ID和密碼，但是QMgr只是接受用戶ID的面值（與v6.0及更高版本相同），並且除非使用出口進行驗證，否則密碼將被忽略。 。

我還應該提到，每次將ID和密碼從WMQ客戶端發送到服務器端的出口進行驗證時，默認情況下都沒有任何東西可以保護傳輸中的憑據。 如果使用出口對，則客戶端和服務器端出口可能會設置按會話加密，以在其中發送憑據。 但是，更常見的是，僅服務器端出口與具有非NULL_SHA或NULL_MD5密碼套件的SSL通道結合使用。 這提供了憑據的每個會話保護，而無需出口對。

我曾與一些商店合作使用過出口，這些出口使用靜態密鑰和鹽加密憑據。 雖然這種方法確實能防止竊聽者從學習實際的密碼，加密字符串可以簡單地在一個新的連接請求重播這樣安全等級是比沒有還要糟糕-它使安全的印象 ，而實際上不是增強了安全性。

真正的訣竅在於驗證密碼。 如果SSL證書足夠，則可以在通道上使用SSLPEER來按專有名稱進行過濾，也可以使用出口將SSL證書映射到本地用戶ID。 使用http://mrmq.dk的免費BlockIP2出口（IBMer運行該站點，但出口代碼由社區維護），可以使用后一種方法。