セキュリティ機能の互換性


	BEA ホーム \| イベント \| ソリューション \| パートナ \| 製品 \| サービス \| ダウンロード \| ディベロッパ・センタ \| WebSUPPORT
	e-docs \| サイトマップ \| 検索 \| PDF版 \| お問い合わせ \| 用語集

Tuxedo ホーム \| BEA Tuxedo のセキュリティ機能 \| 先頭へ \| 前へ \| 次へ \| 目次

セキュリティ機能の互換性

BEA Tuxedo リリース 7.1 以上のソフトウェアを実行する ATMI アプリケーションでは、デフォルトまたはカスタマイズした認証、認可、監査、および公開鍵セキュリティを自由に組み合わせることができます。さらに、これらの 4 つのセキュリティ機能の任意の組み合わせは、リンク・レベルの暗号化とも互換性があります。

デフォルトまたはカスタマイズした認証と認可の組み合わせ

認可セキュリティ・トークンに少なくとも (1) 認証されたユーザ名またはプリンシパル名、および (2) アプリケーション・キーの値 (「アプリケーション・キー」で定義) が必要であることがアプリケーション開発者側で認識されていれば、デフォルトの認証とカスタマイズした認可、またはカスタマイズした認証とデフォルトの認可を組み合わせて使用できます。

認可に関する一部の決定は、認可トークンに格納されているユーザ ID に基づいて行われます。認可トークンは、認証プラグインによって生成されるため、認証プラグインと認可プラグインのプロバイダは、これらのプラグインが協調動作することを保証する必要があります。詳細については、「認証」および「認可」を参照してください。

デフォルトまたはカスタマイズした認証と監査の組み合わせ

監査セキュリティ・トークンに少なくとも (1) 認証されたユーザ名またはプリンシパル名、および (2) アプリケーション・キーの値 (「アプリケーション・キー」で定義) が必要であることがアプリケーション開発者側で認識されていれば、デフォルトの認証とカスタマイズした監査、またはカスタマイズした認証とデフォルトの監査を組み合わせて使用できます。

監査に関する一部の決定は、監査トークンに格納されているユーザ ID に基づいて行われます。監査トークンは、認証プラグインによって生成されるため、認証プラグインと監査プラグインのプロバイダは、これらのプラグインが協調動作することを保証する必要があります。詳細については、「認証」および「監査」を参照してください。

公開鍵によるセキュリティ機能の互換性の問題

公開鍵によるセキュリティは、BEA Tuxedo リリース 7.1 以上のソフトウェアでサポートされる、圧縮機能以外のすべての機能やプロセスと互換性があります。暗号化されたメッセージ・バッファは、圧縮機能を使用しても圧縮できません。ただし、公開鍵によるソフトウェアでは、メッセージ・バッファを暗号化する前に内容が圧縮されるため、ある程度サイズを節約できます。

この節では、公開鍵によるセキュリティと、次の ATMI の機能またはプロセスとの互換性および相互運用性について説明します。

データ依存型ルーティングとの互換性および相互運用性

データ依存型ルーティング機能の中心となるのは、プロセスが、受信したメッセージ・バッファの内容を調べることです。受信したメッセージ・バッファが暗号化されている場合、データ依存型ルーティング用に設定されたプロセスでは、受信者の秘密鍵を開き、公開鍵ソフトウェアがそのキーを使用してメッセージ・バッファを復号化できるようにしておく必要があります。データ依存型ルーティングでは、公開鍵ソフトウェアは、デジタル署名を検証しません。

復号化キーを使用できない場合、ルーティング操作は失敗します。システムからは、userlog(3c) エラー・メッセージが返され、操作が失敗したことがレポートされます。

復号化キーを使用できる場合、プロセスは、暗号化されたメッセージ・バッファを復号化したコピーに基づいて、ルーティングに関する決定を行います。次の手順で実行されます。

公開鍵ソフトウェアは、暗号化されたメッセージ・バッファのコピーを作成し、復号化キーを使用してそのバッファを復号化します。
プロセスは、これによって得られた平文 (暗号化されていないテキスト) のメッセージ内容を読み取り、ルーティングに関する決定を行います。
公開鍵ソフトウェアは、プライバシーを保護するため、平文のメッセージ内容をゼロ値で上書きします。

その後、システムは、ルーティングに関する決定に基づいて、元の暗号化されたメッセージ・バッファを送信します。

スレッドとの互換性および相互運用性

公開鍵と秘密鍵は、ハンドルを介して表現および操作されます。ハンドルには、それに関連付けられたデータがあります。公開鍵のアプリケーション・プログラミング・インターフェイス (API: Application Programming Interface) では、ハンドルのデータを使用することにより、ハンドルで指定される項目の検索やアクセスを行います。プロセスは、デジタル署名の生成、メッセージの暗号化、およびメッセージの復号化のために、キー・ハンドルを開きます。

キー・ハンドルはプロセスのリソースです。特定のスレッドやコンテキストにバインドされることはありません。キーを開くために必要な通信は、スレッドで現在アクティブなコンテキストの内部で実行されます。その後は、コンテキストが同じ ATMI アプリケーションに関連付けられているかどうかとは無関係に、プロセス内のどのコンテキストでもそのキーを使用できます。

キーの内部データ構造はスレッド・セーフです。つまり、複数のスレッドが 1 つのキーに同時にアクセスできます。

イベント・ブローカとの互換性および相互運用性

一般に、TMUSREVT(5) システム・サーバは、暗号化されたメッセージ・バッファを復号化しないで処理します。つまり、メッセージが BEA Tuxedo のイベント・ブローカ・コンポーネントを通過しても、デジタル署名と暗号化エンベロープは何の影響も受けません。ただし、以下の場合、イベント・ブローカ・コンポーネントは、ポストされたメッセージ・バッファを復号化する必要があります。

メッセージの内容に基づいてサブスクリプションのフィルタ式を評価する場合
イベント・ブローカが適切な復号化キーにアクセスできない場合、そのサブスクリプションのフィルタ式は false と見なされ、サブスクリプションは不一致と見なされます。
メッセージの内容へのアクセスが必要な、サブスクリプションの通知アクション (userlog(3c) プロセスまたはシステム・コマンド) を実行する場合
イベント・ブローカが適切な復号化キーにアクセスできない場合、そのサブスクリプションの通知アクションは失敗し、システムからは userlog(3c) エラー・メッセージが返されて、処理が失敗したことがレポートされます。
システム構成に基づき、データ依存型ルーティング用のメッセージ内容にアクセスする、サブスクリプションの通知アクションを実行する場合
イベント・ブローカが適切な復号化キーにアクセスできない場合、そのサブスクリプションの通知アクションは失敗し、システムからは userlog() エラー・メッセージが返されて、処理が失敗したことがレポートされます。

トランザクション型のサブスクリプションの場合、トランザクションは「ロールバックのみ」とマーキングされます。
暗号化を必要とする管理システムの方針に合わせる場合 (「暗号化方針の設定」を参照)
イベント・ブローカが適切な復号化キーにアクセスできない場合、tppost(3c) 操作は失敗し、システムからは userlog() エラー・メッセージが返されて、処理が失敗したことがレポートされます。
デジタル署名を必要とする管理システムの方針に従い、ポストされた暗号化メッセージに有効なデジタル署名が添付されているかどうかを検証する場合 (「デジタル署名方針の設定」を参照)
イベント・ブローカが適切な復号化キーにアクセスできない場合、tppost(3c) 操作は失敗し、システムからは userlog() エラー・メッセージが返されて、処理が失敗したことがレポートされます。

/Q との互換性および相互運用性

一般に、TMQUEUE(5) または TMQFORWARD(5) のシステム・サーバは、暗号化されたメッセージ・バッファを復号化しないで処理します。つまり、メッセージが BEA Tuxedo の /Q コンポーネントを通過しても、署名と暗号化エンベロープは何の影響も受けません。ただし、以下の場合、/Q コンポーネントは、キューに登録されたメッセージ・バッファを復号化する必要があります。

システム構成に基づき、データ依存型ルーティング用のメッセージ内容にアクセスする必要のある、TMQFORWARD を実行する場合
TMQFORWARD が適切な復号化キーにアクセスできない場合、転送操作は失敗します。システムからはメッセージがキューに返され、userlog(3c) エラー・メッセージを生成して失敗をレポートします。

再試行を周期的に何度か繰り返すと、TMQFORWARD により、読み込み不可能なメッセージがエラー・キューに格納される場合があります。
暗号化を必要とする管理システムの方針に合わせる場合 (「暗号化方針の設定」を参照)
/Q コンポーネントが適切な復号化キーにアクセスできない場合、tpenqueue(3c) 操作は失敗し、システムからは userlog() エラー・メッセージが返されて、処理が失敗したことがレポートされます。
デジタル署名を必要とする管理システムの方針に従い、キューに登録された暗号化メッセージに有効な署名が添付されているかどうかを検証する場合 (「デジタル署名方針の設定」を参照)
/Q コンポーネントが適切な復号化キーにアクセスできない場合、tpenqueue(3c) 操作は失敗し、システムからは userlog() エラー・メッセージが返されて、処理が失敗したことがレポートされます。

呼び出し側プロセスに有効な復号化キーがないと、非トランザクション型の tpdequeue(3c) 操作により、キューに登録された暗号化済みメッセージが破壊されます。

無効な署名が添付されたメッセージがキューに登録された場合 (またはそのメッセージがキュー内で破壊または改ざんされた場合) にそのメッセージをキューから取り出そうとすると失敗します。非トランザクション型の tpdequeue() 操作は、このようなメッセージを破壊します。トランザクション型の tpdequeue() 操作を行うと、トランザクションのロールバックが発生し、以降、キューからメッセージを取り出そうとしても失敗します。

トランザクションとの互換性および相互運用性

公開鍵によるセキュリティ操作 (キーの開閉、デジタル署名の要求、暗号化の要求) はトランザクション型ではないため、トランザクションのロールバックによって元に戻すことはできません。ただし、トランザクションは、公開鍵の操作時に発生する以下の障害によってロールバックされる場合があります。

トランザクション型の要求または応答メッセージを復号化できない場合、関連するトランザクションはロールバックされます。
デジタル署名が無効か、または欠落していたためにトランザクション型の要求または応答メッセージが廃棄された場合、関連するトランザクションはロールバックされます。
暗号化またはデジタル署名を必要とする管理システムの方針に違反したため、トランザクション型の要求または応答メッセージが拒否された場合、関連するトランザクションはロールバックされます。

ドメイン・ゲートウェイとの互換性および相互運用性

BEA Tuxedo リリース 7.1 以上のソフトウェアを実行する 2 つの ATMI アプリケーションを接続するドメイン・ゲートウェイ (GWTDOMAIN) プロセスには、デジタル署名および暗号化エンベロープがあります。さらに、これらのドメイン・ゲートウェイ・プロセスは、デジタル署名を検証し、デジタル署名と暗号化に関する管理システム方針を適用します。

次の図は、ドメイン・ゲートウェイ・プロセスが、ローカルおよびリモートの ATMI アプリケーションと対話する様子を示しています。この図に続く表では、デジタル署名が添付された暗号化メッセージ・バッファが、リリース 7.1 以上のドメイン・ゲートウェイ・プロセスでどのように扱われるかを示しています。

ATMI アプリケーション間の通信

メッセージのタイプ	条件	結果
インバウンド・メッセージ (リモート・プロセスから発信され、ネットワーク接続を経由して受信されるメッセージ)	暗号化エンベロープあり。デジタル署名はどちらでも可。	ドメイン・ゲートウェイ・プロセスはメッセージを受け付け、暗号化された形式で転送します。データ依存型ルーティング機能が適用され、ドメイン・ゲートウェイ・プロセスが適切な復号化キーを持たない場合、ゲートウェイ・プロセスはメッセージを拒否します。(詳細については、「データ依存型ルーティングとの互換性および相互運用性」を参照)
インバウンド・メッセージ	暗号化エンベロープもデジタル署名もなし。	ドメイン・ゲートウェイ・プロセスが、暗号化を必要とするグループ、ドメイン、またはマシンの内部で実行されている場合、ゲートウェイ・プロセスはメッセージを拒否します。ドメイン・ゲートウェイによって宣言されたサービスが暗号化を必要とする場合、ゲートウェイ・プロセスはメッセージを拒否します。(詳細については、「デジタル署名方針の設定」を参照) ドメイン・ゲートウェイが暗号化を必要としない場合、ゲートウェイ・プロセスはメッセージを受け付け、転送します。
インバウンド・メッセージ	デジタル署名あり。暗号化なし。	ドメイン・ゲートウェイ・プロセスは、デジタル署名を検証し、メッセージにデジタル署名を添付して転送します。
インバウンド・メッセージ	デジタル署名なし。暗号化なし。	ドメイン・ゲートウェイ・プロセスが、デジタル署名を必要とするグループ、ドメイン、またはマシンの内部で実行されている場合、ゲートウェイ・プロセスはメッセージを拒否します。ドメイン・ゲートウェイによって宣言されたサービスがデジタル署名を必要とする場合、ゲートウェイ・プロセスはメッセージを拒否します。(詳細については、「デジタル署名方針の設定」を参照) ドメイン・ゲートウェイがデジタル署名を必要としない場合、ゲートウェイ・プロセスはメッセージを受け付け、転送します。
アウトバウンド・メッセージ (ローカル・プロセスから発信され、ネットワーク接続を経由して転送されるメッセージ)	暗号化エンベロープあり。デジタル署名はどちらでも可。	ドメイン・ゲートウェイ・プロセスはメッセージを受け付け、暗号化してネットワーク経由で転送します。データ依存型ルーティング機能が適用され、ドメイン・ゲートウェイ・プロセスが適切な復号化キーを持たない場合、ゲートウェイ・プロセスはメッセージを拒否します。(詳細については、「データ依存型ルーティングとの互換性および相互運用性」を参照) 暗号化されたメッセージが、BEA Tuxedo リリース 7.1 より前の (6.5 以前) BEA Tuxedo ソフトウェアを実行するプロセスに送信される場合、ドメイン・ゲートウェイ・プロセスはメッセージを拒否します。(詳細については、「BEA Tuxedo リリース 7.1 より前のバージョンとの相互運用性」および「公開鍵によるセキュリティ機能の相互運用性」を参照)
アウトバウンド・メッセージ	暗号化エンベロープもデジタル署名もなし。	ドメイン・ゲートウェイ・プロセスが、暗号化を必要とするグループ、ドメイン、またはマシンの内部で実行されている場合、ゲートウェイ・プロセスはメッセージを拒否します。ドメイン・ゲートウェイによって宣言されたサービスが暗号化を必要とする場合、ゲートウェイ・プロセスはメッセージを拒否します。(詳細については、「暗号化方針の設定」を参照) ドメイン・ゲートウェイが暗号化を必要としない場合、ゲートウェイ・プロセスはメッセージを受け付け、ネットワーク経由で転送します。
アウトバウンド・メッセージ	デジタル署名あり。暗号化なし。	ドメイン・ゲートウェイ・プロセスは、デジタル署名を検証し、メッセージにデジタル署名を添付してネットワーク経由で転送します。メッセージが、BEA Tuxedo リリース 7.1 より前の BEA Tuxedo ソフトウェアを実行するプロセスに送信され、リリース 7.1 より前の BEA Tuxedo ソフトウェアとの相互運用性が可能であると見なされている場合、ドメイン・ゲートウェイ・プロセスは、デジタル署名の検証と削除を行ってから、ネットワーク経由でメッセージを転送します。(詳細については、「BEA Tuxedo リリース 7.1 より前のバージョンとの相互運用性」および「公開鍵によるセキュリティ機能の相互運用性」を参照)
アウトバウンド・メッセージ	デジタル署名なし。暗号化なし。	ドメイン・ゲートウェイ・プロセスが、デジタル署名を必要とするグループ、ドメイン、またはマシンの内部で実行されている場合、ゲートウェイ・プロセスはメッセージを拒否します。ドメイン・ゲートウェイによって宣言されたサービスがデジタル署名を必要とする場合、ゲートウェイ・プロセスはメッセージを拒否します。(詳細については、「デジタル署名方針の設定」を参照) ドメイン・ゲートウェイがデジタル署名を必要としない場合、ゲートウェイ・プロセスはメッセージを受け付け、ネットワーク経由で転送します。

ほかのベンダのゲートウェイとの互換性および相互運用性

リリース 7.1 以上の ATMI アプリケーションと、別のベンダのゲートウェイ・プロセスを接続するドメイン・ゲートウェイ (GWTDOMAIN) のプロセスは、アウトバウンド・メッセージ・バッファに対して次のように動作します。

暗号化されたメッセージを復号化します。
デジタル署名がある場合は、デジタル署名を検証してから削除します。
平文メッセージをネットワーク経由でベンダのゲートウェイ・プロセスに送信します。

さらに、ドメイン・ゲートウェイ・プロセスは、ATMI アプリケーションの暗号化とデジタル署名に関する管理システムの方針を適用します。たとえば、ATMI アプリケーションのドメイン・レベルで、暗号化またはデジタル署名、あるいはその両方が必要な場合、ローカル・ドメイン・ゲートウェイのプロセスは、ほかのベンダのゲートウェイ・プロセスから受信するすべてのメッセージを拒否します。