モジュール java.security.jgss
パッケージ org.ietf.jgss

クラスChannelBinding

java.lang.Object
org.ietf.jgss.ChannelBinding
public class ChannelBinding extends Object
このクラスは、呼出し側から提供されるチャネル・バインディング情報の概念をカプセル化します。 チャネル・バインディングを使用すると、コンテキストを確立するときにピア・エンティティに提供される認証の品質が向上します。 また、GSS-APIの呼出し側は、セキュリティ・コンテキストの確立を、関連する特性(アドレスなど)やアプリケーション固有のデータにバインドすることができます。

呼出し側は、セキュリティ・コンテキストを起動するときに、適切なチャネル・バインディング値がGSSContextオブジェクトに設定されていることを確認する必要があります。 受け入れ側は、同じバインディングを使用して、受信したトークンに含まれるチャネル関連特性が正しいことを検証する必要があります。

GSS-APIでは、チャネル・バインディングの使用はオプションです。 ChannelBindingをGSSContextに設定するには、setChannelBindingメソッドを使用します。そのメソッドの呼出しは、initSecContextまたはacceptSecContextを最初に呼び出す前に実行してください。 setChannelBindingメソッドを使用してGSSContextオブジェクトにChannelBindingを設定しなかった場合、ChannelBindingはnullと見なされます。

理論的には、GSS-APIは、起動側と受入れ側のアドレス情報をアプリケーションから渡されるバイト配列と連結して1つのオクテット文字列を作成します。 次に、メカニズムはこのオクテット文字列のMICを計算し、そのMICをGSSContextインタフェースのinitSecContextメソッドによって生成されたコンテキスト確立トークンにバインドします。 コンテキストの受入れ側では、受入れ側のGSSContextオブジェクトに対して同一のバインディングが設定され、acceptSecContextメソッドの処理中にMICが同じ方法で計算されます。 計算されたMICは、トークン内のMICと比較されます。MICが異なっている場合、受入れ側はメジャー・コードをBAD_BINDINGSに設定したGSSExceptionをスローし、コンテキストは確立されません。 一部のメカニズムでは、MICだけでなく、実際のチャネル・バインディング・データがトークンに組み込まれることがあります。このため、アプリケーションでは、機密データをチャネル・バインディング・コンポーネントとして使用しないようにします。

個々のメカニズムでは、チャネル・バインディングに含まれるアドレスに対して、独自の制約を適用する場合があります。 たとえば、チャネル・バインディングの起動側のアドレス・フィールドにホスト・システムの正しいネットワーク・アドレスが含まれているかどうかを確認する場合があります。 この場合、移植性のあるアプリケーションでは、アドレス・フィールドに正しい情報が入っているか、またはアドレス指定情報の設定が省略されているかを確認する必要があります。

導入されたバージョン:
1.4