채널에서 발행물 개인정보 보호
AMQP 채널 전체에 걸쳐 각각 방향으로 보내진 AMQP 발행물의 개인정보 보호정책은 연결을 통해 전송을 암호화하기 위해 TLS을 사용하여 보호됩니다.
AMQP 채널에 연결되는 AMQP 클라이언트는 대칭 키 암호화를 사용하여 채널로 전송된 발행물의 개인정보 보호를 위해 TLS를 사용합니다. 엔드 포인트가 인증되지 않으므로 채널 암호화만 신뢰할 수는 없습니다. 개인정보 보호와 서버 또는 상호 인증을 결합하십시오.
TLS를 사용하는 대신 IPsec와 같은 일부 유형의 가상 사설 네트워크(VPN)는 TCP/IP 연결의 엔드 포인트를 인증합니다. VPN은 네트워크를 통해 플로우하는 각 IP 패킷을 암호화합니다. 이러한 VPN 연결이 설정되면 신뢰할 수 있는 네트워크가 설정된 것입니다. VPN 네트워크에서 TCP/IP를 사용하여 AMQP 클라이언트를 AMQP 채널에 연결할 수 있습니다.
서버를 인증하지 않고 TLS 연결을 암호화하면 연결이 중간자 공격(man-in-the-middle attack)에 노출됩니다. 교환하는 정보가 도청에 대해 보호되는 경우에도 누구와 교환하는지 알지 못합니다. 네트워크를 제어하지 않는 경우, IP 전송을 인터셉트하고 엔드 포인트로 위장하는 사람에게 노출됩니다.
서버를 인증하지 않고 익명 TLS을 지원하는 Diffie-Hellman 키 교환 CipherSpec을 사용하여 암호화된 TLS로 연결할 수 있습니다. 클라이언트와 서버 사이에 공유되고 TLS 전송을 암호화하는 데 사용되는 마스터 보안은 개인적으로 서명된 서버 인증서를 교환하지 않고 설정됩니다.
익명 연결은 안전하지 않으므로 대부분의 TLS 구현은 기본적으로 익명 CipherSpec을 사용하지 않습니다. AMQP 채널에서 TLS 연결에 대한 요청이 승인되는 경우, 채널에는 암호구로 보호되는 키 저장소가 있어야 합니다. 기본적으로 TLS 구현은 익명 CipherSpec을 사용하지 않으므로 키 저장소에는 클라이언트가 인증할 수 있는 개인적으로 서명된 인증서가 포함되어 있어야 합니다.
익명 CipherSpec을 사용하는 경우 서버 키 저장소가 있어야 하지만 개인적으로 서명된 인증서를 포함할 필요는 없습니다.
암호화된 연결을 설정하는 다른 방법은 클라이언트에서 신뢰 제공자를 사용자 고유의 구현으로 바꾸는 것입니다. 사용자의 신뢰 제공자는 서버 인증서를 인증하지 않지만 연결이 암호화됩니다.