IPIC 绑定时间安全性

当从远程系统接收到或发送到远程系统的建立连接的请求时，可以应用安全性检查。这称为绑定时安全性。其目的是防止未经授权的系统连接到 CICS®。

当 CICS 使用 IPIC 与另一个 CICS 区域通信时，每个 CICS 系统都必须定义一个 IPCONN 资源和一个 TCPIPSERVICE 资源。

每个 CICS 系统都使用 IPCONN 将数据传输到充当接收方的伙伴系统 TCPIPSERVICE。启动通信的 CICS 区域是客户机，远程系统是服务器。

对于 IPIC ，安全套接字层 (SSL) 客户机证书交换支持绑定安全性。要允许两个 CICS 区域成功连接，并防止未经授权的系统连接:

在两个区域上， SEC 系统初始化参数必须为 YES 。
本地和远程区域上的 IPCONN 定义必须指定:
- SSL (YES)。
- CIPHERS (value)。可以通过以下两种方法之一指定 CIPHERS 属性:
  - 最多 56 个十六进制数字的字符串，解释为最多 28 个 2 数字密码套件代码的列表。
  - SSL 密码套件规范文件的名称，该文件是 USSCONFIG 系统初始化参数指定的目录的 /security/ciphers 子目录中的 z/OS® UNIX 文件。有关更多信息，请参阅密码套件和密码套件规范文件。
  使用 CEDA 定义资源时， CICS 会根据 ENCRYPTION 系统初始化参数系统初始化参数指定的加密级别，使用可接受代码的缺省列表自动初始化属性。
- (可选) CERTIFICATE (X.509_certificate_label)。在获取 IPCONN 时进行 SSL 握手期间，指定的证书将用作客户机证书。如果未指定 CERTIFICATE ，那么将使用密钥环中为 CICS 区域用户标识定义的缺省证书。
IPCONN 定义连接的出站端: 这些设置指示 CICS 启动 SSL 握手。在 SSL 握手期间， CICS 将向伙伴区域请求 TCPIPSERVICE 上指定的证书。如果远程区域 TCPIPSERVICE 指定 SSL (CLIENTAUTH) ，那么远程系统会在握手过程中请求原始系统的证书。
本地区域和远程区域上的 TCPIPSERVICE 资源定义都指定:
- PROTOCOL (IPIC)。
- SSL (CLIENTAUTH) 或 SSL (YES)。
- CIPHERS (value)。
- (可选) CERTIFICATE (X.509_certificate_label)。指定的证书用作服务器证书。如果未指定 CERTIFICATE ，那么将使用密钥环中为 CICS 区域用户标识定义的缺省证书。

TCPIPSERVICE 定义定义连接的入站端: 这些设置告诉 CICS ，在允许客户机获取 IPCONN 之前，它必须接收有效的 SSL 客户机证书。这些设置还指定 CICS 将 TCPIPSERVICE CERTIFICATE 或缺省值 (如果未指定) 作为服务器证书发送到客户机。

如果使用 SSL (YES) 指定 TCPIPSERVICE ，那么在握手期间，服务器不会要求也不会接收客户机证书。

如果使用 SSL (YES) 指定了两个 CICS 区域中的 TCPIPSERVICEs ，那么将认证两个 CICS 区域。

如果使用 SSL (CLIENTAUTH) 指定了两个 CICS 区域中的 TCPIPSERVICEs ，那么将对两个 CICS 区域进行两次认证。

在大多数情况下，通过在两个区域中指定带有 SSL (YES) 的 TCPIPSERVICE ，或者在一个区域中指定 SSL (NO) ，在另一个区域中指定 SSL (CLIENTAUTH) 来实现足够级别的安全性。

注: 如果指定了 LINKAUTH CERTUSER ，那么 IPCONN 必须引用使用 SSL (CLIENTAUTH) 定义的 TCPIPSERVICE。

当在两个区域上都指定了 TCPIPSERVICE (NO) 时，无法实现绑定时间安全性

如果 CICS 服务器信任远程客户机，那么不需要绑定时间安全性，但是，为事务连接传递的任何用户标识和密码必须在服务器区域的外部安全性管理器中有效。