应用程序透明传输层安全性 (AT-TLS)

应用程序透明传输层安全性 (AT-TLS) 可用于代表 CICS®创建安全套接字会话。 AT-TLS 提供基于策略代理程序中编码的策略语句的数据加密和解密，而不是在 CICS中实现传输层安全性 (TLS)。当 AT-TLS 对 CICS 套接字连接处于活动状态时， CICS 会发送和接收明文 (未加密的数据) ，而 AT-TLS 会在 TCP 传输层对数据进行加密和解密。因此，不需要与 SSL/TLS 相关的 CICS 系统初始化参数，例如 KEYRING 和 MINTLSLEVEL/ENCRYPTION ，因为 TLS 的实现由 AT-TLS 策略语句提供，并且所有加密和解密都在 CICS 地址空间外部完成。

有关 AT-TLS 和 AT-TLS 策略设置的更多信息，请参阅 z/OS Communications Server中的 AT-TLS 策略配置 :IP Configuration Guide 和 Policy Agent and policy applications in z/OS Communications Server: IP Configuration Reference。

可以将正在利用 AT-TLS 的地址空间 (例如 CICS ) 分为三种不同类型，这取决于是否需要感知服务，如果需要，那么还需要提供地址空间对安全功能的控制量。这些类型包括：

AT-TLS 基本: 地址空间不知道 AT-TLS 正在对数据进行加密或解密。这是唯一可用于低于 V5.3的 CICS TS 发行版的选项。
CICS 无法访问客户机证书，因为它不知道与套接字关联的证书。此外，当 CICS 将 HTTP 重定向与此操作方式配合使用时，会发生故障，因为 CICS 假定客户机连接是 HTTP 而不是 HTTPS。可能出现的问题 (例如) 是在 HTTP TCPIPSERVICE 上使用 AUTHENTICATE (BASIC) 时， CICS 发现用户的密码已到期。将会触发一个对话，供用户请求新密码。在此对话结束时，将会出现一个错误，因为重新提交原始 HTTP 请求时会指定 HTTP 而不是 HTTPS 作为方案。
AT-TLS 感知: CICS 地址空间可识别 AT-TLS ，并可查询信息 (例如 AT-TLS 状态) 和访问项 (例如客户机证书和证书用户标识)。 CICS TS from Version 5.3支持此操作。当 TCPIPSERVICE 定义为 AT-TLS 感知时， CICS 会发出 AT-TLS 查询以获取诸如 AT-TLS 安全状态，协商的 CIPHER 套件，合作伙伴证书和派生的 RACF® 用户标识之类的信息。
将查询 AT-TLS 感知 TCPIPSERVICE 的所有新客户机连接以抽取其 AT-TLS 属性。当客户机与使用 SSL (ATTLSAWARE) 定义的 CICS TCPIPSERVICE 建立新连接时，它会触发查询，并且 CICS 接受新的客户机连接。
AT-TLS 控制: 地址空间可识别 AT-TLS ，并可控制套接字上的安全会话。 CICS TS 不支持此操作。

查询 SSL(ATTLSAWARE) TCPIPSERVICE 的所有新客户机连接以抽取其 AT-TLS 属性。当客户机与使用 SSL (ATTLSAWARE)定义的 CICS TCPIPSERVICE 建立新连接时，它将触发查询，并且 CICS 接受新的客户机连接。