使用通行票

在 ISPF 守护程序的安全过程中会使用通行票。

登录之后,通行票用来在 ISPF 守护程序内部建立线程安全。 不能禁用此功能。 通行票是系统生成的密码,其存在时间大约为 10 分钟。 所生成的通行票基于 DES 加密算法、用户标识、应用程序标识、时间和日期戳记和密钥。 此密钥是必须为安全软件定义的 64 位数字(十六进制字符)。
为了帮助您了解通行票用法,以下是 ISPF 守护程序安全过程的简要描述:
  1. ISPF 客户机连接到 ISPF 守护程序端口 4152。
  2. ISPF 守护程序会使用客户机显示的凭证认证客户机。
  3. ISPF 守护程序会创建唯一客户机标识和 ISPF 服务器线程。
  4. ISPF 守护程序通过将通行票用作密码来生成通行票,并为客户机创建安全环境。
  5. ISPF 守护程序会使用客户机标识验证客户机。
  6. ISPF 守护程序会将新生成的通行票用作未来所有需要密码的操作的密码。

因为 SAF 兼容的安全产品可以同时评估通行票和常规密码,所以初始认证之后不再需要客户机的实际密码。 每次需要密码时,ISPF 守护程序都会生成和使用通行票,从而为客户机生成(临时)有效密码。

使用通行票允许 ISPF 守护程序设置用户特定的安全环境,而无需在表中存储所有用户标识和密码(这样容易被盗用)。 不使用可再用密码(例如 X.509 证书)的客户机认证方法也允许使用通行票。

使用通行票需要 APPL 和 PTKTDATA 类中的安全概要文件。 这些概要文件是特定于应用程序的,且不会影响您的当前系统设置。

应用程序特定的通行票表示 ISPF 守护程序必须使用唯一应用程序标识 (APPLID)。 缺省情况下,ISPF 守护程序将 BLZAPPL 用作 APPLID。
注意: 如果未正确设置 PassTickets ,那么客户机连接请求将失败。