通过密码加密进行保护时存在的限制

IBM® MQ 支持对存储在各种配置文件中的密码进行 AES-128 加密。 当您使用高级加密标准（AES）加密来保护 IBM MQ 配置中的密码时，您需要了解其提供的保护功能存在局限性。

对 IBM MQ 配置文件中的密码进行加密并不意味着该密码是安全的或受保护的。 它只会阻止可以访问加密密码的人轻松恢复密码，但不知道加密密钥。 IBM MQ 进程需要同时访问加密密码和解密密钥以获取要使用的明文密码。 这两个数据项都必须存储在文件系统上可供 IBM MQ访问的位置中。 加密配置文件中的密码的任何人也需要访问加密密钥。 如果攻击者有权访问与 IBM MQ相同的文件集，那么对密码应用 AES 加密仅提供最低级别的保护。

尽管如此，对静态密码进行加密很重要，因为它可以防止意外泄露密码，并支持共享配置文件 (如果解密密钥不也是共享的)。

除了确保不共享包含解密密钥的文件外，还必须注意确保该文件不受系统上其他用户的保护。 虽然所有用户都可以访问 IBM MQ 配置文件，但请将包含解密密钥的文件上的许可权限制为最低要求。 必须向 IBM MQ 进程运行的用户标识授予读取包含解密密钥的文件的访问权。 但是，不需要将读取文件的访问权授予组或系统上的所有用户。