jxq
作者jxq2018-04-10 09:17
其它, gbase

GBase 8t 安全特性之客户机-服务器通讯(六)网络加密机制

字数 1355阅读 1460评论 0赞 4

(一)概述
(二)身份验证机制概述
(三)网络安全性文件
(四)可插拔身份验证模块(PAM)
(五)分布式查询环境中的身份验证机制

(六)网络加密机制

尽管身份验证确保获得授权后才能访问数据,在以网络为中心的业务模型中,确保流经网络的数据的保密性和完整性也至关重要。

非法侵入和篡改是对流经网络的数据的主要威胁。在客户机-服务器通讯中,由客户机提供的输入大都包含用户 ID、用户口令和用户请求(SQL 语句)。数据加密是保持这些数据安全性的普遍机制。

加密就是使用某种算法,将数据由普遍可理解的形式转换为不可理解的形式。除非知道加密密钥,否则,没人能够将数据转换回可理解的形式。

有两种管理密钥的方式:

  • 对称加密:同时使用一个密钥进行加密和解密。
  • 公钥加密:用于加密的密钥不同于用于解密的密钥。

GBase 8t 支持对称加密技术。在客户机-服务器通讯中,客户机与服务器都先使用 Diffie-Hallman(DH)算法来协商密钥。DH 算法允许在网络之上秘密地协商密钥。一旦决定了密钥,客户机与服务器即可开始在网络之上以加密的形式转移数据。

GBase 8t 支持使用不同行业标准的加密逻辑(通常称为加密算法)来加密在网络之上发送的数据包。借助于共享密钥和加密算法,可以开启加密以确保数据的保密性。加密可以确保任何人都无法读取或使用在网络之上转移的数据。但加密不确保发送的数据就是接收的数据。在通过不安全的网络转移数据时,如果数据在客户机与服务器之间被篡改,则可能发生这种情况。因此,确保数据完整性与确保数据保密性同等重要。

通过使用消息身份验证码(MAC)机制,GBase 8t 确保数据的完整性。在发送数据包之前,GBase 8t 计算 MAC 值,并将其随同数据包一起发送。MAC 值类似于消息长度校验和。为了安全起见,用于 MAC 计算的密钥不同于在服务器与客户机之间协商的共享密钥。在接收端,对加密了的数据进行解密,使用原始数据重新计算 MAC 值,并与随同数据一起发来的 MAC 值对比。如果随同数据包一起的 MAC 值与接收端计算出的 MAC 值相匹配,则可确定数据的完整性。

有关 GBase 8t 网络加密的重要事项如下:

  • 可以优化调整涉及加密机制的各种参数。
  • 在开启客户机-服务器会话的整个期间,共享密钥不是同一个。
  • 每隔一段时间,重新商讨共享的密钥。由用户指定该间隔。
  • 可以自行确定想要使用的加密算法。
  • GBase 8t 定期地从指定的加密算法列表选择一个算法。还可以控制切换加密算法的周期性。
  • GBase 8t 允许您根据正在发送的消息包的大小来控制 MAC 生成。
  • 可以完全关闭消息身份验证码(MAC)验证。

加密技术与 GBase 8t 集成,作为可插拔的通讯支持模块(CSM)。GBase 8t 提供网络加密通讯支持模块(ENCCSM),能够加密全部客户机-服务器通讯。GBase 8t 还提供简单口令通讯支持模块(SPWDCSM),能够加密用户口令。

GBase 8t 支持的主要加密模块的位置如下:

主要加密模块的位置.JPG

主要加密模块的位置.JPG

对于 JDBC 客户机,com.informix.jdbc.Crypto Java 类是加密通讯支持模块(CSM)的 Java 实现。该类与 ifxjdbc.jar JDBC 驱动程序打包在一起。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

4

添加新评论0 条评论

Ctrl+Enter 发表

作者其他文章

相关文章

相关问题

相关资料

X社区推广