GBase 8t 安全特性之服务器-服务器通讯（六）定义基本的加密设置

（一）概述
（二）服务器-服务器通讯的用武之地
（三）建立可信的服务器连接
（四）防火墙设置
（五）避免在 GBase 8t 服务器之间传送原始数据

（六）定义基本的加密设置

GBase 8t 支持影响网络数据流加密的一系列 ONCONFIG 参数，这些参数与交换的数据类型无关。

基本的 ONCONFIG 参数有：

• ENCRYPT_CIPHERS：加密算法集及其加密模式
• ENCRYPT_MAC：消息身份验证码（MAC）的生成级别
• ENCRYPT_MACFILE：MAC 键文件的路径
• ENCRYPT_SWITCH：重新生成加密算法和 MAC 键的频率

（详请参阅《GBase 8t 管理员参考》）

在启用了加密的 GBase 8t 数据库服务器之间，通讯过程概括如下：

• 当 GBase 8t 必须向目标机器发送加密的消息时，首先确定用于加密原始消息的当前专用密钥和当前加密算法。如果由 ENCRYPT_SWITCH 参数指定的一个时间段到期，则或者更改源机器上的加密算法，或者使用 Diffie-Hellman 算法生成新的专用密钥。
• 在加密原始消息之前，根据 ENCRYPT_MAC 安全级别设置来生成签名。以当前 ENCRYPT_MACFILE 指定的当前键来保证该签名安全。
• 在使用当前加密算法和当前专用密钥加密消息之后，将消息发送到目标机器。将所有必要的更改，诸如加密算法更改、当前消息身份验证码（MAC）更改和专用密钥更改，也添加发送给目标机器的消息中。

在数据库服务器启动时，GBase 8t 验证上述所有 ONCONFIG 参数设置的正确性。