(一)概述
(二)服务器-服务器通讯的用武之地
(三)建立可信的服务器连接
(四)防火墙设置
(五)避免在 GBase 8t 服务器之间传送原始数据
(六)定义基本的加密设置
GBase 8t 支持影响网络数据流加密的一系列 ONCONFIG 参数,这些参数与交换的数据类型无关。
基本的 ONCONFIG 参数有:
- ENCRYPT_CIPHERS:加密算法集及其加密模式
- ENCRYPT_MAC:消息身份验证码(MAC)的生成级别
- ENCRYPT_MACFILE:MAC 键文件的路径
- ENCRYPT_SWITCH:重新生成加密算法和 MAC 键的频率
(详请参阅《GBase 8t 管理员参考》)
在启用了加密的 GBase 8t 数据库服务器之间,通讯过程概括如下:
- 当 GBase 8t 必须向目标机器发送加密的消息时,首先确定用于加密原始消息的当前专用密钥和当前加密算法。如果由 ENCRYPT_SWITCH 参数指定的一个时间段到期,则或者更改源机器上的加密算法,或者使用 Diffie-Hellman 算法生成新的专用密钥。
- 在加密原始消息之前,根据 ENCRYPT_MAC 安全级别设置来生成签名。以当前 ENCRYPT_MACFILE 指定的当前键来保证该签名安全。
- 在使用当前加密算法和当前专用密钥加密消息之后,将消息发送到目标机器。将所有必要的更改,诸如加密算法更改、当前消息身份验证码(MAC)更改和专用密钥更改,也添加发送给目标机器的消息中。
在数据库服务器启动时,GBase 8t 验证上述所有 ONCONFIG 参数设置的正确性。
添加新评论0 条评论