GBase 8t 安全特性之客户机-服务器通讯（八）配置 GBase 8t 客户端来使用加密

（一）概述
（二）身份验证机制概述
（三）网络安全性文件
（四）可插拔身份验证模块（PAM）
（五）分布式查询环境中的身份验证机制
（六）网络加密机制
（七）配置 GBase 8t 服务器来使用加密

（八）配置 GBase 8t 客户端来使用加密

为了连接到配置成使用加密的 GBase 8t 服务器，客户机也应进行相应的配置。未配置为使用加密的客户机不可连接至配置成使用加密的服务器端口。

除了在 concsm.cfg 文件中定义的通讯支持模块（CSM）共享库路径之外，将客户机配置为使用加密的步骤与配置服务器一样。

当建立加密连接时，客户机与服务器交换每一通讯支持模块（CSM）属性的值列表。然后，它们确定 CSM 属性值的协商列表。在会话期间，使用这些协商好的值。

对于 cipher 属性，协商的列表是服务器与客户机加密通讯支持模块（CSM）公用的加密算法列表。在会话期间，使用来自协商列表的加密算法。

与在会话期间定期更改的加密算法不同，对于会话的整个生命期，仅使用一个消息身份验证码（MAC）键。如果客户机与服务器通讯支持模块（CSM）有多个共同的 MAC 键，则选择最近生成的那个。

对于任何加密属性，如果服务器不能决定协商值，则连接尝试失败。

当将服务器配置成使用加密时，在服务器与客户机之间的通讯过程如下：

在客户机与服务器之间，

• 协商通讯支持模块（CSM）属性的值
• 协商会话密钥

在客户机侧，

• 使用会话密钥和消息身份验证码（MAC）键进行数据加密
• 通过网络转移加密了的数据包

在服务器侧，

• 解密数据包
• 计算消息身份验证码（MAC）键值
• 将计算出的 MAC 键值与来自客户端的值对比
• 访问数据库
• 以加密了的形式发送响应