GaussDB-网络通信安全
GaussDB-网络通信安全
可获得性
本特性自V300R002C00版本开始引入。
特性简介
为保护敏感数据在Internet上传输的安全性,GaussDB支持通过SSL加密客户端和服务器之间的通讯。
客户价值
保证客户的客户端与服务器通讯安全。
特性描述
GaussDB支持SSL协议标准。SSL(Secure Socket Layer)协议是一种安全性更高的应用层通信协议,主要用于Web安全传输,SSL包含记录层和传输层,记录层协议确定传输层数据的封装格式,传输层安全协议使用X.509认证。SSL协议利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥。通过SSL协议可以有效保障两个应用间通信的保密性和可靠性,使客户与服务器之间的通信不被攻击者窃听。
GaussDB支持TLS 1.2协议标准。TLS 1.2协议是一种安全性更高的传输层通信协议,它包括两个协议组,TLS记录协议和TLS握手协议,每一组协议具有很多不同格式的信息。TLS协议是独立于应用协议的,高层协议可以透明地分布在TLS协议上面。通过TLS协议可保证通信双方的数据保密性和数据完整性。
GaussDB支持国密TLS加密传输,支持“ECC-SM4-SM3”和“ECDHE-SM4-SM3”国密加密算法套件,使用国密TLS需要配置国密双证书文件。
特性增强
证书签名算法强度检查:对于一些强度较低的签名算法,给出告警信息,提醒客户更换包含高强度签名算法的证书。
证书超时时间检查:如果距离超期日期小于7天则给出告警信息,提醒客户端更换证书。
证书权限检查:在建连阶段对证书的权限进行校验。
特性约束
- 从CA认证中心申请到正式的服务器、客户端的证书和密钥。
- 使用国际证书认证,其服务器的私钥为server.key,证书为server.crt,客户端的私钥为client.key,证书为client.crt,CA根证书名称为cacert.pem。
- 使用国密证书认证,其服务器的签名证书私钥为server.key,签名证书为server.crt,加密证书私钥为server_enc.key,加密证书为server_enc.crt,客户端的签名证书私钥为client.key,签名证书为client.crt,加密证书私钥为client_enc.key,加密证书为client_enc.crt,CA根证书名称为cacert.pem。
- 使用该功能需要打开SSL开关,并且配置证书和连接方式。
- 国密TLS加密传输当前只支持gsql客户端。
依赖关系
该特性依赖OpenSSL开源软件,国密TLS加密传输需要依赖支持国密TLS的OpenSSL版本。
浙公网安备 33010602011771号