GBase 8s 安全性(2)-身份鉴别

GBase 8s 是一款基于共享存储的安全数据库,因此安全技术是 GBase 8s 数据库产品的核心价值所在。本文章介绍安全模块的全部功能之身份鉴别,后续章节还会介绍自主访问控制、标记与强制访问控制、数据保护、备份与恢复、资源管理、安全审计和安全总开关配置管理。

      GBase 8s DBMS 的身份鉴别功能分为两个部分:用户标识与身份鉴别。 、

用户标识 

       每个进入 DBMS 的用户首先需要有一个用户标识,并在 DBMS 的整个生命周期实现用户标识的唯一性。

身份鉴别 

       系统按照基本鉴别、不可伪造鉴别及一次性使用鉴别要求进行用户身份鉴别,用户在使用 DBMS 时必须首先给出用户标识,通过检验合格后才能进入使用 DBMS。

       身份鉴别功能实现包括:

       • 强化管理的口令鉴别:系统采用存储哈希口令的方式提高口令安全性。

       • 密码复杂度检查:口令长度不得低于 8 位,口令必须包含大写字母、小写字母、数字。

       • 密码时效性检查:用户口令有效期最多为 7 天,超过 7 天未修改口令,登录时需要重新设置口令。

       • 尝试次数限制:提供用户鉴别尝试次数限制功能,用户可设定尝试次数,最多为 5 次。超过后用户挂起,间隔一段时间后才可以正常登录。

       • 用户密码传输加密:用户在客户端登录数据库服务器时,输入的密码信息进行加密传输,server 端进行密码解密并校验。

       • 超时认证:用户登录数据库长时间空闲不进行操作,再次操作时,需要输入管理员信息重新登录。

       • 支持证书鉴别:采用 SSL 协议,通过双向认证,即客户端或工具端在申请访问服务端时,利用对方的验证算法来验证通信中收到的签名信息。 

配置说明

       强化管理的口令鉴别

       该功能无需配置,GBase 8s 对用户密码采用 sha-256 和 Base64 编码方式进行加密存储。

       密码复杂度检查

       ONCONFIG 文件中 PWDCOMPLEXCHK 配置项设置为 1 时,启动密码复杂度检查模块,设置为 0 时,关闭此模块。

       ONCONFIG 文件中 PWD_MIN_LENGTH 配置项设置密码最小长度,最小值为 8,即密码长度不低于 8 位,最大值 32。启用密码复杂度检查模块后,该参数生效。

       更改 PWDCOMPLEXCHK 和 PWD_MIN_LENGTH 后,需要重启数据库才可生效。 

       密码时效性检查

       ONCONFIG 文件中 PWDDATECHK 配置项设置为 1 时,启动密码时效性检查模块,设置为 0 时,关闭此模块。

       ONCONFIG 文件中 CFPWDPERIOD 配置项设置最长更换周期(天),最大值为 7。启用本模块后,该参数生效。

       更改 PWDDATECHK 和 CFPWDPERIOD 后,需要重启数据库才可生效。

       密码使用时间超出最长更换周期后,用户可通过企业管理器、安全管理器、审计工具登录数据库,在登录后的弹出窗体中更新密码。 

       尝试次数限制 

       ONCONFIG 文件中 CF_LIMIT_SWITCH 配置项设置为1时,启动尝试次数限制模块,设置为0时,关闭此模块。

       ONCONFIG 文件中 CFLIMITNUM 配置项设置登录失败超次阈值,单位为天,最大值7。启用本模块后,该参数生效。

       ONCONFIG 文件中 LOCKPERIOD 配置项设置登录失败超过阈值后,用户被锁定时间,单位为天,最大值为 7。启用本模块后,该参数生效。

       更改 CF_LIMIT_SWITCH、CFLIMITNUM 和 LOCKPERIOD 后,需要重启数据库才可生效。

       用户密码传输加密

       该功能无需配置,GBase 8s 对用户密码采用 AES 算法进行加密。 

       超时认证

       ONCONFIG 文件中 SESTO_SWITCH 配置项设置为 1 时,启动超时认证模块,设置 0时,关闭此模块。

       ONCONFIG 文件中 SES_TIMEOUT 配置项设置超时时间,单位为秒,最小值为 1,最大值 2147483647(约 68 年)。如设置 SES_TIMEOUT 为 600,表示用户登录数据库后,超过 600 秒为进行操作,再次操作时,需要重新登录。启用本模块后,该参数生效。

       更改 SESTO_SWITCH 和 SES_TIMEOUT 后,需要重启数据库才可生效。 

       支持证书鉴别 

       GBase 8s 支持数字证书模式进行用户登录鉴别,配置方式见 6.2 数据传输保密性。

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值