GBase 8s 是一款基于共享存储的安全数据库,因此安全技术是 GBase 8s 数据库产品的核心价值所在。本文章介绍安全模块的全部功能之身份鉴别,后续章节还会介绍自主访问控制、标记与强制访问控制、数据保护、备份与恢复、资源管理、安全审计和安全总开关配置管理。
GBase 8s DBMS 的身份鉴别功能分为两个部分:用户标识与身份鉴别。 、
用户标识
每个进入 DBMS 的用户首先需要有一个用户标识,并在 DBMS 的整个生命周期实现用户标识的唯一性。
身份鉴别
系统按照基本鉴别、不可伪造鉴别及一次性使用鉴别要求进行用户身份鉴别,用户在使用 DBMS 时必须首先给出用户标识,通过检验合格后才能进入使用 DBMS。
身份鉴别功能实现包括:
• 强化管理的口令鉴别:系统采用存储哈希口令的方式提高口令安全性。
• 密码复杂度检查:口令长度不得低于 8 位,口令必须包含大写字母、小写字母、数字。
• 密码时效性检查:用户口令有效期最多为 7 天,超过 7 天未修改口令,登录时需要重新设置口令。
• 尝试次数限制:提供用户鉴别尝试次数限制功能,用户可设定尝试次数,最多为 5 次。超过后用户挂起,间隔一段时间后才可以正常登录。
• 用户密码传输加密:用户在客户端登录数据库服务器时,输入的密码信息进行加密传输,server 端进行密码解密并校验。
• 超时认证:用户登录数据库长时间空闲不进行操作,再次操作时,需要输入管理员信息重新登录。
• 支持证书鉴别:采用 SSL 协议,通过双向认证,即客户端或工具端在申请访问服务端时,利用对方的验证算法来验证通信中收到的签名信息。
配置说明
强化管理的口令鉴别
该功能无需配置,GBase 8s 对用户密码采用 sha-256 和 Base64 编码方式进行加密存储。
密码复杂度检查
ONCONFIG 文件中 PWDCOMPLEXCHK 配置项设置为 1 时,启动密码复杂度检查模块,设置为 0 时,关闭此模块。
ONCONFIG 文件中 PWD_MIN_LENGTH 配置项设置密码最小长度,最小值为 8,即密码长度不低于 8 位,最大值 32。启用密码复杂度检查模块后,该参数生效。
更改 PWDCOMPLEXCHK 和 PWD_MIN_LENGTH 后,需要重启数据库才可生效。
密码时效性检查
ONCONFIG 文件中 PWDDATECHK 配置项设置为 1 时,启动密码时效性检查模块,设置为 0 时,关闭此模块。
ONCONFIG 文件中 CFPWDPERIOD 配置项设置最长更换周期(天),最大值为 7。启用本模块后,该参数生效。
更改 PWDDATECHK 和 CFPWDPERIOD 后,需要重启数据库才可生效。
密码使用时间超出最长更换周期后,用户可通过企业管理器、安全管理器、审计工具登录数据库,在登录后的弹出窗体中更新密码。
尝试次数限制
ONCONFIG 文件中 CF_LIMIT_SWITCH 配置项设置为1时,启动尝试次数限制模块,设置为0时,关闭此模块。
ONCONFIG 文件中 CFLIMITNUM 配置项设置登录失败超次阈值,单位为天,最大值7。启用本模块后,该参数生效。
ONCONFIG 文件中 LOCKPERIOD 配置项设置登录失败超过阈值后,用户被锁定时间,单位为天,最大值为 7。启用本模块后,该参数生效。
更改 CF_LIMIT_SWITCH、CFLIMITNUM 和 LOCKPERIOD 后,需要重启数据库才可生效。
用户密码传输加密
该功能无需配置,GBase 8s 对用户密码采用 AES 算法进行加密。
超时认证
ONCONFIG 文件中 SESTO_SWITCH 配置项设置为 1 时,启动超时认证模块,设置 0时,关闭此模块。
ONCONFIG 文件中 SES_TIMEOUT 配置项设置超时时间,单位为秒,最小值为 1,最大值 2147483647(约 68 年)。如设置 SES_TIMEOUT 为 600,表示用户登录数据库后,超过 600 秒为进行操作,再次操作时,需要重新登录。启用本模块后,该参数生效。
更改 SESTO_SWITCH 和 SES_TIMEOUT 后,需要重启数据库才可生效。
支持证书鉴别
GBase 8s 支持数字证书模式进行用户登录鉴别,配置方式见 6.2 数据传输保密性。