数据存储保密性
存储数据的保密性是安全数据库的最重要的功能之一。GBase 8s 安全数据库的数据加密采用库内加密的方式,在数据库管理系统的内核存储引擎级进行数据加解密处理,即数据在进行物理 I/O 时完成加解密工作。
支持 onbar、ontape 在加密模式下进行备份恢复。
由于数据页只有在真正进行 I/O 时才进行加解密操作,从而对于合法用户来讲是完全透明的,因此也可以称为透明存储加密。
密/明文:数据库数据经加密后落地,即为密文。从磁盘加载后经数据库解密即为明文。
配置说明
ONCONFIG 文件 SERVER_ENCRYPTION_TYPE 配置项用来设定数据存储类型,支持明文、软加密和加密卡三种方式。其中 CLEARTEXT 为明文存储;SOFT 为软加密方式存储。如需支持其他加密方式,请联系 GBase 8s 技术支持人员获得更进一步的信息。更改数据存储方式,即修改 SERVER_ENCRYPTION_TYPE 参数值,需要对数据库进行初始化,即执行 oninit –ivy,方可正常使用。初始化后,数据库将清除用户数据。
数据传输保密性
用户端与数据库服务端的信息访问,使用以 SSL 为基础的安全协议来建立安全保密数据传输路径。使用加密算法保护链路层安全,使用证书对服务端和客户端进行双向验证,保证客户端和服务端之间通讯的保密性和完整性。
配置说明
GBase 8s Server 启用 SSL 模块,涉及三个配置文件,ONCONFIG、SQLHOSTS、SQLHOSTS.EXT 文件。
1. ONCONFIG 设置 VPCLASS、NETTYPE 参数,示例如下:
VPCLASS encrypt,num=1
NETTYPE onsocssl,1,150,CPU
2. SQLHOSTS 设置 onsocssl 通信类型,示例如下:
ol_gbase8s onsocssl 127.0.0.1 10603
3. SQLHOSTS.EXT 设置预置证书(DEMO)级,示例如下:
SQLHOSTS.EXT 文件为 /opt/gbase8s/etc/sqlhosts.ol_gbase8s.ext,初始化设置内容:
[config]
GBS_TYPE=gbasessl
[ol_gbase8s]
server=ol_gbase8s
client=ids1_client
[ol_gbase8s]
TLSCACertificateFile=/opt/gbase8s/ids_cfg/security/GBASECA.pem
TLSCertificateFile=/opt/gbase8s/ids_cfg/security/GBase8s.pem
TLSCertificateKeyFile=/opt/gbase8s/ids_cfg/security/GBase8s.key
TLSCertificateKeyFilePasswd=
TLSVerifyCert=verify
[ids1_client]
TLSCACertificateFile=/opt/gbase8s/ids_cfg/security/GBASECA.pem
TLSCertificateFile=/opt/gbase8s/ids_cfg/security/root.pem
TLSCertificateKeyFile=/opt/gbase8s/ids_cfg/security/root.key
GBase 8s 安装后,提供上述证书相关文件,供demo 使用。如需使用正式证书文件,请联系GBase 8s 技术支持人员获得更进一步的信息。
重启服务
服务端证书配置好后,需要重启 IDS 服务来生效。