网络通信安全
可获得性
本特性自openGauss 1.1.0版本开始引入。
特性简介
为保护敏感数据在Internet上传输的安全性,openGauss支持通过SSL加密客户端和服务器之间的通讯。
客户价值
保证客户的客户端与服务器通讯安全。
特性描述
openGauss支持SSL协议标准。SSL(Secure Socket Layer)协议是一种安全性更高的应用层通信协议,主要用于Web安全传输,SSL包含记录层和传输层,记录层协议确定传输层数据的封装格式,传输层安全协议使用X.509认证。SSL协议利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥。通过SSL协议可以有效保障两个应用间通信的保密性和可靠性,使客户与服务器之间的通信不被攻击者窃听。
openGauss支持TLS 1.2协议标准。TLS 1.2协议是一种安全性更高的传输层通信协议,它包括两个协议组,TLS记录协议和TLS握手协议,每一组协议具有很多不同格式的信息。TLS协议是独立于应用协议的,高层协议可以透明地分布在TLS协议上面。通过TLS协议可保证通信双方的数据保密性和数据完整性。
自openGauss5.1.0起支持TLCP协议标准。TLCP采用的是国密算法,采用SM2双证书体系。
特性增强
证书签名算法强度检查:对于一些强度较低的签名算法,给出告警信息,提醒客户更换包含高强度签名算法的证书。
证书超时时间检查:如果距离超期日期小于7天则给出告警信息,提醒客户端更换证书。
证书权限检查:在创建连接阶段对证书的权限进行校验。
TLCP协议支持:支持国密算法,采用SM2双证书,双证书分别负责身份认证和安全传输。
特性约束
从CA认证中心申请到正式的服务器、客户端的证书和密钥。(假设服务器的私钥为server.key、server_enc.key,证书为server.crt、server_enc.crt,客户端的私钥为client.key、client_enc.key,证书为client.crt、client_enc.crt,CA根证书名称为cacert.pem。)
需要打开SSL开关,并且配置证书和连接方式。
依赖关系
OpenSSL、TASSL