南大通用GBase 8a MPP Cluster高安全性特点介绍

1、安全认证

GBase 8a MPP Cluster分布式数据库可以基于操作系统用户和数据库用户之间的绑定，并与AD、LDAP等目录服务和认证服务集成提供基于Kerberos协议的用户认证能力。具体实现机制如下:

GBase 8a MPP Cluster可以通过LDAP和Kerberos联合使用来进行账号和认证管理。LDAP（例如使用AD）用来做账号管理，Kerberos作为认证。Kerberos需要最终用户（client,ODBC,JDBC,C API）有一个有效的Kerberos证书。当配置为使用LDAP时，把GBase 8a MPP Cluster数据库coordinator看作为一个LDAP客户端（shell，ODBC，JDBC，c api等）发送其用户名和密码到coordinator，然后coordinator将用户名和密码发送给LDAP服务器并尝试登录。coordinator发出LDAP“绑定”操作。如果LDAP服务器为该次登陆尝试返回成功，则coordinator接受用户的连接。LDAP只用于验证外部的客户（如shell，ODBC，JDBC，c api)。所有其他后端认证由Kerberos进行处理。

2、数据传输安全

在数据传输安全保护方面，系统在应用层和传输层上支持SSL和TLS安全协议，有效防止远程管理过程中的信息泄露问题。GBase 8a MPP Cluster的加密数据算法为数据的安全传输提供了另一层有效保护，即使数据文件丢失也无法被使用。

通过以上技术保证了数据的安全传输，防止数据库在数据传输(包括数据的外部读取以及节点间传输)过程中数据被窃取、篡改。

3、支持C2级安全标准及数据加密

GBase 8a MPP Cluster数据库产品达到NCSC的C2级安全标准，并且内置安全加密功能模块，当数据库各节点进行数据存储和读取时，完成数据加解密/解密处理，实现对表中指定列和敏感数据的透明加解密，其中支持md5、SHA1、SHA224/256/384/512、AES、PGP等加密算法。此外，系统提供密钥的管理和保存支持，使用户无法访问密钥。