openGauss 5.0.0全密态数据库应用小试

前言

openGauss HCIA教材中,安全是一个重要的章节,在实际项目中,随着网络安全和信息安全形势的变化,企业也越来越重视数据库安全。去年在HALP内部进行openGauss培训时,安全特性就被学员们提出来要重点讲解,而全密态等值查询则又是其中重要的一环。根据官网介绍,实际上openGauss在早期的1.0.0版本就引入了全密态等值查询特性,因此下面结合操作举例,尝试对openGauss 5.0.0版本全密态的使用进行介绍,供有需要的同行参考,不当之处并请提出宝贵意见和建议。

一、教材中关于全密态的内容

图片

(教材内容和官网基本一致)

  • 全密态数据库

关于全密态数据库,官网上的介绍如下:

密态数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息,从而起到保护数据隐私的作用。

参见官网:https://docs.opengauss.org/zh/docs/5.0.0/docs/AboutopenGauss/%E5%85%A8%E5%AF%86%E6%80%81%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AD%89%E5%80%BC%E6%9F%A5%E8%AF%A2.html

其重点在于,openGauss对数据的加密是在客户端进行的,如下图所示,才能保证在传输,计算和存储过程中都是密文,及时被破坏者截获或者盗取,也只能看到的是加密数据,避免了数据泄露。

 

通过全密态数据可以保证云数据库的数据安全,攻击者无法从服务端获取有效数据。基于此可以为云服务商赢得客户信任提供技术保障。

二、全密态数据库的应用

全密态数据库的应用大致分为以下几个步骤:密钥创建、加密表创建、全密态等值查询。

1. 密钥创建

  • 确定密钥存储路径

增加环境变量:需要确保计划存放密钥文件的路径存在,且系统创建的数据库用户(本文为omm)有编辑权限,如下图:

简单起见可以用如下语句赋予权限,实际项目中按需赋权,不建议赋予777权限

chmod -R 777 /opt/software/openGauss/
  • 增加环境变量:

export LOCALKMS_FILE_PATH=/opt/software/openGauss

执行完成后查看,生成文件:

图片

GSQL连接全密态数据库

gsql -p 5432 -d postgres -r –C

其中-C表示是打开密态开关。

  • 创建用户密钥。

其中密钥包括CMK和CEK。CMK是主密钥,用于加密CEK;而CEK是数据密钥,用于加密数据。CEK的创建要依赖于CMK,因此要先创建CMK,再创建CEK。

创建CMK:


CREATE CLIENT MASTER KEY ImgCMK WITH (KEY_STORE = localkms, KEY_PATH = "key_path_value", ALGORITHM = RSA_2048);CREATE CLIENT MASTER KEY

说明:当前KEY_STORE仅支持localkms,ALGORITHM 支持RSA_2048、RSA3072和SM2

创建CEK:


CREATE COLUMN ENCRYPTION KEY ImgCEK WITH VALUES (CLIENT_MASTER_KEY = ImgCMK, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);CREATE COLUMN ENCRYPTION KEY

图片

重要说明:由于SM2、SM3、SM4等算法属于中国国家密码标准算法,为规避法律风险,需配套使用。如果创建CMK时指定SM4算法来加密CEK,则创建CEK时必须指定SM4_SM3算法来加密数据。

  • 查询创建的密钥

SELECT * FROM gs_client_global_keys;

 

 

2. 加密表创建:

  • 创建另外一个数据库用户


create user fishinwater identified by "***********";

(实际密码隐藏掉)

  • 创建加密表:


CREATE TABLE creditcard_info (id_number int, name text encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC),credit_card  varchar(19) encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC));

 

 

 注意:对于需要加密的列要说明 encrypted with ……,其中encryption_type_value的可选值为[ DETERMINISTIC | RANDOMIZED ],本例中选择DETERMINISTIC。

查看上面创建的密态表,可以看到后面两列是加密的:


\d creditcard_info

 需要注意的是当前版本的OpenGauss仅支持按列进行加密,暂不支持按行进行加密。

  • 插入数据:

INSERT INTO creditcard_info VALUES (1,'joe','6217986500001288393');INSERT INTO creditcard_info VALUES (2, 'joy','6219985678349800033');

 就不截图了,简单的insert语句而已。

3. 全密态等值查询

  • 打开密态开关

    (enable_ce=1)

打开密态开关即连接时带上“-C”参数,JDBC连接的话,设置参数enable_ce的值为1:

(enable_ce=1)

在当前打开密态开关的情况下,是可以正常查询数据的,如下:

select * from creditcard_info;

 

 也可以在where条件中用加密字段进行查询:

select * from creditcard_info where name = 'joe';

 

  • 关闭密态开关:

gsql -p 5432 -d postgres –r

注意没有带“-C”参数,则查询的数据是密文,且无法在WHERE条件中使用加密列。

如在条件中用到加密列,会报错如下:

 查询到的密文数据:

 

4. 其他数据库用户查询

被赋予了查询权限的用户(本例为fishinwater),即使打开密态开关,也无法查询加密数据,报错如下:

ERROR(CLIENT): failed to decrypt column encryption key

图片

但是只查询非加密列是正常的,篇幅所限就不附图了。

当没有打开密态开关时,查询到的是密文,和创建秘钥的用户不打开密态开关的效果相同,也不再进行附图说明。

需要说明的是,当前版本的全密态数据库的应用仍有较多的约束条件,期待随着版本演进,openGauss对全密态数据库的支持更加强大,具体约束可以参考官网。

https://docs.opengauss.org/zh/docs/5.0.0/docs/AboutopenGauss/%E5%85%A8%E5%AF%86%E6%80%81%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AD%89%E5%80%BC%E6%9F%A5%E8%AF%A2.html

结语:

全密态数据库为用户敏感隐私数据的保护提供了更多的一种选择,在信息保护和数据安全越来越重要的今天,将作为openGauss的重要特性,为openGauss的更加壮大提供重要的技术基础。

 

本文内容来自于数据库领域资深技术专家赵锋老师,希望我们的文章正好能解决你的问题。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/260372.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何使用Docker搭建YesPlayMusic网易云音乐播放器并发布至公网访问

文章目录 1. 安装Docker2. 本地安装部署YesPlayMusic3. 安装cpolar内网穿透4. 固定YesPlayMusic公网地址 本篇文章讲解如何使用Docker搭建YesPlayMusic网易云音乐播放器,并且结合cpolar内网穿透实现公网访问音乐播放器。 YesPlayMusic是一款优秀的个人音乐播放器&am…

Pandas数据库大揭秘:read_sql、to_sql 参数详解与实战篇【第81篇—Pandas数据库】

Pandas数据库大揭秘:read_sql、to_sql 参数详解与实战篇 Pandas是Python中一流的数据处理库,而数据库则是数据存储和管理的核心。将两者结合使用,可以方便地实现数据的导入、导出和分析。本文将深入探讨Pandas中用于与数据库交互的两个关键方…

【Go语言】Go项目工程管理

GO 项目工程管理(Go Modules) Go 1.11 版本开始,官方提供了 Go Modules 进行项目管理,Go 1.13开始,Go项目默认使用 Go Modules 进行项目管理。 使用 Go Modules的好处是不再需要依赖 GOPATH,可以在任意位…

JS逆向进阶篇【去哪儿旅行登录】【中篇-滑动轨迹破解补浏览器环境破参数】

目录: 每篇前言:0、整体分析1、逆向轨迹snapshot(1)分析:(2)Python轨迹生成:(3)AES加密:(4)轨迹加密:&#xf…

机器学习中梯度下降法的缺点

机器学习中的梯度下降法是一种寻找函数最小值的优化算法,广泛应用于训练各种模型,尤其是在深度学习中。尽管其应用广泛,但梯度下降法也存在一些不可忽视的缺点: 1. 局部最小值和鞍点 局部最小值问题: 对于非凸函数&a…

milvus insert数据在s3的存储

insert数据在s3的存储 对segment进行flush操作,会将数据持久化至s3对象存储。 相关核心代码位置: ibNode.flushManager.flushBufferData()主要代码在flushBufferData()函数。 代码位置:internal\datanode\flush_manager.go // flushBufferData notifies flush …

【Docker】Docker存储卷

文章目录 一、什么是存储卷二、为什么需要存储卷三、存储卷分类四、管理卷Volume创建卷方式一:Volume 命令操作方式二:-v 或者--mount 指定方式三:Dockerfile 匿名卷 操作案例Docker 命令创建管理卷Docker -v 创建管理卷Docker mount 创建管理…

java中容易被忽视的toString()方法

之前一直认为toString就是将数据转换成字符类型,直到最近写出了一个bug才对toString有了新的认识 不同数据类型,toString() 有不同的操作 定义一个student类,包含姓名 String类型、性别 String类型、年龄 int 类型、分数列表 String类型的li…

适合tiktok运营的云手机需要满足什么条件?

TikTok作为一款全球热门的社交媒体平台,具有无限的市场潜力。然而,卖家在运营过程中常常会面临到视频0播、账号被降权、限流等问题,甚至可能因为多人同时使用一个IP而导致封号的风险。为了规避这些问题,越来越多的卖家将目光投向了…

论UI的糟糕设计:以百度网盘为例

上面这一排鼠标一经过就会弹出来(不是点才弹出来),然后挡住你的各种操作, 弹出来时你就必须等它消失,卡一下才能操作。 在用户顺畅地操作内容时,经常就卡一下、卡一下、卡一下…… 1、比如鼠标从下到上&am…

《基于CEEMDAN一小波包自适应阈值混凝土声发射信号降噪研究》算法思路笔记

![1]杨智中,林军志,汪魁等.基于CEEMDAN-小波包自适应阈值混凝土声发射信号降噪研究[J].振动与冲击,2023,42(03):139-149.DOI:10.13465/j.cnki.jvs.2023.03.016.](https://img-blog.csdnimg.cn/direct/9814ff64cc474cd3aa06ecaea60f2f75.png) 首先对周期循环荷载作用下混凝土试…

【RPG Maker MV 仿新仙剑 战斗场景UI (二)】

RPG Maker MV 仿新仙剑 战斗场景UI 二 战斗指令菜单原仙剑战斗指令图RMMV战斗指令对应代码战斗指令菜单代码效果 战斗指令菜单 原仙剑战斗指令菜单是使用方向键控制,同时按照使用情况正好对应四个指令和四个方向,同时没有选中的菜单用黑色透明图片覆盖&…

App启动优化笔记 1

app大致的启动流程。有Launcher进程,system_server进程,zygote进程,APP进程。 Launcher进程:启动activity来启动应用 system_server进程:(ams是其中的一个binder):发送一个socket消息给Zygote。 zygote进程:收到消息后,fork新的进程,---》app进程启动 APP进程:…

国际语言代码 Language Code 对照表速查

前言 语言代码是英国教育社会学家伯恩斯坦的术语。指在一定的语言集团中,特定的人群在特定的社会环境下使用的特定的言语。分为限定代码(restricted code)和精制代码(elaborated code)。语言代码是由字母或数字组成的…

STM32引脚重定义问题

最近在搞资源管理,发现有些引脚不能用 比如这个PE引脚。我想用他输出PWM,但是不能用,我也重定义了,还是不能用。回去翻看了技术手册。 RCC_APB2PeriphClockCmd(RCC_APB2Periph_AFIO, ENABLE); //重映射引脚功能,需…

MB-106UP——进口抛光树脂的技术优势

超纯水的制备和稳定性一直是相关领域极为重视的,那么超纯水中常会用到的抛光树脂技术,进口和国产对比起来究竟谁更甚一筹呢?接下来为大家分享的技术就是超纯水制备中常会用到的进口品牌:美国Tulsimer杜笙树脂中抛光树脂MB-106UP的…

CORS就是跨域吗?

首先,跨域的域是什么? 跨域的英文是:Cross-Origin。 Origin 中文含义为:起源,源头,出生地。 在跨域中,"域"指的是一个 Web 资源(比如网页、脚本、图片等)的…

压缩感知(Compressed Sensing,CS)的基础知识

压缩感知(Compressed Sensing,CS)是一种用于信号处理的技术,旨在以少于奈奎斯特采样定理所要求的样本频率来重构信号。该技术利用信号的稀疏性,即信号可以用较少的非零系数表示。压缩感知在图像获取中的应用使得在采集…

Kubernetes概述

目录 1.K8S 是什么 2.为什么要用 K8S Kubernetes 主要功能如下: 3.Kubernetes 集群架构与组件 Master 组件 Kube-apiserver Kube-controller-manager Kube-scheduler 配置存储中心 etcd Node 组件 Kubelet Kube-Proxy docker 或 rocket 4.Kubernete…

css2背景

css2背景 一.背景颜色二.背景图片三.背景平铺四.背景图片位置五.背景图像固定六.复合型写法七.背景颜色半透明八.总结 一.背景颜色 默认是transparent(透明) 二.背景图片 默认是none 三.背景平铺 默认是background-repeat(平铺) 四.背景图片位置…