【经验分享】openGauss 5.0.0全密态数据库应用小试

news2024/11/16 2:14:34

引子:

去年了解openGauss数据库安全特性的时候了解到全密态等只查询特性,实际上openGauss在早期的1.0.0版本就引入了全密态等值查询特性,下面尝试对openGauss 5.0.0版本全密态的使用进行记录,供参考。

全密态数据库:

关于全密态数据库,官网上的介绍如下:

密态数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息,从而起到保护数据隐私的作用。

参见官网:

https://docs.opengauss.org/zh/docs/5.0.0/docs/AboutopenGauss/%E5%85%A8%E5%AF%86%E6%80%81%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AD%89%E5%80%BC%E6%9F%A5%E8%AF%A2.html

其重点在于,openGauss对数据的加密是在客户端进行的,如下图所示,才能保证在传输,计算和存储过程中都是密文,及时被破坏者截获或者盗取,也只能看到的是加密数据,避免了数据泄露。

c01d24ffc233961033bea2a0ae396a78.jpeg

通过全密态数据可以保证云数据库的数据安全,攻击者无法从服务端获取有效数据。基于此可以为云服务商赢得客户信任提供技术保障。

全密态数据库的应用:

全密态数据库的应用大致分为以下几个步骤:密钥创建、加密表创建、全密态等值查询。

  1. 1. 密钥创建:

  •     确定密钥存储路径:

增加环境变量:需要确保计划存放密钥文件的路径存在,且系统创建的数据库用户(本文为omm)有编辑权限,如下图:

abfae69577f27e9e9ee66994e76bc820.jpeg

简单起见可以用如下语句赋予权限:

chmod -R 777 /opt/software/openGauss/

增加环境变量:

export LOCALKMS_FILE_PATH=/opt/software/openGauss

执行完成后查看,生成了文件:

4ee5935afd2fe4930c8af9f3bac398e1.jpeg

  • GSQL连接全密态数据库,

gsql -p 5432 -d postgres -r –C 

     其中-C表示是打开密态开关。

  • 创建用户密钥,

其中密钥包括CMK和CEK。CMK是主密钥,用于加密CEK;而CEK是数据密钥,用于加密数据。CEK的创建要依赖于CMK,因此要先创建CMK,再创建CEK。

创建CMK:

CREATE CLIENT MASTER KEY ImgCMK WITH (KEY_STORE = localkms, KEY_PATH = "key_path_value", ALGORITHM = RSA_2048);
CREATE CLIENT MASTER KEY

说明:当前KEY_STORE仅支持localkms,ALGORITHM 支持RSA_2048、RSA3072和SM2

创建CEK:

CREATE COLUMN ENCRYPTION KEY ImgCEK WITH VALUES (CLIENT_MASTER_KEY = ImgCMK, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);
CREATE COLUMN ENCRYPTION KEY

ee24eecd9430acadcce797901f657979.jpeg

重要说明:由于SM2、SM3、SM4等算法属于中国国家密码标准算法,为规避法律风险,需配套使用。如果创建CMK时指定SM4算法来加密CEK,则创建CEK时必须指定SM4_SM3算法来加密数据。

查询创建的密钥:

SELECT * FROM gs_client_global_keys;

301653978accdd21e43a29e896b99f3f.jpeg

SELECT column_key_name,column_key_distributed_id ,global_key_id,key_owner FROM gs_column_keys;

929ee0ea9f866115e8c1a0743f513c00.jpeg

  1. 加密表创建:

  • 创建另外一个数据库用户:

create user fishinwater identified by "***********";

(实际密码隐藏掉)

  • 2. 创建加密表:

CREATE TABLE creditcard_info (id_number int, name text encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC),credit_card varchar(19) encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC));

b21c0c3c8aa5e0aeb4dfc7af1137da63.jpeg

注意对于需要加密的列要说明 encrypted with ……,其中encryption_type_value的可选值为[ DETERMINISTIC | RANDOMIZED ],本例中选择DETERMINISTIC。

查看上面创建的密态表,可以看到后面两列是加密的:

\d creditcard_info

d528b211828615ca205265555cbc0288.jpeg

  • 插入数据:

INSERT INTO creditcard_info VALUES (1,'joe','6217986500001288393');
INSERT INTO creditcard_info VALUES (2, 'joy','6219985678349800033');

就不截图了,简单的insert语句而已。

  1. 3. 全密态等值查询:

  • 打开密态开关

打开密态开关即连接时带上“-C”参数,JDBC连接的话,设置参数enable_ce的值为1:(enable_ce=1)

在当前打开密态开关的情况下,是可以正常查询数据的,如下:

select * from creditcard_info;

5d665e341f125b801061a545122b7a41.jpeg

也可以在where条件中用加密字段进行查询:

select * from creditcard_info where name = 'joe';

398722d4b5d307056300a6aae1b8e0f1.jpeg

  • 关闭密态开关:

gsql -p 5432 -d postgres –r

注意没有带“-C”参数,则查询的数据是密文,且无法在WHERE条件中使用加密列。

如在条件中用到加密列,会报错如下:

f1be22e8ac30c6e03eb5936816422a49.jpeg

查询到的密文数据:

977fe5b46dc235b939d0a90a0db6d6f4.jpeg

  1. 4. 其他数据库用户查询:

被赋予了查询权限的用户(本例为fishinwater),即使打开密态开关,也无法查询加密数据,报错如下:ERROR(CLIENT): failed to decrypt column encryption key

1c7f1697999e5e57dfede281facebbb1.jpeg

但是只查询非加密列是正常的,篇幅所限就不附图了。

当没有打开密态开关时,查询到的是密文,和创建秘钥的用户不打卡密态开关的效果相同,也不再进行附图说明。

需要说明的是,全密态数据库的使用有相当多的约束条件,且相对于以前的版本,openGauss 5.0.0版本的约束有变化,本文不再赘述,可以参考官网说明。

https://docs.opengauss.org/zh/docs/5.0.0/docs/AboutopenGauss/%E5%85%A8%E5%AF%86%E6%80%81%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AD%89%E5%80%BC%E6%9F%A5%E8%AF%A2.html

结语:

全密态数据库为用户敏感隐私数据的保护提供了更多的一种选择,在信息保护和数据安全越来越重要的今天,将作为openGauss的重要特性,为openGauss的更加壮大提供重要的技术基础。

◆ 往期推荐◆

正式官宣!openGauss Summit 2023邀您参会

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1315316.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

造型精致的冰精灵充电头,充电效率高安全可靠,居家出行皆可用

随着大家对手机的依赖度越来越高,快速充电已经成为必不可少的需求。快充当然少不了支持快充的充电器,现在市面上的快充头很多,安全性和便携性是我们选择时的重点关注方向,我目前用的是战飞ZEFi冰精灵,这款产品有着独特…

Python学习路线 - Python语言基础入门 - 函数进阶

Python学习路线 - Python语言基础入门 - 函数进阶 函数的多返回值多个返回值 函数的多种参数使用形式函数参数种类位置参数关键字参数缺省参数不定长参数位置传递 - 不定长关键字传递 - 不定长 函数作为参数传递lambda匿名函数 函数的多返回值 问: 如果一个函数如些两个return…

[Spring ~松耦合的设计神器]`SPI`

Java SPI(Service Provider Interface)是一种Java的服务提供者接口机制。它允许在运行时动态加载实现服务接口的类。 文章目录 基本概念最简单的实例使用 jar 包通过 spi动态实现接口功能 基本概念 SPI 机制的基本思想是,定义一个服务接口&a…

Git 使用教程(超级详细)

目录 一:Git二:SVN与Git的的区别三、安装Git四:常规操作五:远程仓库六:创建与合并分支七:bug分支八:多人协作九:git可视化工具 Git Git 是一种分布式版本控制系统,用于…

Echarts 热力图与折线图的结合

热力图与折线图结合使用(文末含源码) 这种需求并不多见,遇到后第一时间翻看了Echars官方文档,并没有发现类似的例子。于是自己动手合并了双轴,后发现折线图会被遮盖。经过排查发现了一个关键参数:visualMap的配置。这个配置在热力…

Vue脚手架 Vue CLI安装

目录 0.为什么要安装Vue CLI脚手架 1.配置方法 1.全局安装 (一次) 2.查看Vue版本(一次) 报错:出现禁止运行脚本 3.创建项目架子(可多次) 报错npm err! 问题:已知npm换过国内源,且进度条…

了解AOP

1 AOP概述 思考:在一个教务系统中,以下哪些是主要业务逻辑,哪些是次要业务逻辑? 1.1 关于AOP AOP(面向方面/切面编程)是对OOP(面向对象编程)的补充,提供另一种关于程序…

FC 可视化功能菜单主代码

[FC][BestVisible][Config].asm ;文件头配置 NES_16KB_PRG_SIZE 8 NES_8KB_CHR_SIZE 16 PRG_BANK_MASK NES_16KB_PRG_SIZE * 2 - 1 ;bank号掩码 PRG_BANK_E000 NES_16KB_PRG_SIZE * 2 - 1 PRG_BANK_C000 …

《Kotlin核心编程》笔记:集合、序列与内联函数

集合的高阶函数API map 操作 val list listOf(1, 2, 3, 4, 5, 6) val newList list.map { it * 2 }当然,在 Java 8 中,现在也能像Kotlin那样去操作集合了。 上面的方法实际上就是一个高阶函数,它接收的参数实际上就是一个函数&#xff0…

sourcetree使用详解

介绍 SourceTree 是 Windows 和Mac OS X 下免费的 Git 和 Hg 客户端管理工具,同时也是Mn版本控制系统工具。支持创建、克隆、提交、push、pull 和合并等操作。——百度百科 是一款比较好用的图形化GUI的git、hg管理工具。还有一些其他的可视化代码管理工具&#x…

【webstrom】【idea】修改git历史提交记录

webstrom修改git历史提交记录 历史记录中有3条提交记录 此时2中的提交记录需要更新,我们可以在2中右击,选择“从这里执行交互式变基” 在弹框中选择需要修改提交记录2右击,然后选择“停止以编辑” 启动变基 更改2中内容 提交对2的更改 …

美国 AGU 发布 AI 应用手册,明确 6 大指导方针

爆发性的 AI 应用:风险与机遇并存 在空间和环境科学领域,AI 工具的应用越来越广泛——诸如天气预报和气候模拟,能源及水资源管理等等。可以说,我们正在经历前所未有的 AI 应用爆发,面对其中的机遇与风险,更…

《PySpark大数据分析实战》-11.Spark on YARN模式安装Hadoop

📋 博主简介 💖 作者简介:大家好,我是wux_labs。😜 热衷于各种主流技术,热爱数据科学、机器学习、云计算、人工智能。 通过了TiDB数据库专员(PCTA)、TiDB数据库专家(PCTP…

Power BI - 5分钟学习增加索引列

每天5分钟,今天介绍Power BI增加索引列。 什么是增加索引列? 增加索引列就是向表中添加一个具有显式位置值的新列,一般从0或者从1开始。 举例: 首先,导入一张【Sales】样例表(Excel数据源导入请参考每天5分钟第一天)…

目前最火的大模型训练框架 DeepSpeed 详解来了

目前,大模型的发展已经非常火热,关于大模型的训练、微调也是各个公司重点关注方向,但是大模型训练的痛点是模型参数过大,动辄上百亿,如果单靠单个GPU来完成训练基本不可能。所以需要多卡或者分布式训练来完成这项工作。…

Android 移动端编译 cityhash动态库

最近做项目, 硬件端 需要 用 cityhash 编译一个 动态库 提供给移动端使用,l 记录一下 编译过程 city .cpp // // Created by Administrator on 2023/12/12. // // Copyright (c) 2011 Google, Inc. // // Permission is hereby granted, free of charg…

Win11黑屏死机怎么办?

Win11黑屏死机是一个令人烦恼的问题,特别是对于那些计算机知识并不充裕的人来说。那么Win11死机黑屏怎么办呢?下面我们就来了解一下。 方案一:卸下外部硬盘驱动器 有些时候,电脑的外部硬件可能会导致电脑黑屏问题。在这种情况下&…

【️Java和C++主要的区别有哪些?各有哪些优缺点?】

✅Java和C主要的区别有哪些?各有哪些优缺点? ✅Java和C分别代表两种类型的语言✅ C是编译型语言✅ Java是解释型语言✅ 两者更多的主要区别如下: ✅知识拓展✅Java与C的参数方法有什么区别? ✅Java和C分别代表两种类型的语言 Java…

生成小程序URLlink链接遇到的坑

这里写自定义目录标题 前端生成小程序URL link背景用户打开小程序的常用方法短链接短链接优缺点优点缺点 生成短链接步骤 可能会遇到的问题:其他 注意📢 前端生成小程序URL link ![h5打开小程序](https://img-blog.csdnimg.cn/direct/a4cfe3ef6d184c6d9…

打造微信私域有什么优势?

随着线上竞争愈发激烈,获客成本逐步攀升,越来越多的企业都开始打造属于自己的私域流量池。而作为目前全球拥有超过10亿活跃用户的平台,微信无疑是构建私域的理想选择。那么使用微信来打造私域流量有哪些优势呢? 打造微信私域的优势包括但不…