透明存储加密是指数据在写到磁盘上时对其进行加密,当授权用户重新读取数据时再对其进行解密。加密解密过程对用户都是透明的,无需对应用程序进行修改,授权用户甚至不会注意到数据已经在存储介质上加密。当前的透明加密下只支持表空间加密。

以下所有的用例都是基于KingbaseES V8R6版本进行过测试。

一、配置透明加密

V8R6数据库内置加密算法支持sm4 和rc4,数据库在初始化时通过 -e 选项指定默认透明加密算法。没指定情况下,默认是sm4。

initdb -D data -USYSTEM -e sm4

加载加密库文件

shared_preload_libraries = 'sysencrypt'

打开钱包:创建加密表空间,必须要求钱包打开状态。建表时,wallet 可以是关闭状态,不影响加密使用。Oracle 创建及访问加密表空间的表,要求wallet 必须是打开的。

test=# openup wallet with password "123456" ;

OPEN WALLET

test=# closeup wallet with password "123456" ;

CLOSE WALLET

test=# alter wallet with password "Kingbase";

ALTER WALLET

test=# openup wallet with password "Kingbase" ;

OPEN WALLET

创建加密表空间

test=# CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true);

CREATE TABLESPACE

test=# select * from pg_tablespace;

  oid  |   spcname   | spcowner | spcacl |    spcoptions

-------+-------------+----------+--------+-------------------

  1663 | sys_default |       10 |        |

  1664 | sys_global  |       10 |        |

  1986 | sysaudit    |       10 |        |

 71438 | enc_ts      |       10 |        | {encryption=true}

(4 rows)

二、数据表加密结果验证

1、创建数据表

test=# create table t1_encrypt(id integer) tablespace ENC_TS;

CREATE TABLE

test=# insert into t1_encrypt select generate_series(1,100);

INSERT 0 100

test=# create table t1_noencrypt(id integer);

CREATE TABLE

test=# insert into t1_noencrypt select generate_series(1,100);

INSERT 0 100

test=# select tablename,tablespace from pg_tables where tablename in ('t1_encrypt','t1_noencrypt');

  tablename   | tablespace

--------------+------------

 t1_encrypt   | enc_ts

 t1_noencrypt |

(2 rows)

test=# select relname,reltablespace,relfilenode from pg_class where relname in ('t1_encrypt','t1_noencrypt');

relname | reltablespace | relfilenode

--------------+---------------+-------------

t1_encrypt | 71438 | 71439

t1_noencrypt | 0 | 71442

(2 rows)

2、验证加密结果

非加密表:

[kingbase@dbhost03 ~]$ hexdump -c /data/kbdata/base/61904/71442

0000000  \0  \0  \0  \0 030   )   - 224  \0  \0  \0  \0 250 001 200 023

0000010  \0     004      \0  \0  \0  \0 340 237   8  \0 300 237   8  \0

0000020 240 237   8  \0 200 237   8  \0   ` 237   8  \0   @ 237   8  \0

0000030     237   8  \0  \0 237   8  \0 340 236   8  \0 300 236   8  \0

0000040 240 236   8  \0 200 236   8  \0   ` 236   8  \0   @ 236   8  \0

0000050     236   8  \0  \0 236   8  \0 340 235   8  \0 300 235   8  \0

0000060 240 235   8  \0 200 235   8  \0   ` 235   8  \0   @ 235   8  \0

0000070     235   8  \0  \0 235   8  \0 340 234   8  \0 300 234   8  \0

0000080 240 234   8  \0 200 234   8  \0   ` 234   8  \0   @ 234   8  \0

0000090     234   8  \0  \0 234   8  \0 340 233   8  \0 300 233   8  \0

00000a0 240 233   8  \0 200 233   8  \0   ` 233   8  \0   @ 233   8  \0

00000b0     233   8  \0  \0 233   8  \0 340 232   8  \0 300 232   8  \0

00000c0 240 232   8  \0 200 232   8  \0   ` 232   8  \0   @ 232   8  \0

00000d0     232   8  \0  \0 232   8  \0 340 231   8  \0 300 231   8  \0

00000e0 240 231   8  \0 200 231   8  \0   ` 231   8  \0   @ 231   8  \0

加密表:

[kingbase@dbhost03 61904]$ hexdump -c 71439

0000000  \0  \0  \0  \0   H 345   , 224  \0  \0  \0  \0 250 001 200 023

0000010  \0     004      \0  \0  \0  \0 340 237   8  \0 300 237   8  \0

0000020 030 035   ` 330 221   } 200   v   H   p 334 315 264   -   T

0000030 321   "   ! 333 254 347 331   c 322 306   (   P 373 301 216   \

0000040   p   J   * 270 243 351 331 334 205 035 207 221 322 202   " 355

0000050 270 267   4 312   F   H 355  \n 273   C 004   d   > 267 307 271

0000060   i   B 276   ~   m   o 202 222 317  \b   b   K   1 310 317 213

0000070 250   n 252 277   !   * 322 213   >   X 323 246   V 261 177   ,

0000080 035 364 221   i 267 334 332 342 374   E   y 270   p 373 276   1

0000090 353   j 241 024 216 275 027 243   a 335   *   0 350 301 271 035

00000a0 241 335 250 337   v 305   d   W 262 305 365   W 270   '   3 206

00000b0 301 222   M   F   c   ( 360 035 216 347   `   g   ` 321 220   W

00000c0 243 345   ^ 321   V   : 252 331 274 030 274   ( 301   x 250  \v

结果:加密的表hexdump 结果是加密的。

三、指定表空间加密密钥

创建加密表空间时,可以指定加密密钥。enckey可以不指定,系统默认分配或者申请,若指定,就用这个密钥。

CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true, enckey = 'kb123456');

Note:这个加密密钥对于用户来说是透明的,enckey 是系统内部使用的,实际上没有必要,不建议用户指定。

KingbaseES 表空间加密-透明加密的更多相关文章

  1. Oracle加密表空间进行数据加密的示例

    接上篇:http://www.cnblogs.com/myrunning/p/4292049.html 1查看数据库版本 2查看当前数据库表空间 从这里看到我们此时数据库里没有加密表空间. 3创建加密 ...

  2. MySQL5.7表空间加密

    MySQL5.7开始支持表空间加密了,增强了MySQL的数据文件的安全性,这是一个很不错的一个功能,这个特性默认是没有启用的,要使用这个功能要安装插件keyring_file. 下面就来看看怎么安装, ...

  3. mysql表空间加密 keyring encryption

    从5.7.11开始,mysql开始支持物理表空间的加密,它使用两层加密架构.包括:master key 和 tablespace key master key用于加密tablespace key,加密 ...

  4. 10. InnoDB表空间加密

    10. InnoDB表空间加密 InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密. 详细信息见官方文档

  5. MySQL InnoDB表空间加密

    从 MySQL5.7.11开始,MySQL对InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密.该加密是在引擎内部数据页级别的加密手段,在数据页写入文件系统时加 ...

  6. ORACLE透明加密

    --官网文档:https://www.oracle.com/technetwork/cn/tutorials/tde-096009-zhs.html#t概述Oracle 数据库 10g 第 2 版透明 ...

  7. SqlServer2008数据库透明加密

    前几天研究了一下sql数据库的透明加密,记下来加深一下理解. 用脚本创建文件夹 --查文件夹有没有 EXEC master.dbo.xp_fileexist 'D:\DATA\storedcerts' ...

  8. hadoop 透明加密

    hadoop 透明加密 hadoop 透明加密 kms transparent 2015年04月09日 18:12:20 糖糖_ 阅读数:12248 标签: transparenthadoop kms ...

  9. KingbaseES V8R3集群运维案例之---用户自定义表空间管理

    ​案例说明: KingbaseES 数据库支持用户自定义表空间的创建,并建议表空间的文件存储路径配置到数据库的data目录之外.本案例复现了,当用户自定义表空间存储路径配置到data下时,出现的故障问 ...

随机推荐

  1. Sublime Text 新建代码片段(图解)

    新建代码片段 1.打开NEW Snippet- 2.编辑代码片段 3.设置快捷键,按tab键执行 更多内容请见原文,原文转载自:https://blog.csdn.net/weixin_4451949 ...

  2. cve-2021-42287和cve-2021-42278漏洞复现

    一.漏洞概述 cve-2021-42287 : 由于Active Directory没有对域中计算机与服务器账号进行验证,经过身份验证的攻击 者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理 ...

  3. ansible变量引用

    1. 在/etc/ansible/hosts默认文件中定义变量 [test] 192.168.163.130 #[test:vars] #key=ansible 或者 192.168.163.130 ...

  4. Java开发问题:Column 'AAA' in where clause is ambiguous解决办法

    当在java开发中遇到了Column 'AAA' in where clause is ambiguous问题时, 你需要去看看:多表查询的时候不同的表是否出现了相同名称相同的列, 如果存在,你需要在 ...

  5. Tapdata 的 2.0 版 ,开源的 Live Data Platform 现已发布

    https://www.bilibili.com/video/BV1tT411g7PA/?aid=470724972&cid=766317673&page=1 点击上方链接,一分钟快速 ...

  6. Elasticsearch深度应用(上)

    索引文档写入和近实时搜索原理 基本概念 Segments in Lucene 众所周知,Elasticsearch存储的基本单元是shard,ES种一个index可能分为多个shard,事实上每个sh ...

  7. JetBrains系列软件激活

    1.将以下记录加入hosts文件 0.0.0.0 account.jetbrains.com0.0.0.0 www.jetbrains.com 2.激活方式选择licence server,填写以下激 ...

  8. Ubuntu 隐藏所有窗口快捷键不生效问题

    在绑定界面卡住时,切换到一个tty窗口,再切回来 gsettings reset-recursively org.gnome.settings-daemon.plugins.media-keys gs ...

  9. 002 Redis使用及API

    Redis的使用及相关API 1.作用: 提高查询效率 一定程度上可以减轻数据库服务器的冲击压力,从而保护了数据库 //1.是否包含key redisTemplate.hasKey(key) //2. ...

  10. PostgreSQL下的SQL Shell(psql)工具

    首发微信公众号:SQL数据库运维 原文链接:https://mp.weixin.qq.com/s?__biz=MzI1NTQyNzg3MQ==&mid=2247485130&idx=1 ...