透明存储加密是指数据在写到磁盘上时对其进行加密,当授权用户重新读取数据时再对其进行解密。加密解密过程对用户都是透明的,无需对应用程序进行修改,授权用户甚至不会注意到数据已经在存储介质上加密。当前的透明加密下只支持表空间加密。

以下所有的用例都是基于KingbaseES V8R6版本进行过测试。

一、配置透明加密

V8R6数据库内置加密算法支持sm4 和rc4,数据库在初始化时通过 -e 选项指定默认透明加密算法。没指定情况下,默认是sm4。

initdb -D data -USYSTEM -e sm4

加载加密库文件

shared_preload_libraries = 'sysencrypt'

打开钱包:创建加密表空间,必须要求钱包打开状态。建表时,wallet 可以是关闭状态,不影响加密使用。Oracle 创建及访问加密表空间的表,要求wallet 必须是打开的。

test=# openup wallet with password "123456" ;

OPEN WALLET

test=# closeup wallet with password "123456" ;

CLOSE WALLET

test=# alter wallet with password "Kingbase";

ALTER WALLET

test=# openup wallet with password "Kingbase" ;

OPEN WALLET

创建加密表空间

test=# CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true);

CREATE TABLESPACE

test=# select * from pg_tablespace;

  oid  |   spcname   | spcowner | spcacl |    spcoptions

-------+-------------+----------+--------+-------------------

  1663 | sys_default |       10 |        |

  1664 | sys_global  |       10 |        |

  1986 | sysaudit    |       10 |        |

 71438 | enc_ts      |       10 |        | {encryption=true}

(4 rows)

二、数据表加密结果验证

1、创建数据表

test=# create table t1_encrypt(id integer) tablespace ENC_TS;

CREATE TABLE

test=# insert into t1_encrypt select generate_series(1,100);

INSERT 0 100

test=# create table t1_noencrypt(id integer);

CREATE TABLE

test=# insert into t1_noencrypt select generate_series(1,100);

INSERT 0 100

test=# select tablename,tablespace from pg_tables where tablename in ('t1_encrypt','t1_noencrypt');

  tablename   | tablespace

--------------+------------

 t1_encrypt   | enc_ts

 t1_noencrypt |

(2 rows)

test=# select relname,reltablespace,relfilenode from pg_class where relname in ('t1_encrypt','t1_noencrypt');

relname | reltablespace | relfilenode

--------------+---------------+-------------

t1_encrypt | 71438 | 71439

t1_noencrypt | 0 | 71442

(2 rows)

2、验证加密结果

非加密表:

[kingbase@dbhost03 ~]$ hexdump -c /data/kbdata/base/61904/71442

0000000  \0  \0  \0  \0 030   )   - 224  \0  \0  \0  \0 250 001 200 023

0000010  \0     004      \0  \0  \0  \0 340 237   8  \0 300 237   8  \0

0000020 240 237   8  \0 200 237   8  \0   ` 237   8  \0   @ 237   8  \0

0000030     237   8  \0  \0 237   8  \0 340 236   8  \0 300 236   8  \0

0000040 240 236   8  \0 200 236   8  \0   ` 236   8  \0   @ 236   8  \0

0000050     236   8  \0  \0 236   8  \0 340 235   8  \0 300 235   8  \0

0000060 240 235   8  \0 200 235   8  \0   ` 235   8  \0   @ 235   8  \0

0000070     235   8  \0  \0 235   8  \0 340 234   8  \0 300 234   8  \0

0000080 240 234   8  \0 200 234   8  \0   ` 234   8  \0   @ 234   8  \0

0000090     234   8  \0  \0 234   8  \0 340 233   8  \0 300 233   8  \0

00000a0 240 233   8  \0 200 233   8  \0   ` 233   8  \0   @ 233   8  \0

00000b0     233   8  \0  \0 233   8  \0 340 232   8  \0 300 232   8  \0

00000c0 240 232   8  \0 200 232   8  \0   ` 232   8  \0   @ 232   8  \0

00000d0     232   8  \0  \0 232   8  \0 340 231   8  \0 300 231   8  \0

00000e0 240 231   8  \0 200 231   8  \0   ` 231   8  \0   @ 231   8  \0

加密表:

[kingbase@dbhost03 61904]$ hexdump -c 71439

0000000  \0  \0  \0  \0   H 345   , 224  \0  \0  \0  \0 250 001 200 023

0000010  \0     004      \0  \0  \0  \0 340 237   8  \0 300 237   8  \0

0000020 030 035   ` 330 221   } 200   v   H   p 334 315 264   -   T

0000030 321   "   ! 333 254 347 331   c 322 306   (   P 373 301 216   \

0000040   p   J   * 270 243 351 331 334 205 035 207 221 322 202   " 355

0000050 270 267   4 312   F   H 355  \n 273   C 004   d   > 267 307 271

0000060   i   B 276   ~   m   o 202 222 317  \b   b   K   1 310 317 213

0000070 250   n 252 277   !   * 322 213   >   X 323 246   V 261 177   ,

0000080 035 364 221   i 267 334 332 342 374   E   y 270   p 373 276   1

0000090 353   j 241 024 216 275 027 243   a 335   *   0 350 301 271 035

00000a0 241 335 250 337   v 305   d   W 262 305 365   W 270   '   3 206

00000b0 301 222   M   F   c   ( 360 035 216 347   `   g   ` 321 220   W

00000c0 243 345   ^ 321   V   : 252 331 274 030 274   ( 301   x 250  \v

结果:加密的表hexdump 结果是加密的。

三、指定表空间加密密钥

创建加密表空间时,可以指定加密密钥。enckey可以不指定,系统默认分配或者申请,若指定,就用这个密钥。

CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true, enckey = 'kb123456');

Note:这个加密密钥对于用户来说是透明的,enckey 是系统内部使用的,实际上没有必要,不建议用户指定。

KingbaseES 表空间加密-透明加密的更多相关文章

  1. Oracle加密表空间进行数据加密的示例

    接上篇:http://www.cnblogs.com/myrunning/p/4292049.html 1查看数据库版本 2查看当前数据库表空间 从这里看到我们此时数据库里没有加密表空间. 3创建加密 ...

  2. MySQL5.7表空间加密

    MySQL5.7开始支持表空间加密了,增强了MySQL的数据文件的安全性,这是一个很不错的一个功能,这个特性默认是没有启用的,要使用这个功能要安装插件keyring_file. 下面就来看看怎么安装, ...

  3. mysql表空间加密 keyring encryption

    从5.7.11开始,mysql开始支持物理表空间的加密,它使用两层加密架构.包括:master key 和 tablespace key master key用于加密tablespace key,加密 ...

  4. 10. InnoDB表空间加密

    10. InnoDB表空间加密 InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密. 详细信息见官方文档

  5. MySQL InnoDB表空间加密

    从 MySQL5.7.11开始,MySQL对InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密.该加密是在引擎内部数据页级别的加密手段,在数据页写入文件系统时加 ...

  6. ORACLE透明加密

    --官网文档:https://www.oracle.com/technetwork/cn/tutorials/tde-096009-zhs.html#t概述Oracle 数据库 10g 第 2 版透明 ...

  7. SqlServer2008数据库透明加密

    前几天研究了一下sql数据库的透明加密,记下来加深一下理解. 用脚本创建文件夹 --查文件夹有没有 EXEC master.dbo.xp_fileexist 'D:\DATA\storedcerts' ...

  8. hadoop 透明加密

    hadoop 透明加密 hadoop 透明加密 kms transparent 2015年04月09日 18:12:20 糖糖_ 阅读数:12248 标签: transparenthadoop kms ...

  9. KingbaseES V8R3集群运维案例之---用户自定义表空间管理

    ​案例说明: KingbaseES 数据库支持用户自定义表空间的创建,并建议表空间的文件存储路径配置到数据库的data目录之外.本案例复现了,当用户自定义表空间存储路径配置到data下时,出现的故障问 ...

随机推荐

  1. JavaScript中用画布canvans做贪吃蛇

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  2. Spring jdbctemplate和事务管理器

    内部bean 对象结构: @Autowiredprivate IAccountService accountService; @Service("accountService")@ ...

  3. UiPath手把手教程

    UiPath下载安装与激活 链接: https://pan.baidu.com/s/1o5Ur-QNTxsnlhi97-losJQ 提取码: 9dmf 复制这段内容后打开百度网盘手机App,操作更方便 ...

  4. UiPath条件判断活动Flow Decision的介绍与使用

    一.Flow Decision介绍 FlowDecision节点是一个条件节点,它根据指定条件是否成立来控制流程的两个分支. 当条件为True时,流程执行一个分支 当条件为False时,流程执行另外一 ...

  5. NC14247 Xorto

    NC14247 Xorto 题目 题目描述 给定一个长度为 \(n\) 的整数数组,问有多少对互不重叠的非空区间,使得两个区间内的数的异或和为 \(0\) . 输入描述 第一行一个数 \(n\) 表示 ...

  6. win10设置Python程序定时运行(设置计划任务)

    今天来设置一下定时执行Pycharm内的脚本: 这个要基于win10 的任务计划程序(设置 > 控制面板 > 系统和安全 > 管理工具 > 任务计划程序) 1. create ...

  7. Throwable类中3个异常处理的方法和finally代码块

    /* Throwable类中定义了3个异常处理的方法 String getMessage() 返回此 throwable 的简短描述. String toString() 返回此 throwable ...

  8. Go 接口:深入内部原理

    接口的基本概念不在这里赘述,详情请看第十六章:接口 nil 非空? package main func main() { var obj interface{} obj = 1 println(obj ...

  9. SP96 SHOP-Shopping 题解

    \(To\) \(SP96\) 这是一道比较简单的 \(bfs\) ,初学者可以锻炼一下自己理解题意和改代码的能力. 题目中有几个细节: \(n\) 和 \(m\) 的输入顺序,应该先输入 \(m\) ...

  10. JAVA定时任务原理入门

    本文适用语言:java 序章:定时任务实现方式 当下,java编码过程中,实现定时任务的方式主要以以下两种为主 spring框架的@Scheduled quzrtz框架 网络上关于这两种框架的实践和配 ...