透明存储加密是指数据在写到磁盘上时对其进行加密,当授权用户重新读取数据时再对其进行解密。加密解密过程对用户都是透明的,无需对应用程序进行修改,授权用户甚至不会注意到数据已经在存储介质上加密。当前的透明加密下只支持表空间加密。

以下所有的用例都是基于KingbaseES V8R6版本进行过测试。

一、配置透明加密

V8R6数据库内置加密算法支持sm4 和rc4,数据库在初始化时通过 -e 选项指定默认透明加密算法。没指定情况下,默认是sm4。

initdb -D data -USYSTEM -e sm4

加载加密库文件

shared_preload_libraries = 'sysencrypt'

打开钱包:创建加密表空间,必须要求钱包打开状态。建表时,wallet 可以是关闭状态,不影响加密使用。Oracle 创建及访问加密表空间的表,要求wallet 必须是打开的。

test=# openup wallet with password "123456" ;

OPEN WALLET

test=# closeup wallet with password "123456" ;

CLOSE WALLET

test=# alter wallet with password "Kingbase";

ALTER WALLET

test=# openup wallet with password "Kingbase" ;

OPEN WALLET

创建加密表空间

test=# CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true);

CREATE TABLESPACE

test=# select * from pg_tablespace;

  oid  |   spcname   | spcowner | spcacl |    spcoptions

-------+-------------+----------+--------+-------------------

  1663 | sys_default |       10 |        |

  1664 | sys_global  |       10 |        |

  1986 | sysaudit    |       10 |        |

 71438 | enc_ts      |       10 |        | {encryption=true}

(4 rows)

二、数据表加密结果验证

1、创建数据表

test=# create table t1_encrypt(id integer) tablespace ENC_TS;

CREATE TABLE

test=# insert into t1_encrypt select generate_series(1,100);

INSERT 0 100

test=# create table t1_noencrypt(id integer);

CREATE TABLE

test=# insert into t1_noencrypt select generate_series(1,100);

INSERT 0 100

test=# select tablename,tablespace from pg_tables where tablename in ('t1_encrypt','t1_noencrypt');

  tablename   | tablespace

--------------+------------

 t1_encrypt   | enc_ts

 t1_noencrypt |

(2 rows)

test=# select relname,reltablespace,relfilenode from pg_class where relname in ('t1_encrypt','t1_noencrypt');

relname | reltablespace | relfilenode

--------------+---------------+-------------

t1_encrypt | 71438 | 71439

t1_noencrypt | 0 | 71442

(2 rows)

2、验证加密结果

非加密表:

[kingbase@dbhost03 ~]$ hexdump -c /data/kbdata/base/61904/71442

0000000  \0  \0  \0  \0 030   )   - 224  \0  \0  \0  \0 250 001 200 023

0000010  \0     004      \0  \0  \0  \0 340 237   8  \0 300 237   8  \0

0000020 240 237   8  \0 200 237   8  \0   ` 237   8  \0   @ 237   8  \0

0000030     237   8  \0  \0 237   8  \0 340 236   8  \0 300 236   8  \0

0000040 240 236   8  \0 200 236   8  \0   ` 236   8  \0   @ 236   8  \0

0000050     236   8  \0  \0 236   8  \0 340 235   8  \0 300 235   8  \0

0000060 240 235   8  \0 200 235   8  \0   ` 235   8  \0   @ 235   8  \0

0000070     235   8  \0  \0 235   8  \0 340 234   8  \0 300 234   8  \0

0000080 240 234   8  \0 200 234   8  \0   ` 234   8  \0   @ 234   8  \0

0000090     234   8  \0  \0 234   8  \0 340 233   8  \0 300 233   8  \0

00000a0 240 233   8  \0 200 233   8  \0   ` 233   8  \0   @ 233   8  \0

00000b0     233   8  \0  \0 233   8  \0 340 232   8  \0 300 232   8  \0

00000c0 240 232   8  \0 200 232   8  \0   ` 232   8  \0   @ 232   8  \0

00000d0     232   8  \0  \0 232   8  \0 340 231   8  \0 300 231   8  \0

00000e0 240 231   8  \0 200 231   8  \0   ` 231   8  \0   @ 231   8  \0

加密表:

[kingbase@dbhost03 61904]$ hexdump -c 71439

0000000  \0  \0  \0  \0   H 345   , 224  \0  \0  \0  \0 250 001 200 023

0000010  \0     004      \0  \0  \0  \0 340 237   8  \0 300 237   8  \0

0000020 030 035   ` 330 221   } 200   v   H   p 334 315 264   -   T

0000030 321   "   ! 333 254 347 331   c 322 306   (   P 373 301 216   \

0000040   p   J   * 270 243 351 331 334 205 035 207 221 322 202   " 355

0000050 270 267   4 312   F   H 355  \n 273   C 004   d   > 267 307 271

0000060   i   B 276   ~   m   o 202 222 317  \b   b   K   1 310 317 213

0000070 250   n 252 277   !   * 322 213   >   X 323 246   V 261 177   ,

0000080 035 364 221   i 267 334 332 342 374   E   y 270   p 373 276   1

0000090 353   j 241 024 216 275 027 243   a 335   *   0 350 301 271 035

00000a0 241 335 250 337   v 305   d   W 262 305 365   W 270   '   3 206

00000b0 301 222   M   F   c   ( 360 035 216 347   `   g   ` 321 220   W

00000c0 243 345   ^ 321   V   : 252 331 274 030 274   ( 301   x 250  \v

结果:加密的表hexdump 结果是加密的。

三、指定表空间加密密钥

创建加密表空间时,可以指定加密密钥。enckey可以不指定,系统默认分配或者申请,若指定,就用这个密钥。

CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true, enckey = 'kb123456');

Note:这个加密密钥对于用户来说是透明的,enckey 是系统内部使用的,实际上没有必要,不建议用户指定。

KingbaseES 表空间加密-透明加密的更多相关文章

  1. Oracle加密表空间进行数据加密的示例

    接上篇:http://www.cnblogs.com/myrunning/p/4292049.html 1查看数据库版本 2查看当前数据库表空间 从这里看到我们此时数据库里没有加密表空间. 3创建加密 ...

  2. MySQL5.7表空间加密

    MySQL5.7开始支持表空间加密了,增强了MySQL的数据文件的安全性,这是一个很不错的一个功能,这个特性默认是没有启用的,要使用这个功能要安装插件keyring_file. 下面就来看看怎么安装, ...

  3. mysql表空间加密 keyring encryption

    从5.7.11开始,mysql开始支持物理表空间的加密,它使用两层加密架构.包括:master key 和 tablespace key master key用于加密tablespace key,加密 ...

  4. 10. InnoDB表空间加密

    10. InnoDB表空间加密 InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密. 详细信息见官方文档

  5. MySQL InnoDB表空间加密

    从 MySQL5.7.11开始,MySQL对InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密.该加密是在引擎内部数据页级别的加密手段,在数据页写入文件系统时加 ...

  6. ORACLE透明加密

    --官网文档:https://www.oracle.com/technetwork/cn/tutorials/tde-096009-zhs.html#t概述Oracle 数据库 10g 第 2 版透明 ...

  7. SqlServer2008数据库透明加密

    前几天研究了一下sql数据库的透明加密,记下来加深一下理解. 用脚本创建文件夹 --查文件夹有没有 EXEC master.dbo.xp_fileexist 'D:\DATA\storedcerts' ...

  8. hadoop 透明加密

    hadoop 透明加密 hadoop 透明加密 kms transparent 2015年04月09日 18:12:20 糖糖_ 阅读数:12248 标签: transparenthadoop kms ...

  9. KingbaseES V8R3集群运维案例之---用户自定义表空间管理

    ​案例说明: KingbaseES 数据库支持用户自定义表空间的创建,并建议表空间的文件存储路径配置到数据库的data目录之外.本案例复现了,当用户自定义表空间存储路径配置到data下时,出现的故障问 ...

随机推荐

  1. python+requests+yaml实现接口自动化用例(二)---升级版

    一.前言:前面一段时间封装的接口自动化测试框架用了一段时间发现还是有很多弊端的,目前又改良了一下,可以说整体思路全都推翻了,功能比之前强大许多,有兴趣的可以私信我单独交流,希望共同学习进步! 二.项目 ...

  2. this关键字、static关键字、方法的调用

    1.带有static关键字的方法,不可使用this关键字.因为其调用方法为类名.方法名(建议这种方式,调用不需要对象的参与),不存在对象. 2.实例方法调用必须有对象的存在,先创建对象,通过引用.的方 ...

  3. Jenkins+Svn+Docker搭建持续集成环境 自动部署

    一.准备工作: 两台服务器:192.168.206.212,192.168.206.213 自己新建一个maven项目 其中两台机子做下面的软件配置 212机子: 安装expect并配置: 安装jen ...

  4. 使用Scrcpy投屏

    下载Scrcpy: https://wwt.lanzouw.com/iAzie07bz85c官网地址: https://github.com/Genymobile/scrcpy 记录当前下载位置: 手 ...

  5. 详解SQL中Groupings Sets 语句的功能和底层实现逻辑

    摘要:本文首先简单介绍 Grouping Sets 的用法,然后以 Spark SQL 作为切入点,深入解析 Grouping Sets 的实现机制. 本文分享自华为云社区<深入理解 SQL 中 ...

  6. 初识Java GUI

    1. 使用Java  Swing 显示的窗口如下 在原有代码基础上添加代码实现对窗口大小 标题等信息

  7. 2019 CSP-S 初赛解析

    因为我不会设置用博客园显示Markdown语法,所以在洛谷也写了一份:传送门 一起讨论的这套卷.题干 然后还有一些可以借鉴一下的解析 选择: T1. 注意运算顺序: a%3=1 --> (int ...

  8. 【ASP.NET Core】自定义的配置源

    本文的主题是简单说说如何实现 IConfigurationSource.IConfigurationProvider 接口来自定义一个配置信息的来源,后面老周给的示例是实现用 CSV 文件进行应用配置 ...

  9. logback-spring 集成 ELK、kafka的配置

    pom.xml <dependency> <groupId>com.github.danielwegener</groupId> <artifactId> ...

  10. vue-pdf结合alloyfinger手势缩放旋转上下翻页pdf文件

    1. demo线上链接 vuepdf在线demo 2. demo图: 3. 话不多说,上代码: 安装vue-pdf插件: npm i vue-pdf 安装vue-pdf报错catch的可以看我这篇文章 ...