KingbaseES 表空间加密-透明加密
透明存储加密是指数据在写到磁盘上时对其进行加密,当授权用户重新读取数据时再对其进行解密。加密解密过程对用户都是透明的,无需对应用程序进行修改,授权用户甚至不会注意到数据已经在存储介质上加密。当前的透明加密下只支持表空间加密。
以下所有的用例都是基于KingbaseES V8R6版本进行过测试。
一、配置透明加密
V8R6数据库内置加密算法支持sm4 和rc4,数据库在初始化时通过 -e 选项指定默认透明加密算法。没指定情况下,默认是sm4。
initdb -D data -USYSTEM -e sm4
加载加密库文件
shared_preload_libraries = 'sysencrypt'
打开钱包:创建加密表空间,必须要求钱包打开状态。建表时,wallet 可以是关闭状态,不影响加密使用。Oracle 创建及访问加密表空间的表,要求wallet 必须是打开的。
test=# openup wallet with password "123456" ;
OPEN WALLET
test=# closeup wallet with password "123456" ;
CLOSE WALLET
test=# alter wallet with password "Kingbase";
ALTER WALLET
test=# openup wallet with password "Kingbase" ;
OPEN WALLET
创建加密表空间
test=# CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true);
CREATE TABLESPACE
test=# select * from pg_tablespace;
oid | spcname | spcowner | spcacl | spcoptions
-------+-------------+----------+--------+-------------------
1663 | sys_default | 10 | |
1664 | sys_global | 10 | |
1986 | sysaudit | 10 | |
71438 | enc_ts | 10 | | {encryption=true}
(4 rows)
二、数据表加密结果验证
1、创建数据表
test=# create table t1_encrypt(id integer) tablespace ENC_TS;
CREATE TABLE
test=# insert into t1_encrypt select generate_series(1,100);
INSERT 0 100
test=# create table t1_noencrypt(id integer);
CREATE TABLE
test=# insert into t1_noencrypt select generate_series(1,100);
INSERT 0 100 test=# select tablename,tablespace from pg_tables where tablename in ('t1_encrypt','t1_noencrypt');
tablename | tablespace
--------------+------------
t1_encrypt | enc_ts
t1_noencrypt |
(2 rows) test=# select relname,reltablespace,relfilenode from pg_class where relname in ('t1_encrypt','t1_noencrypt');
relname | reltablespace | relfilenode
--------------+---------------+-------------
t1_encrypt | 71438 | 71439
t1_noencrypt | 0 | 71442
(2 rows)
2、验证加密结果
非加密表:
[kingbase@dbhost03 ~]$ hexdump -c /data/kbdata/base/61904/71442
0000000 \0 \0 \0 \0 030 ) - 224 \0 \0 \0 \0 250 001 200 023
0000010 \0 004 \0 \0 \0 \0 340 237 8 \0 300 237 8 \0
0000020 240 237 8 \0 200 237 8 \0 ` 237 8 \0 @ 237 8 \0
0000030 237 8 \0 \0 237 8 \0 340 236 8 \0 300 236 8 \0
0000040 240 236 8 \0 200 236 8 \0 ` 236 8 \0 @ 236 8 \0
0000050 236 8 \0 \0 236 8 \0 340 235 8 \0 300 235 8 \0
0000060 240 235 8 \0 200 235 8 \0 ` 235 8 \0 @ 235 8 \0
0000070 235 8 \0 \0 235 8 \0 340 234 8 \0 300 234 8 \0
0000080 240 234 8 \0 200 234 8 \0 ` 234 8 \0 @ 234 8 \0
0000090 234 8 \0 \0 234 8 \0 340 233 8 \0 300 233 8 \0
00000a0 240 233 8 \0 200 233 8 \0 ` 233 8 \0 @ 233 8 \0
00000b0 233 8 \0 \0 233 8 \0 340 232 8 \0 300 232 8 \0
00000c0 240 232 8 \0 200 232 8 \0 ` 232 8 \0 @ 232 8 \0
00000d0 232 8 \0 \0 232 8 \0 340 231 8 \0 300 231 8 \0
00000e0 240 231 8 \0 200 231 8 \0 ` 231 8 \0 @ 231 8 \0
加密表:
[kingbase@dbhost03 61904]$ hexdump -c 71439
0000000 \0 \0 \0 \0 H 345 , 224 \0 \0 \0 \0 250 001 200 023
0000010 \0 004 \0 \0 \0 \0 340 237 8 \0 300 237 8 \0
0000020 030 035 ` 330 221 } 200 v H p 334 315 264 - T
0000030 321 " ! 333 254 347 331 c 322 306 ( P 373 301 216 \
0000040 p J * 270 243 351 331 334 205 035 207 221 322 202 " 355
0000050 270 267 4 312 F H 355 \n 273 C 004 d > 267 307 271
0000060 i B 276 ~ m o 202 222 317 \b b K 1 310 317 213
0000070 250 n 252 277 ! * 322 213 > X 323 246 V 261 177 ,
0000080 035 364 221 i 267 334 332 342 374 E y 270 p 373 276 1
0000090 353 j 241 024 216 275 027 243 a 335 * 0 350 301 271 035
00000a0 241 335 250 337 v 305 d W 262 305 365 W 270 ' 3 206
00000b0 301 222 M F c ( 360 035 216 347 ` g ` 321 220 W
00000c0 243 345 ^ 321 V : 252 331 274 030 274 ( 301 x 250 \v
结果:加密的表hexdump 结果是加密的。
三、指定表空间加密密钥
创建加密表空间时,可以指定加密密钥。enckey可以不指定,系统默认分配或者申请,若指定,就用这个密钥。
CREATE TABLESPACE ENC_TS LOCATION '/data/tbs01' with (encryption = true, enckey = 'kb123456');
Note:这个加密密钥对于用户来说是透明的,enckey 是系统内部使用的,实际上没有必要,不建议用户指定。
KingbaseES 表空间加密-透明加密的更多相关文章
- Oracle加密表空间进行数据加密的示例
接上篇:http://www.cnblogs.com/myrunning/p/4292049.html 1查看数据库版本 2查看当前数据库表空间 从这里看到我们此时数据库里没有加密表空间. 3创建加密 ...
- MySQL5.7表空间加密
MySQL5.7开始支持表空间加密了,增强了MySQL的数据文件的安全性,这是一个很不错的一个功能,这个特性默认是没有启用的,要使用这个功能要安装插件keyring_file. 下面就来看看怎么安装, ...
- mysql表空间加密 keyring encryption
从5.7.11开始,mysql开始支持物理表空间的加密,它使用两层加密架构.包括:master key 和 tablespace key master key用于加密tablespace key,加密 ...
- 10. InnoDB表空间加密
10. InnoDB表空间加密 InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密. 详细信息见官方文档
- MySQL InnoDB表空间加密
从 MySQL5.7.11开始,MySQL对InnoDB支持存储在单独表空间中的表的数据加密 .此功能为物理表空间数据文件提供静态加密.该加密是在引擎内部数据页级别的加密手段,在数据页写入文件系统时加 ...
- ORACLE透明加密
--官网文档:https://www.oracle.com/technetwork/cn/tutorials/tde-096009-zhs.html#t概述Oracle 数据库 10g 第 2 版透明 ...
- SqlServer2008数据库透明加密
前几天研究了一下sql数据库的透明加密,记下来加深一下理解. 用脚本创建文件夹 --查文件夹有没有 EXEC master.dbo.xp_fileexist 'D:\DATA\storedcerts' ...
- hadoop 透明加密
hadoop 透明加密 hadoop 透明加密 kms transparent 2015年04月09日 18:12:20 糖糖_ 阅读数:12248 标签: transparenthadoop kms ...
- KingbaseES V8R3集群运维案例之---用户自定义表空间管理
案例说明: KingbaseES 数据库支持用户自定义表空间的创建,并建议表空间的文件存储路径配置到数据库的data目录之外.本案例复现了,当用户自定义表空间存储路径配置到data下时,出现的故障问 ...
随机推荐
- Rabbimtq消息传递对象
对象序列化即可.
- vue2.0 双向绑定原理分析及简单实现
Vue用了有一段时间了,每当有人问到Vue双向绑定是怎么回事的时候,总是不能给大家解释的很清楚,正好最近有时间把它梳理一下,让自己理解的更清楚,下次有人问我的时候,可以侃侃而谈. 一.首先介绍Obje ...
- 揭开周获 18k star 开源项目的神秘面纱「GitHub 热点速览 v.22.28」
本周 GitHub Trending 的项目重量十足,比如标题的一周获得 18k+ 的高性能 JS Runtime--bun,用性能来体现了它的"含金量".同样有重量的还有一行代码 ...
- C++记录一
题目一: [描述] 比较两个整数之间的大于.小于.等于.不等于关系. [输入] 输入在一行中给出2个整数a和b. [输出] 分行输出整数a和b之间的大于.小于.等于.不等于关系. [输入示例] 5 3 ...
- mybatis collection解析以及和association的区别
1.collection标签 说到mybatis的collection标签,我们肯定不陌生,可以通过它解决一对多的映射问题,举个例子一个用户对应多个系统权限,通过对用户表和权限表的关联查询我们可以得到 ...
- java使用配置skywalking
一 .elasticsearch 和elasticsearch-head 1.下载 elasticsearch-6.3.1 ,下载地址 :https://pan.baidu.com/s/1ymxy ...
- day03 Java_运算符_分支结构
列表: 运算符的练习:算术.关系.逻辑.赋值.字符串连接.条件 分支结构的练习:if结构 分支结构的练习:if...else结构 参考 运算符的练习:算术 输出几个整数取模,验证结果 声明两个整型变量 ...
- dijkstra最短路算法(堆优化)
这个算法不能处理负边情况,有负边,请转到Floyd算法或SPFA算法(SPFA不能处理负环,但能判断负环) SPFA(SLF优化):https://www.cnblogs.com/yifan0305/ ...
- springmvc源码笔记-HandlerMapping注入
在springmvc中,如何根据url找到controller以及对应方法,依赖的是HandlerMapping接口的getHandler方法 在spring容器中默认注册的HandlerMappin ...
- Nmap 操作手册 - 完整版
目录 Nmap - 基础篇 Nmap 安装 RedHat Windows Debina & Ubuntu Others Linux Nmap 参数(简单版) 目标说明 主机发现 扫描技术 端口 ...