首页 > 其他分享 >KingbaseES V8R6 表空间加密

KingbaseES V8R6 表空间加密

时间:2023-06-06 15:47:43浏览次数:35  
标签:ENC 加密 V8R6 默认 sys TEST 空间 KingbaseES

透明存储加密优势

透明存储加密可确保加密敏感数据满足合规性要求,并提供简化加密操作的功能,优势如下:

  • 作为安全管理员,您可以确保敏感数据已加密,因此在存储介质或数据文件被盗或入侵者试图从操作系统访问数据文件时,绕过访问控制数据库。
  • 使用透明存储加密可帮助您解决与安全相关的法规遵从性问题。
  • 您无需创建辅助表、触发器或视图来为授权用户或应用程序解密数据。处理敏感数据的应用程序可以使用透明存储加密提供强大的数据加密,而无需修改应用程序。
  • 对于访问该数据的数据库用户和应用程序,数据被透明地解密。数据库用户和应用程序不需要知道他们正在访问的数据是以加密形式存储的。
  • 透明存储加密可以在线进行,无需停止数据库服务。
  • 数据库系统自动维护密钥管理,用户或应用程序不需要管理加密密钥。

注意的是表空间加密方式和表加密方式是互斥的,同一加密对象不允许同时支持这两种加密方式。

开启透明存储加密

修改 kingbase.conf 文件中 shared_preload_libraries 参数。
shared_preload_libraries = 'sysencrypt'
重启数据库服务

新建数据库需要安装扩展
CREATE EXTENSION sysencrypt;

还需要打开钱包功能:
打开钱包:
OPENUP WALLET WITH PASSWORD “654321”;
关闭钱包:
CLOSEUP WALLET WITH PASSWORD “654321”;

表空间加密

1、关于表空间加密功能
表空间加密能够加密表空间中存储的所有数据。表空间加密在读取和写入操作期间对数据进行加密或解密。
块加密是在数据页面需要同步到外存时进行加密操作;从外存读取数据页面到缓冲区时,首先进行解密操作。内存中的数据都是解密后的数据。当数据从内存落盘时进行加密。

2、表空间加密的限制
表空间是对整个表空间数据加密,所以不受表加密的相关限制,对数据类型、约束和索引都没有要求。

3、表空间加密的系统参数
设置sysencrypt.encrypt_user_tablespace参数,可以指定是否默认对创建的用户表空间加密,默认为false。

4、表空间加密的使用
创建表空间加密
需要在表空间的定义最后加上encrypted关键字,如下所示:

CREATE TABLESPACE tablesspacename LOCATION '@tablespace@' with(encryption = true[, enckey = encryptkey]);

encryption
标识当前表空间是否为加密表空间,true为是,false为否。

enckey
用户自定义的表空间加密密钥,最大有效长度16字节,超出长度会被截断。默认不指定。使用数据库自生成秘钥加密表空间。

TABLESPACE tablespace_name
tablespace_name 是新表要创建于其中的表空间名称。如果没有指定,将参考default_tablespace,如果表是临时的则参考temp_tablespaces。

测试

1、不指定加密表空间,使用默认创建表空间,用户不指定密钥:
CREATE TABLESPACE ENC_TS_KEY_TEST LOCATION '/home/kingbase7/spce'  with(encryption = true);

设置加密表空间为默认表空间
set default_tablespace=ENC_TS_KEY_TEST;

创建表和索引,不指定加密表空间
CREATE TABLE TEST_ENC_NOKEY(ID INT, NAME VARCHAR(100)) ;
CREATE INDEX INDEX_ENC ON TEST_ENC_NOKEY(ID);

插入数据,查看表文件
INSERT INTO TEST_ENC_NOKEY VALUES(GENERATE_SERIES(1, 10000), 'KINGBASE');
CHECKPOINT;

select sys_relation_filepath('TEST_ENC_NOKEY');
             sys_relation_filepath
-----------------------------------------------
 sys_tblspc/41144/SYS_12_202209081/12145/41145
(1 row)

查看数据文件已经无法显示完整的字符,说明表TEST_ENC_NOKEY已经被加密了。
hexdump -c  41145 |grep k

2、指定加密表空间设置默认表空间为空
TEST=# set default_tablespace ='';
SET

再继续创建一张表不指定表空间,插入数据并查看,
CREATE TABLE TEST_ENC (ID INT, NAME VARCHAR(100)) ;
INSERT INTO TEST_ENC VALUES(GENERATE_SERIES(1, 100), 'KINGBASE');
CHECKPOINT;

select sys_relation_filepath('TEST_ENC');
 sys_relation_filepath
-----------------------
 base/12145/41149
(1 row)
hexdump -c 41149 |grep k
输出结果可以看到完整的字符串KINGBASE,说明表没有被加密。
没有加密的原因是,取消了默认表空间为加密表空间。

下面再测试一下,指定创建表的表空间为加密表空间
CREATE TABLE TEST_ENC_T (ID INT, NAME VARCHAR(100)) TABLESPACE ENC_TS_KEY_TEST;
INSERT INTO TEST_ENC_T VALUES(GENERATE_SERIES(1, 100), 'KINGBASE')  ;
CHECKPOINT;

select sys_relation_filepath('TEST_ENC_T');
TEST=# select sys_relation_filepath('TEST_ENC_T');
             sys_relation_filepath
-----------------------------------------------
 sys_tblspc/41144/SYS_12_202209081/12145/41152
(1 row)

hexdump -c 41152 |grep k
输出结果看,没有完整的字符串表现出表中数据,说明表已经被加密,所以,如果没有设置默认表空间为加密表空间,创建表时候需要指定表空间为加密表空间。

总结

加密表空间可以设置为默认表空间,之后在其下创建的表默认就是加密状态。
如果没开启默认表空间为加密表空间参数default_tablespace,创建表时需要指定表空间为加密表空间。

标签:ENC,加密,V8R6,默认,sys,TEST,空间,KingbaseES
From: https://www.cnblogs.com/kingbase/p/17173032.html

相关文章

  • KingbaseESV8R6 heap table末端垃圾页回收机制
    前言默认情况下,vacuum表不能释放磁盘空间,只是在deadtuple做个标记位,但heaptable末端的垃圾页可以被truncate,从磁盘中释放空间。例如表的末尾的100个数据块里面全是垃圾,那么这100个数据块可以truncate阶段,文件也会变小。而位于其他位置的垃圾页,不能回收,因为会影响寻址(ctid)的变化......
  • KingbaseES V8R6 几种不同的表复制方式
    前言当数据库遇到未知问题,有时候无法入手分析,在非生产数据库或者征得客户同意获得特殊时间,需要重建表解决,下面提供了多种不同的复制表的方法,我们了解一下他们的差异。测试1、CREATETABLEASSELECT语句用于复制表结构和数据,但是不会复制索引。我们可以使用以下语句基于t1......
  • KingbaseES V8R6集群运维案例--主库PITR恢复后备库无法连接到集群
    案例说明:KingbaseESV8R6集群,在主库执行PITR恢复后,clone备库;但是启动集群后,备库无法连接到主库,流复制状态和集群节点状态异常。适用版本:KingbaseESV8R6一、问题现象如下图所示,集群备库节点状态和流复制异常:二、问题分析1、检查备库数据库服务状态如下图所示,sys_log日......
  • 【C#】加密算法
    一、理论1、https://zhuanlan.zhihu.com/p/4465815752、几种常用的加密方式 二、Aes加密“指定的密钥对此算法无效”建议您通过在AES类中使用LegalKeySizesproperty来检查密钥的有效大小。有效密钥大小由特定的对称算法实现指定,并在LegalKeySizes属性中列出。varkey......
  • 非对称加密DH算法,DH代码实现
    RSA算法原理(一)[url]http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html[/url]RSA算法原理(二)[url]http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html[/url]1976年,两位美国计算机学家WhitfieldDiffie和MartinHellma......
  • PHP加密解密代码
    [color=red][b]PHP加密解密字符串[/b][/color][url]http://www.helloweba.com/view-blog-255.html[/url],[b][size=large][color=red]这个很不错.[/color][/size][/b][color=red][b]一组PHP可逆加密解密算法[/b][/color][url]http://www.phper.org.cn/ind......
  • Groovy 基于Groovy实现MD5加密
    groovy3.0.7代码实现实现方式1importjava.security.MessageDigest;publicclassMD5Utils{ publicfinalstaticStringMD5(Strings){ char[]hexChars=['0','1','2','3','4','5','6',�......
  • tink google 加密安全实践的框架
    tink是google多年加密实践的框架,提供了安全的加密处理方法,可以简化不少我们的加密处理参考使用publicstaticvoidmain(String[]args)throwsGeneralSecurityException,IOException{AeadConfig.register();//1.Generatethekeymateri......
  • 《加密与解密》- 第一章 - 基础知识 - 笔记
    (纠正了书中一些不正确的地方,如P11中2**64bytes等于16TB已修改为16EB)1.1什么是加密与解密1.1.1软件的加密与解密略1.1.2软件逆向工程内容:去除使用限制或者添加功能获得源代码硬件的复制和模拟要求品质:保持好奇,崇尚自由勤奋+毅力精通至少一门编程语言,尤其是编程思......
  • Jasypt加密SpringBoot配置文件和自动加密数据库敏感信息
    Jasypt是开源的加密和解密的组件。和Spring提供了很好的集成。一、加密SpringBoot配置文件 新建SpringBoot项目,添加依赖<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency>......