初学者指南 | PostgreSQL中的加密机制如何运作?

已于 2024-03-20 14:20:43 修改
阅读量768 收藏 10
点赞数 24
文章标签: postgresql 数据库 oracle 同态加密 算法 安全 数据分析
于 2024-03-20 13:59:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IvorySQL/article/details/136874454
版权
本文详细介绍了如何在PostgreSQL中使用不同的加密技术保护数据安全,包括密码加密、特定列加密、数据分区加密、网络传输加密和客户端加密。作者强调了加密在数据保护中的重要性及其在实际应用中的权衡。
摘要由CSDN通过智能技术生成

在这篇文章中,我们将介绍可用于加密和解密PostgreSQL数据库中数据的不同方法。拥有一些 Linux 和 PostgreSQL 经验是必要的,但拥有加密经验并不是必需的,有经验当然更好。本文是使用 Ubuntu 23.04上运行的 PostgreSQL16编写的。首先,我将介绍加密的一些动机及其对数据安全的重要性,然后查看 PostgreSQL为实现加密所提供的函数的子集。
 

#1 背景

虽然我们在日常生活中很少与加密进行交互,但它对于我们的敏感信息(如银行、医疗保健等)的安全至关重要。通常,加密过程会远离终端用户,隐藏所有复杂的数学和算法,让我们只需输入密码,就可以完成所有操作。但是,这些抽象需要权衡,因为我们必须相信解密我们数据的人不会对其进行复制或进行其他恶意行为。在这篇博客中,我们将介绍 PostgreSQL 用于加密数据的不同方法,以及我们在使用它们时遇到的权衡。

#2 加密选项

PostgreSQL文档列出了数据库软件支持的 6 个加密级别。这些级别包括:

>>>密码加密

可能是最简单和最常用的加密形式。在向服务器发送之前,PostgreSQL客户端将对用户密码进行Hashing处理,然后将其存储在数据库中。这意味着明文密码永远不会存储在服务器上,这使得潜在的攻击者很难获取到它。

>>>特定列的加密

pgcrypto 模块提供加密函数,用于加密存储在数据库特定列中的数据。要解密数据,客户端必须通过密钥发送,并且数据在服务器端是未加密的。这意味着密钥和数据都会在服务器端短暂地暴露给具有提升权限的任何人(如数据库管理员)。

>>>数据分区加密

此方法并非特指 PostgreSQL,而是指操作系统在将数据写入磁盘时使用的加密。这意味着 PostgreSQL 服务器具有驱动器级别的加密功能,以阻止任何人通过物理访问服务器来读取数据。

>>>加密网络上的数据

这是指可以配置 PostgreSQL 以在网络上安全地传输数据的不同方法。SSL 和 GSSAPI 都可以通过指定主机及其加密在 pg_hba.conf 文件中进行配置。SSH 也是通过 PostgreSQL 支持的网络进行连接的常用协议。

>>>SSL主机身份验证

对于此级别,客户端和服务器都必须设置为在 SSL/TLS 握手中交换 SSL 证书。一旦启用,此方法可以防止可能的攻击者冒充服务器并获取对受限信息的访问权限,也称为中间人攻击。

>>>客户端加密

最后,也可能是最安全的选择是客户端在将数据发送到服务器之前自行加密数据。这意味着客户端必须在其端点管理所有加密和解密,但也消除了恶意管理员能够读取您的数据的可能性。

#3 加密函数

所有这些函数以及更多功能都记录在 pgcrypto 模块的 PostgreSQL 文档中。

  • General Hashing

Digest 函数:

digest(data text, type text) returns bytea

此函数根据“类型”中指定的加密方法,将存储在变量“data”中的数据转换为字节数组表示的二进制Hashing。

  • data:我们想要计算其二进制Hashing值的输入数据

  • type:要使用的Hashing算法(supported: md5, sha1, sha224, sha256, sha384 and sha512)

  • return:以字节数组形式生成的Hashing值

  • 原始加密

这些函数只是在输入的数据上运行密码,并不提供任何形式的密钥或初始化向量 (IV) 的管理。所有这些管理都应由用户处理,通常不建议在实际使用时使用。

encrypt(data bytea, key bytea, type text) returns bytea
decrypt(data bytea, key bytea, type text) returns bytea

正如我们所看到的,encrypt 和 decrypt 函数都采用相同的参数并返回相同的类型。唯一的区别是 'data' 是 encrypt() 中的明文字节数组,而在 decrypt() 中,'data' 是加密数据的字节数组。

  • data:表示要转换的明文(加密)或加密数据(解密)的字节数组

  • key:用于加密或解密数据的密钥

  • type:要使用的加密算法、模式和填充。这种“类型”与一般的哈希不同,因为我们有更多的选项可以定义。这些选项的格式为 algorithm – mode/pad:padding。例如,使用不带填充的 AES-CBC 加密的解密函数如下所示:

encrypt(data, 'mykey', 'aes-cbc/pad:none')

原始加密还支持另外两个函数形式的 IV:

encrypt_iv(data bytea, key bytea, iv bytea, type text) returns bytea
decrypt_iv(data bytea, key bytea, iv bytea, type text) returns bytea

这些函数与它们的非 IV 对应函数几乎相同,但包含一个额外的参数,用于定义算法的初始化向量。

#4 总结

在这篇博客中,我们介绍了PostgreSQL 提供的许多功能,用于加密和解密数据库内部和周围的数据。首先,我们谈到了加密的重要性以及我们在使用它时所做的权衡。然后,我们查看了 PostgreSQL 支持的不同加密级别及其在数据库中的功能。最后,我们研究了 PostgreSQL附带的一些加密实现,它们的使用案例以及如何使用它们。总体而言,加密对于我们的在线安全至关重要,并且如果您计划开发任何需要网络连接的内容,那么了解它是非常必要的。我希望这篇博客有助于你深入了解加密以及它在PostgreSQL中如何工作,同时能够启发你在未来的项目中实施这些安全措施。

IvorySQL
关注
  • 24
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
赵振平数据泄露事件与PostgreSQL安全防护.pdf
08-29
2019年1也12日 云栖TechDay - PG天天象上活动 - 合肥站 - 赵振平 | 数据泄露事件与PostgreSQL安全防护 主要章节: 赵振平介绍 数据库安全事件回顾 网络隔离 禁止远程访问 禁止使用trust连接 传输通道加密 数据加密 其他防护技术
postgresql12文档.zip
08-20
PostgreSQL 12 的文档包含了关于安装、配置、使用和管理该数据库的所有必要信息,对于初学者和高级用户来说都是宝贵的资源。 **1. 安装与配置** 在 PostgreSQL 12 文档,你将找到详细步骤来指导你如何在各种操作...
PostgreSQL column cryptographic use pgcrypto extension and optional openssl lib
weixin_34037515的博客
03-30 2902
前面介绍了PostgreSQL 服务端和客户端之间的数据传输加密, 还介绍了数据库服务器的文件系统或者目录加密. http://blog.163.com/digoal@126/blog/static/163877040201342233131835/ http://blog.163.com/digoal@126/blog/static/163877040...
PostgreSQL 数据加密pgcrypto
Tony.Dong的专栏
10-16 1万+
PostgreSQL 扩展模块 pgcrypto 提供了单向加密算法 MD5、SHA、HMAC ,PGP 双向加密算法 Blowfish、AES、DES 等,可以用于实现数据的加密和解密。本文介绍了这个模块的安装、函数的使用以及实际案例,包括用户密码加密、信用卡号的加密与解密。
PostgreSQL数据库透明数据加密概述
paolei的笔记
11-11 1975
最近一段时间,一直在和PostgreSQL社区合作开发TDE(Transparent data encryption,透明数据加密)。研究了一些密码学相关的知识,并利用这些知识和数据库相结合。本文将会以数据库内核开发角度,从以下3个维度和大家讲述TDE。 数据库当前面临的威胁模型 加密策略描述,当前PostgreSQL社区目前的设计状态以及其他数据库TDE方案对比 未来的数据安全畅想 那什么是透明数据加密? 透明数据加密,从字面上来说,可以分为三部分,数据,加密,透明。 数据,这里不用过多解释,用户
postgresql创建加密函数
陈沪的博客
05-30 984
postgresql 加密函数
postgres支持AES加密配置
似水流年
04-25 4493
1、安装pgrypto扩展插件 postgresql在9.6之后支持extend扩展插件,pgrypto支持各种加密算法,执行以下命令: create extension pgcrypto; 但是会出现”/usr/local/pgsql/share/extend/pgcrypto.control“文件或目录不存在的问题 解决办法: 在大多数Linux系统,如果用户使用的是RPM或DEB打包版本的PostgreSQL,则可选的postgresql-contrib软件包包含所有contrib模块
PostgreSQL 数据安全之数据加密
Tony.Dong的专栏
09-06 7108
PostgreSQL 支持多个不同级别的灵活加密技术,包括密码加密、字段加密、存储加密、传输加密、认证加密以及应用加密,可以保护数据不因数据库服务器被盗、内部管理员或者不安全的网络传输而导致泄露。
postgresql 10 high performance PDF、epub电子书和各章节使用到的SQL语句文件
07-28
10. **安全性与权限**:书还会涉及PostgreSQL安全机制,如用户管理、角色权限、访问控制列表(ACL)以及加密选项,确保数据库在高性能运行的同时保持安全。 通过阅读《PostgreSQL 10 High Performance》,无论...
onlineDiary:初学者在线日记
03-26
《在线日记系统初学者指南——基于Java技术》 在当今数字化时代,个人日记已经不再局限于纸质形式,而是逐渐转向了在线平台。"onlineDiary"项目就是一个为初学者设计的在线日记应用,它利用Java技术提供了便捷、...
PostgreSQL 10 Administration Cookbook源码
11-05
PostgreSQL 10 Administration Cookbook》是一本专为数据库管理员和开发者设计的实用指南,旨在帮助读者深入理解和高效管理PostgreSQL 10数据库系统。这本书的源码分享提供了丰富的实践案例和示例,使得读者可以...
Postgresql学习笔记
01-25
本学习笔记旨在为初学者提供一个全面、易懂的PG入门指南,帮助“菜鸟”快速掌握这一强大数据库的基础知识。 一、PostgreSQL简介 1.1 关系型数据库PostgreSQL基于SQL标准,支持ACID(原子性、一致性、隔离性、持久...
PostgreSQL7文 chm版
02-03
**PostgreSQL 7 文版 CHM 手册** PostgreSQL 是一款强大的开源关系型数据库管理系统,具有高度的...尽管版本较老,但其核心概念和原则在后续版本仍然适用,对于理解现代PostgreSQL运作机制有着重要的参考价值。
php文手册
09-10
《PHP完全开发手册》是PHP开发者的重要参考资料,它详尽地涵盖了PHP编程的各个方面,旨在帮助用户更好地理解...无论你是初学者还是经验丰富的开发者,这本手册都能成为你宝贵的参考资料,助力你在PHP的世界里游刃有余。
PostgreSQL手册
04-10
无论你是初学者还是经验丰富的开发者,都可以从找到有价值的信息,深入了解并熟练掌握PostgreSQL的使用。通过学习和实践,你将能够充分利用这个强大数据库系统的功能,解决实际问题,提升工作效率。
PG数据库实现AES加密和模糊查询
weixin_47518343的博客
05-31 1247
对涉及到的界面和字段的显示列表和详情界面,调用AES解密函数的方法。如果模糊查询条件,有涉及到加密字段的话,需要在DAO层拼写sql语句时,先把被查询的加密字段做解密处理后,拼写成模糊查询(like '%?以上是我个人针对自己项目的心得,以上的加密和解密方式有漏洞,例如:无法使用索引,针对大数据查询效率太慢,前台应用加密和后台数据库解密可能存在不对称的情况等等。如果模糊查询条件,有涉及到加密字段的话,需要在DAO层拼写sql语句时,先把被查询的加密字段做解密处理后,拼写成模糊查询(like '%?
Postgresql数据加密函数介绍
热门推荐
魂醉的一亩二分地
03-21 1万+
业务需求需要对一些敏感数据进行加密处理,说到加密,分为非对称加密和对称加密,稍微解释一下这两个名词1.对称加密方法,指加密和解密使用同一把密钥的方法。优势是加密速度快,缺陷是密钥只有一把,安全性较低。2.非对称加密方法,指加密和解密用到一对钥匙,一把为私钥,一把为公钥。通常的用法是公钥用于加密,私钥用于解密,当然也可以私钥加密,公钥解密。比如乙方用公钥进行加密后,发送数据到甲方,甲方用自己的私有密...
Hive加密PostgreSQL解密还原
灰哥数据智能的专栏
08-13 2864
当前公司数据平台使用的处理架构,由Hive进行大数据处理,然后将应用数据同步到PostgreSQL做各类外围应用。由于部分数据涉及敏感信息,必须在Hive进行加密,然后在PG使用时再进行单个数据解密,并监控应用的数据调用事情。因此需要实现Hive解密到PostgreSQL解密还原的过程。在不编写UDF的情况下,有以下方法。
PostgreSQL透明数据加密
帅的数说
02-18 1138
PostgreSQL透明数据加密Cybertec为PG提供了一个透明数据加密(TDE)的补丁。是目前唯一支持透明加密数据(集群)级的实现,独立于操作系统或文件系统加密。透明数据加密如何工作...
如何在PostgreSQL查询数据?
最新发布
12-02
PostgreSQL查询数据可以使用SELECT语句,具体语法如下: ``` SELECT column1, column2, ... FROM table_name WHERE condition; ``` 其,column1, column2, ...表示要查询的列名,可以使用*代替查询所有列;table_name表示要查询的表名;WHERE condition表示查询条件,可以省略。例如,查询表所有数据可以使用以下语句: ``` SELECT * FROM table_name; ``` 如果要查询多个表的数据,可以使用JOIN语句,具体语法如下: ``` SELECT column1, column2, ... FROM table1 JOIN table2 ON condition; ``` 其,table1和table2表示要查询的表名,ON condition表示连接条件。例如,查询两个表的数据可以使用以下语句: ``` SELECT * FROM table1 JOIN table2 ON table1.column = table2.column; ``` 这将返回两个表列名相同的行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值