GreatDB源码分析之表空间加密

最新推荐文章于 2024-06-11 23:52:09 发布
最新推荐文章于 2024-06-11 23:52:09 发布
阅读量947 收藏 19
点赞数 17
文章标签: c++ mysql greatdb 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/louObaichu/article/details/135268775
版权

概述

GreatDB(或mysql)服务端支持对表内数据进行加密存储,称之为表空间(table space)加密。使用方法和基本原理参考:

MySQL系列:表空间加密_mysql keyring_file_data-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/wngpenghao/article/details/123501766

GreatDB源代码:GreatSQL: GreatSQL is a MySQL branch originated from GreatDB (gitee.com)icon-default.png?t=N7T8https://gitee.com/GreatSQL/GreatSQL

基本原理

(本节内容摘自上述参考资料,并经过了排版和校对)

从5.7.11开始,mysql开始支持物理表空间的加密,它使用两层加密架构。包括:主密钥(master key) 和 表空间密钥(tablespace key)。

主密钥用于加密表空间密钥,加密后的表空间密钥存储在表空间文件的header中。表空间密钥用于加密数据。当用户想访问加密的表时,innoDB会先用 主密钥 对之前存储在表空间header中被加密的表空间密钥进行解密,得到明文的表空间密钥,再用表空间密钥解密数据信息。

表空间密钥是不会改变的,而主密钥可以通过命令随时改变。

代码结构

表空间加密功能由innodb和keyring插件共同实现。innodb负责使用表空间密钥加/解密表内数据,keyring负责管理主密钥。

Encryption类

innodb中表空间加密功能主要由Encryption类控制,其声明和实现在如下2个文件中:

storage/innobase/include/os0enc.h
storage/innobase/os/os0enc.cc

表空间密钥的生成

void Encryption::set_or_generate(Type type, byte *key, byte *iv,
                                 Encryption_metadata &metadata) {
  ut_ad(type != Encryption::NONE);
  metadata.m_type = type;
  metadata.m_key_len = Encryption::KEY_LEN;
  if (key == nullptr && iv == nullptr) {
    Encryption::random_value(metadata.m_key);
    Encryption::random_value(metadata.m_iv);
  } else if (key != nullptr && iv != nullptr) {
    memcpy(metadata.m_key, key, Encryption::KEY_LEN);
    memcpy(metadata.m_iv, iv, Encryption::KEY_LEN);
  } else {
    ut_error;
  }
}

表空间密钥先在Encryption::set_or_generate生成,存入一个Encryption_metadata结构,再通过Encryption::set_key设置。

加密

对表空间密钥进行加密:

/** Fill the encryption information.
  @param[in]      encryption_metadata  encryption metadata (key,iv)
  @param[in]      encrypt_key          encrypt with master key
  @param[out]     encrypt_info         encryption information
  @return true if success. */
  static bool fill_encryption_info(
      const Encryption_metadata &encryption_metadata, bool encrypt_key,
      byte *encrypt_info) noexcept;

对表内数据进行加密:

  /** Encrypt the redo log block.
  @param[in]      type      IORequest
  @param[in,out]  src_ptr   log block which need to encrypt
  @param[in,out]  dst_ptr   destination area
  @return true if success. */
  bool encrypt_log_block(const IORequest &type, byte *src_ptr,
                         byte *dst_ptr) noexcept;

  /** Encrypt the redo log data contents.
  @param[in]      type      IORequest
  @param[in,out]  src       page data which need to encrypt
  @param[in]      src_len   size of the source in bytes
  @param[in,out]  dst       destination area
  @param[in,out]  dst_len   size of the destination in bytes
  @return buffer data, dst_len will have the length of the data */
  byte *encrypt_log(const IORequest &type, byte *src, ulint src_len, byte *dst,
                    ulint *dst_len) noexcept;

  /** Encrypt the page data contents. Page type can't be
  FIL_PAGE_ENCRYPTED, FIL_PAGE_COMPRESSED_AND_ENCRYPTED,
  FIL_PAGE_ENCRYPTED_RTREE.
  @param[in]      type      IORequest
  @param[in,out]  src       page data which need to encrypt
  @param[in]      src_len   size of the source in bytes
  @param[in,out]  dst       destination area
  @param[in,out]  dst_len   size of the destination in bytes
  @return buffer data, dst_len will have the length of the data */
  [[nodiscard]] byte *encrypt(const IORequest &type, byte *src, ulint src_len,
                              byte *dst, ulint *dst_len) noexcept;

解密

解密表空间密钥:

/** Decoding the encryption info from the given array of bytes,
  which are assumed not to be related to any particular tablespace.
  @param[out]     encryption_metadata  decoded encryption metadata
  @param[in]      encryption_info      encryption info to decode
  @param[in]      decrypt_key          decrypt key using master key
  @return true if success */
  static bool decode_encryption_info(Encryption_metadata &encryption_metadata,
                                     const byte *encryption_info,
                                     bool decrypt_key) noexcept;

  /** Decoding the encryption info from the given array of bytes,
  which are assumed to be related to a given tablespace (unless
  space_id == dict_sys_t::s_invalid_space_id). The given tablespace
  is noted down in s_tablespaces_to_reencrypt if the encryption info
  became successfully decrypted using the master key and the space_id
  is not dict_sys_t::s_invalid_space_id. For such tablespaces the
  encryption info is later re-encrypted using the rotated master key
  in innobase_dict_recover().
  @param[in]      space_id        Tablespace id
  @param[in,out]  e_key           key, iv
  @param[in]      encryption_info encryption info to decode
  @param[in]      decrypt_key     decrypt key using master key
  @return true if success */
  static bool decode_encryption_info(space_id_t space_id, Encryption_key &e_key,
                                     const byte *encryption_info,
                                     bool decrypt_key) noexcept;

解密表内数据:

  /** Decrypt the log block.
  @param[in]      type  IORequest
  @param[in,out]  src   data read from disk, decrypted data
                        will be copied to this page
  @param[in,out]  dst   scratch area to use for decryption
  @return DB_SUCCESS or error code */
  dberr_t decrypt_log_block(const IORequest &type, byte *src,
                            byte *dst) noexcept;

  /** Decrypt the log data contents.
  @param[in]      type      IORequest
  @param[in,out]  src       data read from disk, decrypted data
                            will be copied to this page
  @param[in]      src_len   source data length
  @param[in,out]  dst       scratch area to use for decryption
  @return DB_SUCCESS or error code */
  dberr_t decrypt_log(const IORequest &type, byte *src, ulint src_len,
                      byte *dst) noexcept;

  /** Decrypt the page data contents. Page type must be
  FIL_PAGE_ENCRYPTED, FIL_PAGE_COMPRESSED_AND_ENCRYPTED,
  FIL_PAGE_ENCRYPTED_RTREE, if not then the source contents are
  left unchanged and DB_SUCCESS is returned.
  @param[in]      type    IORequest
  @param[in,out]  src     data read from disk, decrypt
                          data will be copied to this page
  @param[in]      src_len source data length
  @param[in,out]  dst     scratch area to use for decrypt
  @param[in]  dst_len     size of the scratch area in bytes
  @return DB_SUCCESS or error code */
  [[nodiscard]] dberr_t decrypt(const IORequest &type, byte *src, ulint src_len,
                                byte *dst, ulint dst_len) noexcept;

使用国密算法

GreatDB目前支持国密算法(SM4等),想要表空间加密使用国密算法,需要在cmake阶段加入“-DWITH_SSL_GM=ON”,代码无需改动。编译完成后,无法再通过配置文件或命令换回普通AES。

keyring

未完待续。。。。。。

Lazy Dave
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
某查查请求头参数加密分析(含JS加密算法与Python爬虫源码
吴秋霖的博客
01-10 3941
某查查请求头加密参数JS逆向分析,使用Python爬取更多企业工商信息
c++AES加密解密(附源码
Keivin
12-13 4231
AES,高级加密标准(英语:Advanced Encryption Standard,缩写:AES),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。严格地说,AES和Rijndael加密法并不完全一样(虽然在实际应用中二者可以互换),因为Rijndael加密法可以支持更大范围的区块和密钥长度:AES的区块长度固定为128 比特,密钥长度则可以是128,192或256比特;而Rijndael使用的密钥和区块长度可以.
万里开源核心数据库产品GreatDB及其他介绍
Sophiawhy的博客
06-17 2014
万里开源不断丰富着自身的产品线,先后推出单机数据库管理系统系列产品(简称“GreatDB”)、分布式数据库管理系统系列产品(简称“GreatDB Cluster”)、安全数据库系列产品(简称“GreatDBSE”)、云数据库服务平台(简称“GreatDB RDS”)、时序数据库管理系统(简称“GreatTS”)、企业级服务器操作系统软件(简称“TLES”)等多类数据库、操作系统核心产品,万里开源全线产品兼容X86、龙芯、飞腾、鲲鹏、海光等国内外主流芯片,具有产品生态能力及广泛的市场应用前景。 万里开源单机数
加密表空间
ciyixi4265的博客
02-14 111
1.编辑 $ORACLE_HOME/network/admin/sqlnet.ora 文件,添加参数 encryption_wallet_location=(source=(method=file)(method_da...
在欧拉系统中搭建万里数据库MGR集群(图文详解)
最新发布
一枚coder的精进(荆棘)之路
06-11 1096
在信创和国产化的大趋势下,将各个中间件进行国产化替换是当前非常重要的任务之一。下面将图文详解如何在国产化欧拉系统中安装国产化万里数据库。
表空间加密
阿虎点滴
10-28 1095
一个已经存在数据的非加密表空间转换成加密格式: 1.通过data pump传输到已经加密表空间 2.使用alter table move子句传输到已经加密表空间 3.使用create table as select 子句存储表到已经加密表空间
Oracle表空间加密全过程极简实验
In-Memory Computing Technology
05-21 456
Oracle表空间加密简明全过程,使用HR示例Schema。
万里开源安全数据库 GreatDB
Sophiawhy的博客
07-14 1372
特点详情 分布式并行执行 通过物理表拆分与SQL逻辑拆分相结合的数据分发及并行处理技术 ,实现在数据分布式部署和并行查询执行计划两个层面的性能优化,相对于单数据库实例,查询效率提升N倍(N=逻辑拆分数X虚拟分片数)。 在线扩展 调度节点横向扩展方式:无状态可以随意横向拓展。 存储节点横向扩展方式:数据自动重新分布 高可靠 可配置多份副本 秒级切换,业务零中断 数据全同步(raft),切换数据零丢失 自动调整复制关系 可配置多种副本同步模式 GreatDB Cluster运维支撑 集群运维工具: 提供丰富的集
基于.net的RSA私钥加密 公钥解密的源码
04-28
在.NET环境下,我们可以使用内置的System.Security.Cryptography命名空间中的类来实现RSA加密和解密。 首先,让我们深入了解一下RSA的工作原理。RSA的核心是两个密钥:公钥和私钥。公钥可以公开,任何人都可以获取...
STM32 加密算法 源码代码(包括AES的5种模式)
09-15
AES是目前最广泛应用的对称加密算法之一,它基于替换和置换的原理,提供了高效且强大的数据保护。源码中包含的五种模式分别是: 1. ECB(电子密码本)模式:这是最基本的加密模式,每个块独立加密,不考虑上下文...
AES加密算法(C++实现,附源码)
04-24
AES加密算法,全称为Advanced Encryption Standard,是一种广泛应用的对称加密技术,用于保护数据的机密性。在C++环境中实现AES加密算法,通常...通过分析和学习这些源码,开发者可以提升在数据安全领域的专业技能。
数据库大作业(含完整代码和说明书)
01-24
1.开发环境:Mysql数据库;tomcat7.0;eclipse 基本设计要求: 1)用户管理:系统分为3级用户权限:超级管理员可以管理宿舍楼信息,楼中的宿舍房等信息;普通管理员可以管理宿舍成员;普通用户不用注册,可以直接查看宿舍成员的信息。 2)后台宿舍信息管理:超级管理员可以对宿舍楼信息、宿舍房间信息和宿舍中的学生信息进行增删改查。普通管理员可以对宿舍中的学生信息进行增删改查。 3)前台宿舍信息查询:要求根据学号或姓名查出学生的宿舍信息,例如位于哪个宿舍的那个楼的哪个房间。 扩展要求: 1)实现普通管理员按宿舍楼划分权限,某个楼的管理员只能管理本宿舍楼的学生信息。 2)实现学生宿舍信息的高级查询。例如可以按宿舍号查,按学生姓名或学号查询。 3)实现学生宿舍信息的批量导入。例如使用excel文件导入批量信息。
GreatDB优势
weixin_42452519的博客
06-05 2142
公司简介 北京万里开源软件有限公司为创意信息技术股份有限公司子公司。创立于2000年10月,是一家专注于国产、自主可控数据库开发的研发型企业。公司数据库及操作系统已在多个行业商用。2019年4月,万里开源正式加入信息技术应用创新工作委员会。 优势: GreatDB Cluster可以完美继承MySQL生态,在上下游工具以及从业人员储备方面相比其他国产数据库有巨大优势。 2019 DB-Engines 年全球数据库流行度排行榜,MySQL和Oracle几乎一致,前三位差距不大,大幅拉开其它数据库,包括
技术干货 | GreatDB新一代读写分离架构,如何炼就近乎0损耗的性能?
GreatDB的博客
11-07 517
方法2:对于LD_LIBRARY_PATH:可以把非系统目录下的动态库添加软链接到系统库,或在/etc/ld.so.conf.d/ 下添加greatdb.conf文件,并添加非系统库路径,一般是/path/to/greatdb/bin/../lib/private, 可以通过ldd bin/greatdbd查看。1、当greatdb_ha_mgr_read_vip_floating_type=TO_PRIMARY时,实例B的读浮动IP将不受影响,因为它当前就是故障后集群的primary主节点;
GreatDB关键技术特性
Sophiawhy的博客
07-15 417
北京万里开源软件有限公司自主研发的GreatDB数据库是国内领先的国产数据库,自2012年开始研发,客户案例遍布金融、能源、电信、政府等各行业,产品以“极致稳定、极致性能、极致易用”为核心目标,满足客户核心业务的需求,GreatDB具备以下主要特性: 水平拆分 支持数据sharding,分布式部署 动态扩展 支持动态扩容,数据在线重分布 故障恢复 故障自动切换保证系统高可用性 分布式事务 提供ACID分布式事务支持 数据安全 提供企业级数据安全特性,例如密码复杂度,访问控制 MySQL协议 完美适配mysq
GreatDB同类产品方案
niwoxiangyu的博客
09-26 731
PolarDB-X是由阿里巴巴自主研发的云原生分布式数据库,融合分布式SQL引擎与分布式自研存储X-DB,基于云原生一体化架构设计,可支撑千万级并发规模及百PB级海量存储。openGauss是一款开源的关系型数据库,采用客户端/服务器、单进程多线程架构,支持单机和一主多备部署方式,备机只读,支持双机高可用和读扩展。openGauss是一款全面友好开放,携手伙伴共同打造的企业级开源关系型数据库。亚信Antdb Operator。亚信Antdb Operator。GreatDB同类产品方案。
万里(挑一)开源GreatDB及其他介绍
Sophiawhy的博客
06-17 634
万里开源不断丰富着自身的产品线,先后推出单机数据库管理系统系列产品(简称“GreatDB”)、分布式数据库管理系统系列产品(简称“GreatDB Cluster”)、安全数据库系列产品(简称“GreatDBSE”)、云数据库服务平台(简称“GreatDB RDS”)、时序数据库管理系统(简称“GreatTS”)、企业级服务器操作系统软件(简称“TLES”)等多类数据库、操作系统核心产品,万里开源全线产品兼容X86、龙芯、飞腾、鲲鹏、海光等国内外主流芯片,具有产品生态能力及广泛的市场应用前景。 万里开源单机数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值