【 OpenGauss源码学习 —— 列存储(CU)(三)】

已于 2023-10-27 09:55:16 修改
阅读量261 收藏
点赞数 1
分类专栏: OpenGauss 文章标签: gaussdb postgresql 数据库
于 2023-10-25 12:23:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43899283/article/details/134027683
版权
本文介绍了OpenGauss数据库中列存储单元(CU)的加密和解密功能,包括CUDataEncrypt函数用于加密CU数据,isEncryptedCluster检查加密状态,以及decryptBlockOrCUData和encryptBlockOrCUData函数的具体实现,展示了数据在透明数据加密(TDE)下的安全策略。
摘要由CSDN通过智能技术生成

列存储(CU)(三)

声明:本文的部分内容参考了他人的文章。在编写过程中,我们尊重他人的知识产权和学术成果,力求遵循合理使用原则,并在适用的情况下注明引用来源。
本文主要参考了 OpenGauss1.1.0 的开源代码和《OpenGauss数据库源码解析》一书以及OpenGauss社区学习文档和一些学习资料

概述

  在【OpenGauss源码学习 —— 列存储(CU)(一)】中我们初步认识了 CU 的结构和作用,以及在【 OpenGauss源码学习 —— 列存储(CU)(二)】中学习了CU 的压缩和解压方法。本文则来了解一下对 CU 的加密和解密操作。

CUDataEncrypt 函数

  CUDataEncrypt 函数用于CU 数据写入磁盘之前,对数据进行加密。它首先检查 CU 是否已经被加密,然后计算待加密数据的长度,接着调用加密函数执行加密操作,最后更新 CU 的元数据,以标记 CU 已被加密。这是数据安全性的一个关键组成部分,确保数据在磁盘上存储时得到保护。其函数源码如下所示:(路径:src/gausskernel/storage/cstore/cu.cpp

/*
 * CU 数据加密。
 * 由于 CU 没有缓冲区并直接写入磁盘,因此没有并发线程问题。
 */
void CU::CUDataEncrypt(char* buf)
{
    // plainLength 用于存储未加密数据的长度,cipherLength 用于存储加密后数据的长度。
    size_t plainLength = 0;
    size_t cipherLength = 0;

    // 如果当前的 CU 处于加密状态,执行以下操作。
    if (isEncryptedCluster()) {
        // 计算待加密数据的长度。
        plainLength = m_cuSizeExcludePadding - GetCUHeaderSize() - m_bpNullCompressedSize;
        
        // 如果待加密数据的长度大于 0,说明有数据需要加密。
        if (plainLength > 0) {
            // 调用 encryptBlockOrCUData 函数执行实际的加密操作。
            // 参数包括输入缓冲区 buf、待加密数据的长度 plainLength,
            // 输出缓冲区 buf,以及指向 cipherLength 的指针,用于存储加密后数据的长度。
            encryptBlockOrCUData(buf, plainLength, buf, &cipherLength);
            
            // 更新 CU 的信息模式(infoMode)以指示 CU 已被加密。
            m_infoMode |= CU_ENCRYPT;
        }
    }
}

isEncryptedCluster 函数

  isEncryptedCluster 函数主要用于检查透明数据加密(Transparent Data Encryption,TDE是否在集群中启用,如果不启用相关条件不满足,它会返回 false,否则返回 true。如果透明数据加密被禁用或不受支持,函数可能会生成相应的日志或错误信息。总的来说,该函数用于检查是否在集群中启用了透明数据加密。以下是代码的详细注释:(路径:src/gausskernel/cbb/utils/aes/cipherfn.cpp

bool isEncryptedCluster()
{
    // 如果当前处于安全模式(security mode)并且透明加密字符串为空或未设置,那么透明加密被禁用。
    if (isSecurityMode && (g_instance.attr.attr_security.transparent_encrypted_string == NULL ||
                          *g_instance.attr.attr_security.transparent_encrypted_string == '\0')) {
        // 输出一条 DEBUG5 级别的日志,指示在 DWS(可能是数据仓库系统)中已禁用透明加密。
        ereport(DEBUG5, (errmsg("Transparent encryption disabled in DWS.\n")));
        return false;  // 返回 false 表示透明加密被禁用。
    } 
    // 如果不处于安全模式并且透明加密 KMS(Key Management Service)的 URL 为空或未设置,那么透明加密被禁用。
    else if ((!isSecurityMode) && (g_instance.attr.attr_common.transparent_encrypt_kms_url == NULL ||
                                  *g_instance.attr.attr_common.transparent_encrypt_kms_url == '\0')) {
        // 输出一条 DEBUG5 级别的日志,指示在 GaussDB(可能是高斯数据库)中已禁用透明加密。
        ereport(DEBUG5, (errmsg("Transparent encryption disabled in GaussDB.\n")));
        return false;  // 返回 false 表示透明加密被禁用。
    }

    // 检查是否已禁用透明数据加密特性。如果已禁用,抛出一个错误并返回 false。
    if (is_feature_disabled(TRANSPARENT_ENCRYPTION) == true) {
        ereport(ERROR, (errcode(ERRCODE_FEATURE_NOT_SUPPORTED), errmsg("TDE is not supported.")));
        return false;  // 返回 false 表示透明加密被禁用。
    }
    
    // 如果以上条件都未触发,说明透明加密在当前集群中启用。
    return true;  // 返回 true 表示透明加密已启用。
}

encryptBlockOrCUData 函数

  encryptBlockOrCUData 函数用于对数据进行加密,并处理了加密失败时的重试机制,以确保数据安全性。它首先检查加密 DEK 和 IV 是否已初始化,然后根据指定的加密算法执行加密操作。如果加密失败,会尝试最多三次,然后根据不同情况,抛出 PANIC 级别的错误以避免进一步的处理。其函数源码如下所示:(路径:src/gausskernel/cbb/utils/aes/cipherfn.cpp

/*
 * encryptBlockOrCUData:
 * 加密数据块或列单元(CU),不包括头部和填充部分,用户数据必须加密。
 * 如果加密失败,重试三次,如果仍然失败,则退出进程,应使用 panic 而不是 fatal,
 * 以避免在检查点或后台写入进程(bgwriter)中挂起。
 * 
 * @IN plainText:明文数据及其长度
 * @OUT cipherText:密文数据及其长度
 * @RETURN: 无
 */
void encryptBlockOrCUData(const char* plainText, const size_t plainLength, char* cipherText, size_t* cipherLength)
{
    int retryCnt = 0;
    GS_UINT32 ret = 0;

    /*
     * 解密数据块或列单元(CU),不包括头部和填充部分,用户数据必须解密。
     * 如果解密失败,重试三次,如果仍然失败,则退出进程,应使用 panic 而不是 fatal,
     * 以避免在自动清理(autovacuum)过程中挂起。
     * 
     * @IN cipherText:密文数据及其长度
     * @OUT plainText:明文数据及其长度
     * @RETURN: 无
     */
    if ((trans_encrypt_dek == NULL || *trans_encrypt_dek == '\0') ||
        (trans_encrypt_iv == NULL || *trans_encrypt_iv == '\0')) {
        // 如果加密 DEK(Data Encryption Key)或 IV(Initialization Vector)未初始化,
        // 则抛出 PANIC 级别的错误,指示参数未初始化或 DEK 和 IV 的长度不等于 16 字节。
        ereport(PANIC,
            (errmsg("这是一个加密集群,但参数未初始化!"),
                errdetail("解密 DEK 或 IV 为空或两者的长度不等于16字节")));
    }

    do {
        // 根据加密算法执行加密操作,使用加密 DEK 和 IV。
        // 加密操作的结果存储在 cipherText 中,其长度存储在 cipherLength 中。
        if (g_tde_algo == TDE_ALGO_SM4_CTR_128) {
            ret = sm4_ctr_enc_partial_mode(
                plainText, plainLength, cipherText, cipherLength, trans_encrypt_dek, trans_encrypt_iv);
        } else {
            ret = aes_ctr_enc_partial_mode(
                plainText, plainLength, cipherText, cipherLength, trans_encrypt_dek, trans_encrypt_iv);
        }
        
        if (ret != 0) {
            retryCnt++;
        } else {
            // 如果加密成功,检查明文和密文的长度是否一致。
            if (plainLength != *cipherLength) {
                ereport(PANIC,
                    (errmsg("加密失败,返回码为 %u!", ret),
                        errdetail("密文长度不正确,明文长度为 %lu,密文长度为 %lu",
                            plainLength, *cipherLength)));
            }
            return;
        }
        
        if (retryCnt == 2) {
            // 如果重试三次后仍然加密失败,抛出 PANIC 级别的错误,指示返回码为无效参数或内部错误。
            ereport(PANIC,
                (errmsg("加密在重试三次后失败,错误码为 %u!", ret),
                    errdetail("返回码为无效参数或内部错误")));
        }
    } while (retryCnt < 3);
}

CUDataDecrypt 函数

  CUDataDecrypt 函数主要用于对已加密的 CU 数据进行解密。首先,它检查 CU 的信息模式,如果包含 CU_ENCRYPT 标志位,表示数据已被加密。然后,它计算密文数据的长度,以便调用解密函数 decryptBlockOrCUData 执行解密操作解密后的数据将替代原始数据存储在 buf 中,同时清除了 CU_ENCRYPT 标志,以表示数据已解密。这有助于在读取 CU 数据时对其进行解密,以便访问明文数据。其函数源码如下所示:(路径:src/gausskernel/storage/cstore/cu.cpp

/*
 * CU 数据解密。
 * 由于 CU 没有缓冲区并直接写入磁盘,所以没有并发线程问题。
 */
void CU::CUDataDecrypt(char* buf)
{
    // 检查 CU 的信息模式(infoMode),如果包含 CU_ENCRYPT 标志位,表示数据已被加密。
    if ((m_infoMode & CU_ENCRYPT) != 0) {
        size_t cipherLength = 0;
        size_t plainLength = 0;

        // 计算密文数据的长度,以便进行解密操作。
        cipherLength = m_cuSizeExcludePadding - GetCUHeaderSize() - m_bpNullCompressedSize;

        // 调用解密函数 decryptBlockOrCUData,对数据进行解密。
        // 解密后的数据存储在原始的 buf 中,解密后的数据长度存储在 plainLength 中。
        decryptBlockOrCUData(buf, cipherLength, buf, &plainLength);

        // 清除 CU_ENCRYPT 标志位,表示数据已解密。
        m_infoMode &= ~CU_ENCRYPT;
    }
}

decryptBlockOrCUData 函数

  decryptBlockOrCUData 函数用于对已加密的数据进行解密,它会检查解密 DEKIV 是否已初始化,并根据指定的解密算法执行解密操作。如果解密失败,它会尝试最多三次,然后根据不同情况,抛出错误以避免进一步的处理。这有助于确保在自动清理(autovacuum)等关键进程中不会挂起。函数源码如下所示:(路径:src/gausskernel/cbb/utils/aes/cipherfn.cpp

/*
 * 解密数据块或列单元,不包括头部和填充部分,用户数据必须解密。
 * 如果解密失败,重试三次,如果仍然失败,则退出进程,应使用 panic 而不是 fatal,
 * 以避免在自动清理(autovacuum)过程中挂起。
 * 
 * @IN cipherText:密文数据及其长度
 * @OUT plainText:明文数据及其长度
 * @RETURN: 无
 */
void decryptBlockOrCUData(const char* cipherText, const size_t cipherLength, char* plainText, size_t* plainLength)
{
    int retryCnt = 0;
    GS_UINT32 ret = 0;
    
    // 检查解密 DEK(Data Encryption Key)和 IV(Initialization Vector)是否已初始化,如果没有则抛出错误。
    if ((trans_encrypt_dek == NULL || *trans_encrypt_dek == '\0') ||
        (trans_encrypt_iv == NULL || *trans_encrypt_iv == '\0')) {
        ereport(ERROR,
            (errcode(ERRCODE_UNEXPECTED_NULL_VALUE),
                errmsg("这是一个加密集群,但参数未初始化!"),
                errdetail("解密 DEK 或 IV 为空或两者的长度不等于16字节")));
    }

    do {
        // 根据解密算法执行解密操作,使用解密 DEK 和 IV。
        // 解密后的数据存储在 plainText 中,其长度存储在 plainLength 中。
        if (g_tde_algo == TDE_ALGO_SM4_CTR_128) {
            ret = sm4_ctr_dec_partial_mode(
                cipherText, cipherLength, plainText, plainLength, trans_encrypt_dek, trans_encrypt_iv);
        } else {
            ret = aes_ctr_dec_partial_mode(
                cipherText, cipherLength, plainText, plainLength, trans_encrypt_dek, trans_encrypt_iv);
        }
        
        if (ret != 0) {
            retryCnt++;
        } else {
            // 如果解密成功,检查密文和明文的长度是否一致。
            if (cipherLength != *plainLength) {
                ereport(ERROR,
                    (errcode(ERRCODE_STRING_DATA_LENGTH_MISMATCH),
                        errmsg("解密失败,返回码为 %u!", ret),
                        errdetail("plainLength 长度不正确,cipherLength 为 %lu,plainLength 为 %lu",
                            cipherLength, *plainLength)));
            }
            return;
        }
        
        if (retryCnt == 2) {
            // 如果重试三次后仍然解密失败,抛出错误,指示返回码为无效参数或内部错误。
            ereport(ERROR,
                (errcode(ERRCODE_INVALID_PARAMETER_VALUE),
                    errmsg("解密在重试三次后失败,错误码为 %u!", ret),
                    errdetail("返回码为无效参数或内部错误")));
        }
    } while (retryCnt < 3);
}
J.Kuchiki
关注
专栏目录
基于C语言的darknet深度学习框架设计源码
09-30
本项目为基于C语言的darknet深度学习框架设计源码,包含2020个文件,涵盖1520个PNG图片、168个配置文件(cfg)、70个C源文件、61个C头文件、40个命令脚本(cmd)、21个Python脚本(py)、19个Shell脚本(sh)、15个...
ConcurrentHashMap集合源码学习笔记
01-20
ConcurrentHashMap是基于散表实现的,存储的是Key/Value对,底层使用数组+链表+红黑树+CAS算法实现的,数组是存储元素并且查找快,链表是为了解决哈希冲突而存在的,红黑树是为了解决链表中查询速度慢而使用的。...
酸碱盐的应用一——除杂PPT学习教案.pptx
10-02
本PPT学习教案主要围绕酸碱盐的应用,特别是如何利用它们进行物质的除杂,涉及到多种除杂原理和方法。 首先,除杂的基本原则包括: 1. 只与杂质反应:所选用的试剂应只与杂质发生反应,而不影响主要成分。 2. 不...
精彩的3d效果——cu3er幻灯
06-26
【精彩3D效果——Cu3er幻灯】 Cu3er是一款知名的JavaScript库,用于创建具有维效果的幻灯展示。这种先进的技术为网页设计增添了视觉吸引力,尤其在网站的首页,能够有效地吸引访客的注意力,提升用户体验。Cu3er...
gaussdb hccdp认证模拟题(判断)
kiwixing的博客
10-03 900
2.某IT公司在开发软件时,需要使用GaussDB数据库,因此需要实现软件和数据的链接,而DBeaver是一个通用的数据库管理工具和 SQL 客户端,支持 MySQL、PostgreSQL、Oracle、DB2、MSSQL以及其他兼容 JDBC 的数据库,提供一个图形界面用来查看数据库结构、执行SQL查询和脚本,浏览和导出数据、修改数据库结构等。12.GaussDB的模式和用户是弱绑定的,即创建用户的同时会自动创建一个同名模式,同时用户也可以单独创建模式,并且为用户指定其他的模式。(1 分) 错。
GaussDB高智能--数据库智能化发展史&自治运维技术
Gauss松鼠会
10-08 1238
云原生为迎接智能化提供了基础条件,智能化是GaussDB的新的牵引方向,两者相辅相成,互相促进。在智能化出现之前,数据库的运维管理主要依赖分层解耦、化繁为简方式来治理,通过人工服务对单点的业务进行管理。但在云化环境中,一个Region纳管上万实例,仅靠人工很难满足业务诉求,这就促成智能与数据库在云原生的架构和应用中释放的新的研发方向。
系统移植一
最新发布
m0_51830537的博客
10-10 878
U-Boot(Universal Bootloader)是一款广泛用于嵌入式系统中的开源 Bootloader,支持多种 CPU 架构,如 ARM、PowerPC、x86、MIPS 等。它体积小、功能强大,广泛用于嵌入式系统启动和调试。U-Boot 与其他 Bootloader 的对比:BIOS(通常用于 PC):大约 300MB,功能强大,带有图形用户界面。Recovery 模式(用于 Android):大约 3.5MB,功能一般,界面较为简单。
PostgreSQL的WAL日志优化及验证
Java_fenxiang的博客
10-05 859
在应用负载不变的情况下可以通过如下方法进行WAL优化登录后复制 1) 延长checkpoint时间间隔 FPI产生于checkpoint之后第一次变脏的page,在下次checkpoint到来之前,已经输出过FPI的page是不在需要再次输出FPI。因此checkpoint时间间隔越长,FPI产生的频度会越低。增大ch...
鲁班到家上门安装维修系统源码开发之结构功能解析
weixin_43744973的博客
10-08 1077
鲁班到家上门安装维修系统的源码开发是一个复杂但富有成效的过程。通过详细的需求分析、技术选型、功能模块设计以及前后端分离开发,该系统不仅提升了服务效率,还通过数字化管理优化了用户体验。未来,该系统有望在智能家居售后服务领域发挥更加重要的作用,引领行业向更加高效、专业、透明的方向发展。
MySQL之复合查询与内外连接
zdlynj的博客
09-30 1509
前面我们讲解的mysql表的查询都是对一张表进行查询,即数据的查询都是在某一时刻对一个表进行操作的。而在实际开发中,我们往往还需要对多个表同时进行查询。我们这里使用的测试表,为雇员信息表(来自Oracle 9i的经典测试表):EMP员工表,DEPT部门表,SALGRADE工资等级表。
【2024】基于mysqldump的数据备份与恢复
皮皮的博客
10-03 992
本文记录了mysqldump对于MySQL数据库的备份与恢复用法
ATAM需求说明-系统架构师(七十六)
ke1ying的博客
10-08 1040
1体系结构权衡分析法ATAM(Architecture Trade Off Analyzer Method)是一种常见的结构权衡分析法,该框架主要关注系统的(),针对性能、安全性、可用性和可修改性,在系统开发前进行分析、评价和这种。A共享数据库的集成方式通常将应用程序的数据存储在一个共享数据库中,通过制定统一的数据库模式来处理不同应用集成需求。场景和需求的收集,架构视图和场景的实现,属性模型的构造和分析,架构评价和折中。7企业信息资源集成管理的前提是对企业()的集成,其核心是对企业()的集成。
2024Java最新面试题总结(针对于一些小厂、中厂)
weixin_62375676的博客
10-07 1103
2024最新Java面试题,针对一些小厂,中厂
MySQL(B站CodeWithMosh)——2024.10.6(9)
unicorn_lemon的博客
10-06 1246
运算符:DELETE FROM、MAX、MIN、AVG、SUM、COUNT、GROUP BY
同城O2O系统源码与跑腿配送平台的架构设计与开发方案详解
meihusdk的博客
10-08 532
同城O2O系统与跑腿配送平台的开发,既是技术的挑战,也是商业机会的探索。通过合理的架构设计与清晰的开发方案,开发者可以构建出高效、稳定且易于扩展的平台,为用户提供更为便捷的服务。
思迅商云开启货号修改语句
xushugang007的博客
10-03 250
insert into t_sys_system (sys_var_id,sys_var_name,sys_var_value,is_changed,sys_ver_flag) values('itemnoisedit','货号、供应商、客户编码修改','1','否','1')use hbposv10 --分店数据库名改成: hbposv10_branch。--开启 货号、供应商、客户编码修改。
【含开题报告+文档+PPT+源码】基于SSM框架的线上交易商城的设计与实现
码蜂窝编程-全网唯一毕设在线答疑,项目包运行成功,全套教学视频一站式辅导机构。
10-07 370
本课程演示的是一款校园二手交易系统,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的 Java 学习者。包含:项目源码、项目文档、数据库脚本、软件工具等所有资料带你从零开始部署运行本套系统该项目附带的源码资料可作为毕设使用系统主要功能有:登录注册、公告管理、用户管理、商品管理、商品搜索、购物车、订单管理、用户私聊等模块。
一个真实可用的登录界面!
Q_w7742的博客
10-05 4665
至此,所有的代码运行之后应该可以实现输入账号密码,与数据库比对,重定向到欢迎界面这样的过程,可以将这个代码放在任何一个需要登录的网页中(自夸一下),当然还有很多很多的内容需要补充,留给你们自己发挥~这里如果php.ini设置不好可能会出现问题,找不到mysqli这个拓展,需要手动处理一下,当然这里不赘述。并且加密的过程被我注释掉了,防止新手搞不明白密码。首先需要一个静态网页,在前面已经讲了很多有关的代码,这里也是常规的,但是这里我们需要post到一个php页面,请注意。连接成功后,输入下面的代码,
数据挖掘与分析 - Data Mining & Analytics (SU)
Garson的博客
10-08 747
以下示例展示了如何使用该语句对不同水果的记录数量进行排序,并选择仅输出苹果和香蕉的结果;请注意,SQL中WHERE和HAVINF子句的关键区别在于WHERE子句用于在分组或聚合发生之前过滤记录,而 HAVING子句用于发生分组或聚合后过滤记录。例如,分组可用于生成一个表格,出每个客户的订单数量。(一定要根据水果名分组,如果不分组的话count(水果名)输出的是全部水果,所以不能用where子句)2.GROUP BY:计算一中数据的聚合函数,按第二的数据分组。4.排序方式:对要显示的数据进行排序。
HEVC学习(十二) —— CU的最终划分
09-12
嗨!对于HEVC中CU(Coding Unit)的最终划分,可以简单地描述为以下几个步骤: 1. CTU划分:首先,图像被划分为一系的Coding Tree Units(CTUs)。CTU是最大的编码单元,其大小为64x64、32x32或16x16像素。 2. PU划分:在每个CTU内部,进行PU(Prediction Unit)的划分。PU是用于预测的最小单元,可以是正方形或矩形,并且可以具有不同的大小和位置。 3. TU划分:在PU内部,进行TU(Transform Unit)的划分。TU是用于变换和量化的最小单元,也可以是正方形或矩形,并且可以具有不同的大小。 4. 最终CU划分:最后,在每个PU内部,进行CU的最终划分。CU是用于编码的最小单元,可以是正方形或矩形,并且可以具有不同的大小和位置。在最终CU划分时,会考虑到图像中的边界约束和编码效率。 需要注意的是,CU的最终划分是根据编码效率和图像内容来确定的。HEVC使用了一系算法和决策规则来进行CU的最终划分,以达到更好的压缩效果和视觉质量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值