数据库的备份文件通常是明文的或是二进制的形式存储,这样也是有数据泄露风险的,所以对备份文件加密也是维护数据库安全手段的一种。备份文件时需要用户指定备份的密钥,该密钥不会存储到备份文件中,这样就确保了密钥的安全,没有密钥,即使文件被盗取也没有办法获取到备份出来的真实数据。与此同时,数据库服务器会对备份文件的完整性进行校验,如果备份文件被人恶意破坏,那么还原数据的时候是会先检查备份文件的完整性,完整性校验不通过则无法还原数据到数据库中,防止了恶意篡改数据的操作。
通过数据库的备份工具可以实现对数据库的数据进行加密备份以及完整性校验。
加密备份
通过 sys_dump 工具,指定-K 参数设置密钥,即可对备份进行加密。-F 指定备份格式,目前加密备份只支持 c二进制格式。如下示例所示:
--首先需要在 TEST 库下创建一张表
create table test(id int);
--创建一个待还原的数据库 TEST1
create database test1;
--备份
./sys_dump -h 127.0.0.1 -p 8889 -U system -f enc.dmp -F c -K 123456 TEST
--查看 enc.dmp 文件,里面是加密的,并且开头是保留了备份文件校验码
--正常还原
./sys_restore -h 127.0.0.1 -p 8889 -U system -K 123456 -F c -d test1 enc.dmp
--进入 TEST1 数据库查看数据表 test 成功被还原。
完整性校验
如果对加密后的备份文件随意进行篡改,数据库将会识别错误,导致还原不成功。如下示例所示:
--非正常还原
cp enc.dmp enc_bak.dmp
--然后修改 enc_bak.dmp,使其原有内容发生变化
./sys_restore -h 127.0.0.1 -p 8889 -U system -K 123456 -F c -d test1 enc_bak.dmp
报错:File SM3 HASH check failure 'enc_bak.dmp' failed.