MySQL原生加密(TDE)官方流程

最新推荐文章于 2024-05-04 13:51:18 发布
最新推荐文章于 2024-05-04 13:51:18 发布
阅读量1k 收藏 4
点赞数 1
文章标签: mysql 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50885384/article/details/134155232
版权

文章目录

一、权限要求

安装加密插件只需要用户具有 INSERT 权限即可,不需要为 root 用户

卸载加密插件只需要用户具有 DELETE 权限即可

加解密数据表需要用户在安装加密插件之后具有 ALERT 权限即可

二、加载密钥插件

MySQL 自 5.7 版本之后 都提供了一个插件,用于加解密MySQL 的表空间文件。但是这个插件默认是不开启的状态。如果需要使用到 MySQL 的原生加密(TDE),则需要手动开启这个插件。

MySQL 提供的密钥插件在 8.0.34 版本之后发生了变化

在 5.7 到 8.0.34 版本之间,使用的是 keyring_file 这个插件;在 8.0.34 版本之后,这个插件就被弃用了,改为了 keyring_encrypted_file 这个插件,下面是 8.0 官方文档的图示
在这里插入图片描述
MySQL 8.0.34 版本还可以继续沿用 keyring_file 插件的安装和使用方式,更高的版本因为没有环境,暂时没有办法验证

在MySQL 的最新版本中还存在 keyring_file 插件 ,官方文档中说将会在未来的某一个版本中删除,并没有确定具体是哪一个版本
在这里插入图片描述

2.1 在Linux操作系统下(MySQL版本为8.0.32/8.0.23/5.7.39-log已验证)

首先需要在MySQL的安装目录下找到 my.cnf 文件(Windows中为 my.ini 文件),添加下面两行配置

[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=<MySQL的插件路径>/keyring_file

可以使用下面的sql语句获取MySQL的插件路径

SHOW GLOBAL VARIABLES LIKE 'plugin_dir';

然后 keyring_file 插件使用下面的命令开启插件

INSTALL PLUGIN keyring_file SONAME 'keyring_file.so';

执行完上面的两个命令之后需要重启 MySQL 服务,让数据库正常加载加密插件。(实际测试中不重启也能正常加载加密插件)

重启之后可以使用下面的命令查看加密插件是否正常运行

SELECT PLUGIN_NAME, PLUGIN_STATUS
       FROM INFORMATION_SCHEMA.PLUGINS
       WHERE PLUGIN_NAME LIKE 'keyring%';

在这里插入图片描述
如上图限制 状态为 ACTIVE 则表示加密插件正常在运行

也可以使用 SHOW PLUGINS 这个SQL 命令查看所有的 plugins ,找到新添加的 keyring_file。
在这里插入图片描述在使用插件创建了主加密密钥之后,需要立即备份该主加密密钥,在主密钥轮换之后也需要再次进行备份。

2.2 在Windows操作系统下(MySQL版本为8.0.34已验证)

只需要将加密插件的后缀改为 .dll 即可,其他操作均与Linux相同

INSTALL PLUGIN keyring_file SONAME 'keyring_file.dll';

三、卸载加密插件

MySQL版本为8.0.32/8.0.34/8.0.23/5.7.39-log已验证

执行下面的SQL语句之后,加密插件将被卸载

其中的 keyring_file 为加载加密插件时使用的名称

UNINSTALL PLUGIN keyring_file;

在这里插入图片描述

四、查询主密钥文件的位置

show variables like 'keyring_file_data'

在这里插入图片描述
这个 keyring 就是主密钥文件

五、加解密表

5.1 在创建表的时候设置加密

CREATE TABLE t1 (c1 INT) ENCRYPTION='Y';

5.2 给已存在的表设置加密

ALTER TABLE t1 ENCRYPTION='Y';

会将这张表中原有的数据都加密
在这里插入图片描述
因为在一张拥有90w条数据(2个字段)的表上设置这个参数,需要耗时3s

5.3 禁用已存在的表的加密

ALTER TABLE t1 ENCRYPTION='N';

会将这张表原有被加密的数据都解密
在这里插入图片描述
因为在一张拥有90w条数据(2个字段)的表上设置这个参数,需要耗时4s

5.4 给表设置加密之后表空间文件的变化

在这里插入图片描述

5.5 给表设置禁用加密之后表空间文件的变化

在这里插入图片描述

5.6 加解密过程中是否能进行其他sql操作

相同连接正在加密的连接不能进行其他操作,当本连接在加解密的过程中执行其他sql,这条sql会等到加解密完成之后再执行。

其他连接可以进行正常的查询操作,增删改操作需要等待加解密完成之后才能进行操作。

六、主密钥轮换

为了确保数据库的安全性,MySQL 的原生加密的主密钥应该定期轮换,或者是当怀疑密钥泄露的时候,也应该立刻轮换主密钥。

如果服务器在主密钥轮换的时候发生了故障,主密钥轮换将会回滚操作,确保数据的一致性。

轮换主加密密钥只会更改主加密密钥并重新加密 表空间密钥。它没有解密或重新加密关联的表空间数据。

原文如下(不确定理解的是否正确)
在这里插入图片描述

执行下面的轮换主密钥命令需要 SUPER 权限

ALTER INSTANCE ROTATE INNODB MASTER KEY;

七、加密的限制

(1)仅用户创建的表支持加密,其他MySQL自带的表空间不支持加密

(2)加密仅适用于表空间中的数据

(3)创建的索引表不支持加密

详细请看下方的原文:
在这里插入图片描述

八、MySQL的原生加密插件版本支持情况

根据官方文档的说明,keyring_file 插件的支持情况如下:

● MySQL 5.7.12 和之后的版本:该插件是默认安装的,并提供了 keyring_file 插件的功能。

● MySQL 5.6.x:虽然不是默认安装的,但可以手动安装 keyring_file 插件。(网上说的,官方文档没有说明)
实际验证之后,在 MySQL 5.6.30 版本的数据库上,无法执行

INSTALL PLUGIN keyring_file SONAME 'keyring_file.so';

上面的语句进行原生加密的插件安装,需要手动在服务器上安装并配置

● MySQL 5.5.x 及更早版本:keyring_file 插件不可用,因为它们不支持插件机制。

齐彭殇0
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL2012 实现TDE加密详细教程.docx
04-17
最完整的SQL2012 TDE加密教程,有全面的拓扑图、配置截图和步骤讲解。SQL server越来越完善了,TDE加密功能非常实用。这是最好的教程,没有之一。
mysql 加密 tde_TDE与列级数据加密
weixin_39616855的博客
02-01 601
一、测试TDE此部分内容扩展SQL Server安全系列的第九篇:SQL Server安全透明数据加密的测试TDE章节。启用TDE的详细步骤请参考原文。--Create a test databaseCREATE DATABASEUestDBGO--Create a certificate in master to use with TDEUSEmaster;GO--TDE hooks into ...
MySQL TDE 透明数据加密 知识总结
一个标题
03-28 783
MySQL TDE 透明数据加密 知识总结
MySQL安全相关——TDE和数据脱敏功能介绍
SafePloy_SH的博客
12-01 309
在数据写入磁盘时,数据库系统会自动使用密钥和算法对数据进行加密,并将加密后的数据存储到磁盘上。一般来说,数据脱敏的实现方式是将敏感数据的部分或全部修改为无意义或非敏感的数据。在这些领域中,数据的安全性至关重要,使用TDE可以有效地提高数据的安全性,防止数据泄露和攻击。数据脱敏是一种对敏感数据进行处理的技术,将其修改为无意义或非敏感的数据,以保护敏感数据的隐私和安全。数据安全性提高:由于数据在存储和传输过程中都是加密的,可以有效防止数据泄露和攻击。易于管理:TDE的配置和管理相对简单,可以方便地实施和管理。
ORACLE 透明数据加密技术(TDE
04-08
在Oracle的最新版本10g R2中,出现最及时的技术应该是透明数据加密技术(Transparent Data Encryption,TDE)。   TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。 换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且 Oracle 数据库在将信息写入磁盘之前将自动对数据进行加密。 随后的选择操作将透明地解密数据,因此应用程序将继续正常地运行。 这一点很重要,因为当前的应用程序通常期望未加密的应用程序数据。 显示加密数据至少会使应用程序用户迷惑不解,甚至还会破坏现有的应用程序。
浅谈SQL Server的透明数据加密 (TDE)
07-29
一篇关于TDE使用介绍的文章,原本是繁体字的。比SQLServer2008中的联机丛书介绍的要详细。
MySQL安全相关-- TDE和数据脱敏功能介绍
杨建荣的学习笔记
02-21 3122
罗伟文多年的DBA经验,从oracle8i到MySQL,从传统行业到互联网,从音乐直播到电子商务,有大规模高并发数据库集群的实战经验,现任甲骨文云MySQL首席解决方案工程师1T...
mysql 加密 tde_数据加密 - TDE透明数据加密原理
weixin_35161750的博客
01-20 1416
首先需要确定你需要加密的列,Oracle 10g数据库将为包含加密列的表创建一个私密的安全加密密钥(表秘钥),然后采用你指定的加密算法(AES或3DES)加密指定列的明文数据。此时,保护表的加密密钥(表密钥)就非常重要了。Oracle 10g通过一个master密钥来对表密钥进行加密。master密钥保存在一个叫做“钱夹(wallet)”的安全的地方,钱夹可以是数据库服务器上的一个文件,加密的表密...
mysql tde_MySQL :: MySQL Enterprise Transparent Data Encryption (TDE)
weixin_28309571的博客
01-20 290
MySQL Enterprise Transparent Data Encryption (TDE)MySQL Enterprise Transparent Data Encryption (TDE) protects your critical data byenabling data-at-rest encryption in the database. It protects the pri...
MySQL 8.0.35 企业版安装和启用TDE插件keyring_encrypted_file
一个标题
03-04 302
MySQL企业版安装和启用TDE插件keyring_encrypted_file
揭秘SQL Server 2014有哪些新特性(4)-原生备份加密
12-15
SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上影响很坏的数据库泄漏事件,本质上都是数据库备份泄漏给第三方导致,SQL Server的原声数据备份可以使得即使备份本身被盗,在没有加密证书的情况下也无法使用,这有效的解决了上述数据泄漏问题。原先的解决方案     在SQL Server 2014之前,如果希望实现对备份实现加密,会通过如下两种方式之一实现: 使用透明数据加密TDE加密整个数据库,从而使得备份和事务日志也会被加密 使用第三方备份加密工具     首先来谈一下使用透明数据加密,如果仅仅是为了对备份加密,使用TDE有点过于大
透明数据加密(TDE)库的备份和还原
09-11
对于包含敏感数据的库,要实现备份加密。即备份文件别人拿到也不能还原和查看其中的数据
【数据安全】Oracle 透明数据加密(TDE) 完整操作手册
03-17
Oracle 透明数据加密 (TDE) 能够加密存储在表和表空间中的敏感数据,例如手机号码,身份证号等,对于有权访问数据的数据库用户或应用程序,加密数据将被透明地解密。 TDE 可在存储介质或数据文件被盗时保护存储在介质上的数据,无需在程序代码层面做任何改动。 在操作过程中遇到的常见问题均可参照此文档解决,例如: ORA -28330:此数据类型不允许加密 ORA -28331:加密列的大小对于其数据类型来说太长 ORA -28332:加密密钥不能有多个密码 ORA -28333:列未加密 ORA -28334:列已加密 ORA -28335:无法加加密引用或引用的外键约束列
TDE.rar_TDE_TDE源代码
09-23
一个开源著名的TDE编辑器源代码,适用于unix,dos,win32
SQL Server 2008中的代码安全(八)透明加密(TDE)
12-15
当一个用户数据库可用且已启用TDE时,在写入到磁盘时在页级实现加密。在数据页读入内存时解密。如果数据库文件或数据库备份被盗,没有用来加密的原始证书将无法访问。这几乎是SQL Server2008安全选项中最激动人心的功能了,有了它,我们至少可以将一些初级的恶意窥视拒之见外。 下面的两个例子将展示如何启用和维护透明数据加密。 示例一、启用透明加密(TDE)/********************TDE**************** [email protected] ****************/ USE Master GO ——–删除旧主密钥**********************3w@live
MySQL 实战 45 讲』20 - 幻读是什么,幻读有什么问题?
最新发布
Gavinjou大笨象的博客
05-04 771
3. 当执行 select * from t where d=5 for update 的时候,6 个记录加上了行锁,还同时加了 7 个间隙锁,这样就确保无法再插入新的记录。
MySQL —— 表的基本操作
学习C++的小陈同学
04-30 405
本篇整理了和表结构相关的各种基本操作(增删查改等等)
MySQL 之 主从复制
我见青山多妩媚,料青山见我应如是
04-28 571
复制是指将主数据库的DDL 和 DML 操作通过二进制日志传到从库服务器中,然后在从库上对这些日志重新执行,从而使得从库和主库的数据保持同步。MySQL支持一台主库同时向多台从库进行复制, 从库同时也可以作为其他从服务器的主库,实现链状复制。
MySQL】驱动表、被驱动表详解。—— 性能优化。
我梦
05-01 574
MySQL】驱动表、被驱动表详解。—— 性能优化。
MysqlTDE实现
05-23
MySQLTDE(Transparent Data Encryption)是一种数据库加密技术,可以将数据库文件加密以保护数据的安全性。实现MySQLTDE可以使用第三方加密软件或硬件进行加密,也可以使用MySQL自带的加密插件。 以下是使用MySQL自带的加密插件实现TDE的步骤: 1. 安装MySQL插件 MySQL自带了一个加密插件,名为mysql_aes_cbc。可以通过以下命令安装: ``` INSTALL PLUGIN mysql_aes_cbc SONAME 'mysql_aes_cbc.so'; ``` 2. 创建加密表空间 为了加密整个数据库,需要创建一个加密表空间,并将所有表和索引移到该表空间中。可以使用以下命令创建加密表空间: ``` CREATE TABLESPACE `encrypted_tablespace` ADD DATAFILE 'encrypted_tablespace.ibd' ENGINE=INNODB ENCRYPTION='Y'; ``` 其中,encrypted_tablespace是加密表空间的名称,encrypted_tablespace.ibd是加密表空间的数据文件名。 3. 将表和索引移到加密表空间 使用以下命令将表和索引移到加密表空间: ``` ALTER TABLE `table_name` TABLESPACE `encrypted_tablespace`; ALTER INDEX `index_name` ON `table_name` TABLESPACE `encrypted_tablespace`; ``` 其中,table_name是表的名称,index_name是索引的名称。 4. 加密数据文件 使用以下命令对数据文件进行加密: ``` ALTER TABLE `table_name` ENCRYPTION='Y'; ``` 其中,table_name是表的名称。 5. 验证加密 使用以下命令验证是否成功加密: ``` SHOW CREATE TABLE `table_name`; ``` 其中,table_name是表的名称。如果输出结果中包含“ENCRYPTION='Y'”,则表示加密成功。 注意:MySQLTDE只能保护数据在磁盘上的安全,不会加密在内存中的数据。因此,如果服务器被攻击并且MySQL进程已经启动,攻击者可以通过内存中的数据访问到未加密的数据。因此,建议同时使用其他安全措施来保护MySQL服务器的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值