【好文推荐】openGauss 5.0.0 数据库安全——全密态探究

最新推荐文章于 2024-05-27 19:10:12 发布
最新推荐文章于 2024-05-27 19:10:12 发布
阅读量444 收藏
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/renxyz/article/details/133275201
版权

前言

写此文章的目的,主要是验证:

  • openGauss 5.0.0 数据库能够实现哪种加密方式的全密态

  • 全密态数据库的特点

一、全密态介绍

ffc984858dbb5ecc6a24446e3822b6a3.jpeg
b40739ab6f9754eda08083b23549f1ca.jpeg
全密态数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息,从而起到保护数据隐私的能力。

由于整个业务数据流在数据处理过程中都是以密文形态存在,通过全密态数据库,可以实现:

  • 1)保护数据在云上全生命周期的隐私安全。无论数据处于何种状态,攻击者都无法从数据库服务端获取有效信息。

  • 2)帮助云服务提供商获取第三方信任。无论是企业服务场景下的业务管理员、运维管理员,还是消费者云业务下的应用开发者,用户通过将密钥掌握在自己手上,使得高权限用户无法获取数据有效信息。

  • 3)让云数据库服务借助全密态能力更好的遵守个人隐私保护方面的法律法规。

全密态数据库目前支持两种连接方式:gsql连接和jdbc连接。

二、环境准备

本次实验使用的操作系统是centos7.9,openGauss版本是5.0.0,实验直接在一台服务器上面进行。

  • 操作系统
    6f2e09cc7e9b6670c9b6975acda76943.jpeg

  • 数据库版本

    c6f0776fe78897625896ed770584606f.jpeg

三、实验过程

1、创建用户

使用管理员用户登录,然后参加一个qmttest用户,密码设置为"qwer1234!@#$"

CREATE USER qmttest PASSWORD 'qwer1234!@#$';

b220c016fd820bec189f816e0ee2aab1.jpeg

使用qmttest用户登录,连接密态数据库.

-C:是打开密态开关

gsql -p 15400 -d postgres -U qmttest -r -C

14587669c17e3a62deff98864aacc3f1.jpeg

2、创建用户密钥

全密态数据库有两种密钥,即客户端主密钥CMK和数据加密密钥CEK。CMK用于加密CEK,CEK用于加密用户数据。密钥创建的顺序和依赖依次为:创建CMK > 创建CEK。

从这里开始验证加密方式的组合。

序号 主密钥CMK 数据加密密钥CEK 1 RSA_2048 AEAD_AES_256_CBC_HMAC_SHA256 2 RSA_3072 AEAD_AES_128_CBC_HMAC_SHA256 3 SM2 SM4_SM3 2.1 创建客户端主密钥CMK

密钥存储路径:默认情况下,localkms将在(LOCALKMS_FILE_PATH)路径下生成/读取/删除密钥文件,用户可手动配置该环境变量。但是,用户也可以不用单独配置该环境变量,在尝试获取LOCALKMS_FILE_PATH失败时,localkms会尝试获取($GAUSSHOME/etc/localkms/)路径,如果该路径存在,则将其作为密钥存储路径。密钥相关文件名:使用CREATE CMK语法时,localkms将会创建四个与存储密钥相关的文件。示例:当KEY_PATH = “key_path_value”, 四个文件的名称分别为key_path_value.pub、key_path_value.pub.rand、 key_path_value.priv、 key_path_value.priv.rand。所以,为了能够成功创建密钥相关文件,在密钥存储路径下,应该保证没有已存在的与密钥相关文件名同名的文件。

2.1.1 RSA_2048
使用RSA_2048加密算法进行创新CMK 名称:qmt_rsa2048CREATE CLIENT MASTER KEY qmt_rsa2048 WITH (KEY_STORE = localkms , KEY_PATH = "qmt_rsa2048", ALGORITHM = RSA_2048);

91ac3418c7a89d854c2c6a995dd1cf1f.jpeg
查看生成的相应加密文件

421c82129f1467ee54c9f211fbc2795e.jpeg

2.1.2 RSA_3072
使用RSA_3072加密算法进行创建CMK 名称:qmt_RSA3072CREATE CLIENT MASTER KEY qmt_RSA3072 WITH (KEY_STORE = localkms , KEY_PATH = "qmt_RSA3072", ALGORITHM = RSA_3072);
c14b3def2e2eb5e415cee3f0263685e6.jpeg
查看生成的相应加密文件
c7a4a4ea4b09be7ba7febd6cef8d0cad.jpeg
2.1.3 SM2
使用SM2加密算法进行创建CMK 名称:qmt_SM2CREATE CLIENT MASTER KEY qmt_SM2 WITH (KEY_STORE = localkms , KEY_PATH = "qmt_SM2", ALGORITHM = SM2);

81349a80d16c5dc34c5d477a22bae570.jpeg
查看生成的相应加密文件
dee39844c07444e10d053476ea4cd412.jpeg

2.2 创建数据加密密钥CEK

2.2.1 AEAD_AES_256_CBC_HMAC_SHA256
使用 RSA_2048 + AEAD_AES_256_CBC_HMAC_SHA256 创建CEK 名称:RSA_2048_256_CEKCREATE COLUMN ENCRYPTION KEY RSA_2048_256_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_rsa2048, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);

c470fc5332fdaa646375497953400b80.jpeg

使用 RSA_3072 + AEAD_AES_256_CBC_HMAC_SHA256 创建CEK 名称:RSA_3072_256_CEKCREATE COLUMN ENCRYPTION KEY RSA_3072_256_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_RSA3072, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);

0f0a4a2430ad918cab0b320be1f47e4c.jpeg

使用 SM2 + AEAD_AES_256_CBC_HMAC_SHA256 创建CEK 名称:SM2_256_CEK 创建失败CREATE COLUMN ENCRYPTION KEY SM2_256_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_SM2, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);

有报错

ERROR(CLIENT): National secret algorithm must be used together.

国家密码算法必须一起使用

e118e16a444cf742f618949c4586adba.jpeg

2.2.2 AEAD_AES_128_CBC_HMAC_SHA256
使用 RSA_2048 + AEAD_AES_128_CBC_HMAC_SHA256 创建CEK 名称:RSA_2048_128_CEKCREATE COLUMN ENCRYPTION KEY RSA_2048_128_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_rsa2048, ALGORITHM = AEAD_AES_128_CBC_HMAC_SHA256);

a81ce2a0e0531c370ff1b072da98f98d.jpeg

使用 RSA_3072 + AEAD_AES_128_CBC_HMAC_SHA256 创建CEK

名称:RSA_3072_128_CEK

CREATE COLUMN ENCRYPTION KEY RSA_3072_128_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_RSA3072, ALGORITHM = AEAD_AES_128_CBC_HMAC_SHA256);

6e1db1989e47a5972efcb80ebd168ca3.jpeg

使用 SM2 + AEAD_AES_128_CBC_HMAC_SHA256 创建CEK 名称:SM2_128_CEK 创建失败CREATE COLUMN ENCRYPTION KEY SM2_128_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_SM2, ALGORITHM = AEAD_AES_128_CBC_HMAC_SHA256);

有报错

ERROR(CLIENT): National secret algorithm must be used together.

国家密码算法必须一起使用

032722a009d9a41e208555b4e663d15a.jpeg

2.2.3 SM4_SM3
使用 RSA_2048 + SM4_SM3 创建CEK 名称:RSA_2048_SM4_SM3_CEK 创建失败CREATE COLUMN ENCRYPTION KEY RSA_2048_SM4_SM3_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_rsa2048, ALGORITHM =SM4_SM3);

有报错

ERROR(CLIENT): National secret algorithm must be used together.

国家密码算法必须一起使用

6062c181303c46588c99b6e128f73687.jpeg
使用 RSA_3072 + SM4_SM3 创建CEK

名称:RSA_3072_SM4_SM3_CEK

创建失败

CREATE COLUMN ENCRYPTION KEY RSA_3072_SM4_SM3_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_RSA3072, ALGORITHM = SM4_SM3);

有报错

ERROR(CLIENT): National secret algorithm must be used together.

国家密码算法必须一起使用

9b0897529a93ac7f7d803797f97fc316.jpeg

使用 SM2 + SM4_SM3 创建CEK

名称:SM2_SM4_SM3_CEK

CREATE COLUMN ENCRYPTION KEY SM2_SM4_SM3_CEK WITH VALUES (CLIENT_MASTER_KEY = qmt_SM2, ALGORITHM = SM4_SM3);

d21d5a68ed4a4a199f50a446cea1b6ac.jpeg

2.3 总结

序号 数据加密密钥CEK 主密钥CMK 组合名称 是否创建成功 1 AEAD_AES_256_CBC_HMAC_SHA256 RSA_2048 RSA_2048_256_CEK 2 AEAD_AES_256_CBC_HMAC_SHA256 RSA_3072 RSA_3072_256_CEK 3 AEAD_AES_256_CBC_HMAC_SHA256 SM2 SM2_256_CEK 4 AEAD_AES_128_CBC_HMAC_SHA256 RSA_2048 RSA_2048_128_CEK 5 AEAD_AES_128_CBC_HMAC_SHA256 RSA_3072 RSA_3072_128_CEK 6 AEAD_AES_128_CBC_HMAC_SHA256 SM2 RSM2_128_CEK 7 SM4_SM3 RSA_2048 RSA_2048_SM4_SM3_CEK 8 SM4_SM3 RSA_3072 SA_3072_SM4_SM3_CEK 9 SM4_SM3 SM2 SM2_SM4_SM3_CEK

国密加密算法 SM2 SM4_SM3 不能和其他加密方式组合。

目前创建数据加密密钥CEK是成功的,下面进行使用测试。

3、表加密测试

3.1 使用RSA_2048_256_CEK创建加密表

  • 表名称:RSA_2048_256_TB

CREATE TABLE RSA_2048_256_TB (id_number int, name text encrypted with (column_encryption_key = RSA_2048_256_CEK, encryption_type = DETERMINISTIC),credit_card varchar(19) encrypted with (column_encryption_key = RSA_2048_256_CEK, encryption_type = DETERMINISTIC));

2ada8ffb6aecf0046224ff94d3842515.jpeg

  • 插入数据

INSERT INTO RSA_2048_256_TB VALUES (1,'joe','6217986500001288393');
INSERT INTO RSA_2048_256_TB VALUES (2,'joy','6219985678349800033');

57ce31e203e654ddec606cb64a1951fb.jpeg

  • 客户端查询数据

select * from RSA_2048_256_TB;

e7aa31939bc1791d9bd767f7603af8ee.jpeg

  • 通过不加 -C 登录查询数据

gsql -p 15400 -d postgres -U qmttest -r
select * from RSA_2048_256_TB;

246efe5e8314b22e0c667b9c85293da6.jpeg
可以看出,数据已经加密。

加密成功,查询成功

3.2 使用RSA_3072_256_CEK创建加密表

名称:RSA_3072_256_TB

CREATE TABLE RSA_3072_256_TB (id_number int, name text encrypted with (column_encryption_key = RSA_3072_256_CEK, encryption_type = DETERMINISTIC),credit_card varchar(19) encrypted with (column_encryption_key = RSA_3072_256_CEK, encryption_type = DETERMINISTIC));

7ff5b4c0a760a54ef03bc40ca03291d6.jpeg

  • 插入数据

INSERT INTO RSA_3072_256_TB VALUES (1,'joe','6217986500001288393');
INSERT INTO RSA_3072_256_TB VALUES (2,'joy','6219985678349800033');

af03d6546dbfc8ff6f08b9ff6523aefe.jpeg

  • 客户端查询数据

select * from RSA_3072_256_TB;

cf89c91e786d4fcc0151a16e08664638.jpeg

  • 通过不加 -C 登录查询数据

gsql -p 15400 -d postgres -U qmttest -r
select * from RSA_3072_256_TB;

040738819d17b1f12bab3c61ce08b97f.jpeg

3.3 使用RSA_2048_128_CEK创建加密表

名称:RSA_2048_128_TB

CREATE TABLE RSA_2048_128_TB (id_number int, name text encrypted with (column_encryption_key = RSA_2048_128_CEK, encryption_type = DETERMINISTIC),credit_card varchar(19) encrypted with (column_encryption_key = RSA_2048_128_CEK, encryption_type = DETERMINISTIC));

c345f7c2eebcc56ce49cb48e5e436250.jpeg

  • 插入数据

INSERT INTO RSA_2048_128_TB VALUES (1,'joe','6217986500001288393');
INSERT INTO RSA_2048_128_TB VALUES (2,'joy','6219985678349800033');

9eb311bf3a02a40bec9b327b996813d1.jpeg

  • 客户端查询数据

select * from RSA_2048_128_TB;

f2b6b6df5cf2b42a71ec952ae015770b.jpeg

  • 通过不加 -C 登录查询数据

gsql -p 15400 -d postgres -U qmttest -r
select * from RSA_2048_128_TB;

7aa8fff7fd2904024dc25dd8cf3a60dc.jpeg

3.4 使用RSA_3072_128_CEK创建加密表

名称:RSA_3072_128_TB

CREATE TABLE RSA_3072_128_TB (id_number int, name text encrypted with (column_encryption_key = RSA_3072_128_CEK, encryption_type = DETERMINISTIC),credit_card varchar(19) encrypted with (column_encryption_key = RSA_3072_128_CEK, encryption_type = DETERMINISTIC));

8fabcc33831f48a46c67e96a1528cd44.jpeg

  • 插入数据

INSERT INTO RSA_3072_128_TB VALUES (1,'joe','6217986500001288393');
INSERT INTO RSA_3072_128_TB VALUES (2,'joy','6219985678349800033');

f1087556823d1742ac03ac7f064e9d18.jpeg

  • 客户端查询数据

select * from RSA_3072_128_TB;

d7f642633f3d5d190d981e617438a8a6.jpeg

  • 通过不加 -C 登录查询数据

gsql -p 15400 -d postgres -U qmttest -r
select * from RSA_3072_128_TB;

40b14bf87c9d06b13a9b21e46377dd8d.jpeg

3.5 使用SM2_SM4_SM3_CEK创建加密表

名称:SM2_SM4_SM3_TB

CREATE TABLE SM2_SM4_SM3_TB (id_number int, name text encrypted with (column_encryption_key = SM2_SM4_SM3_CEK, encryption_type = DETERMINISTIC),credit_card varchar(19) encrypted with (column_encryption_key = SM2_SM4_SM3_CEK, encryption_type = DETERMINISTIC));

8c93eb067b5e769b7c6411a3932f025c.jpeg

  • 插入数据

INSERT INTO SM2_SM4_SM3_TB VALUES (1,'joe','6217986500001288393');
INSERT INTO SM2_SM4_SM3_TB VALUES (2,'joy','6219985678349800033');

f0c3d8e762241e4ee146e59408c43c36.jpeg

  • 客户端查询数据

select * from SM2_SM4_SM3_TB;

96c6ea1a682a73f7b079ea7c0a4dda9d.jpeg

  • 通过不加 -C 登录查询数据

gsql -p 15400 -d postgres -U qmttest -r
select * from SM2_SM4_SM3_TB;

5aaf882b139d05ade9f7f2388e7615e2.jpeg

4、组合加密方式验证

同一个表中,不同的列使用不同的加密方式。

  • 表名称:all_TB

说明:不同的列,使用不同的加密方式。
列id_number:不使用加密
列name1:RSA_2048_256_CEK,列credit_card1:RSA_3072_256_CEK,
列name2:RSA_2048_128_CEK,列credit_card2:RSA_3072_128_CEK,
列name3:SM2_SM4_SM3_CEK

CREATE TABLE all_TB (id_number int, name1 text encrypted with (column_encryption_key = RSA_2048_256_CEK, encryption_type = DETERMINISTIC),credit_card1 varchar(19) encrypted with (column_encryption_key = RSA_3072_256_CEK, encryption_type = DETERMINISTIC),name2 text encrypted with (column_encryption_key = RSA_2048_128_CEK, encryption_type = DETERMINISTIC),credit_card2 varchar(19) encrypted with (column_encryption_key = RSA_3072_128_CEK, encryption_type = DETERMINISTIC),name3 text encrypted with (column_encryption_key = SM2_SM4_SM3_CEK, encryption_type = DETERMINISTIC));

365555d2d0230fbe39e01c91409e6277.jpeg

  • 插入数据

INSERT INTO all_TB VALUES (1,'joe1','6217986500001288393','joe2','6217986500001288393','joe3');
INSERT INTO all_TB VALUES (2,'joy1','6219985678349800033','joy2','6219985678349800033','joy3');

badd334632a73d84dc57c428ad9199f1.jpeg

  • 客户端查询数据

select * from all_TB;

3c4852fb9e842178fd5322b1c426d1e2.jpeg

  • 通过不加 -C 登录查询数据

gsql -p 15400 -d postgres -U qmttest -r
select * from all_TB;

bbc95a39f4befa023915b9cb4c6467fe.jpeg

四、总结

  1. 在openGauss 3.0 版本中,国密SM2+SM4_SM3组合使用中,在查询时,是有问题的,openGauss 5.0.0 这个版本中,这个问题已经解决。

  2. 同一个表中,列可以是加密的,也可以是不加密的。

  3. 同一个表中,可以有不同的加密方式。

  4. 想要查询到明文,客户端必须有密钥文件,密钥文件需要进行妥善保管。


renxyz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openGauss学习笔记-113 openGauss 数据库管理-设置安全策略-设置帐户安全策略
超哥的博客
11-03 370
openGauss为帐户提供了自动锁定和解锁帐户、手动锁定和解锁异常帐户和删除不再使用的帐户等一系列的安全措施,保证数据安全。
openGauss 安全性
2301_79720856的博客
05-07 320
用于复制连接的角色必须具有REPLICATION属性(或者是具有SYSADMIN权限用户)。角色的访问权限必须在pg_hba.conf中配置,并且必须具有LOGIN属性。在从发布者读到每一个更改记录时不会重新检查特权,在每一个更改被应用时也不会重新检查特权。要把表加入到一个发布,用户必须在该表上有拥有权。要创建一个自动发布所有表的发布,用户必须是一个具有SYSADMIN权限用户。订阅的应用过程将在本地数据库上以具有SYSADMIN权限用户的特权运行。要创建订阅,用户必须是一个具有SYSADMIN权限用户。
openGauss 密态数据库连接操作
最新发布
ikeseo的博客
05-27 337
数据库安装完成后,默认生成名称为postgres的数据库。第一次连接数据库时可以连接到此数据库。-C表示密态数据库开启,可以创建密钥和加密表。以操作系统用户omm登录数据库主节点。执行如下命令连接数据库
openGauss数据库安全策略配置】--openGauss数据库账户及密码设置
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
06-22 1万+
通过本章你将了解或学习到openGauss数据库帐户安全策略、帐号有效期、密码安全策略方面的配置。
openGauss数据库中的数据安全
Oliviahome的博客
04-11 134
因为在默认配置下,当SQL语句执行错误时,日志中会记录出错的SQL语句,而这些SQL语句中可能包含用户个人数据。因为日志级别(log_min_messages)设置为DEBUGx(x为DEBUG级别,取值范围为1~5)时,调试日志中记录的信息可能包含用户的个人数据。在SQL语句执行性能不符合预期时,可以查看SQL语句执行信息,便于事后分析SQL语句执行时的行为,从而诊断SQL语句执行出现的相关问题。在系统发生严重错误的情况下,可以利用备份文件,将系统恢复到备份前的状态。
openGauss_5.0.0 分布式安装包下载地址
08-27
openGauss_5.0.0 分布式镜像下载地址
虚拟机欧拉系统安装及openGauss安装
01-02
安装步骤使用补助
openGauss-5.0.1 高斯数据库安装包
04-09
高斯数据库安装包,安装教程,主页有请仔细查看 https://blog.csdn.net/weixin_68100450/article/details/137508378?spm=1001.2014.3001.5501 教程链接有详细的安装顺序
archive_ openGauss数据库管理系统 v5.0.0 [江西新余电信].zip.zip
09-14
【标题】中的“archive_ openGauss数据库管理系统 v5.0.0 [江西新余电信].zip.zip”表明这是一个关于openGauss数据库管理系统的压缩文件,版本为5.0.0,源自江西新余电信。这暗示我们将探讨openGauss数据库系统的...
jna-5.0.0.jar中文文档.zip
03-01
(1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以...
openGauss学习笔记-100 openGauss 数据库管理-管理数据库安全-客户端接入之用SSL进行安全的TCP/IP连接
超哥的博客
10-15 1567
openGauss支持SSL标准协议(TLS 1.2),SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。
面向云服务的GaussDB全密态数据库
Gauss松鼠会
01-30 2638
全密态数据库,顾名思义与大家所理解的流数据库、图数据库一样,就是专门处理密文数据的数据库系统。数据以加密形态存储在数据库服务器中,数据库支持对密文数据的检索与计算,而与查询任务相关的词法解析、语法解析、执行计划生成、事务ACID、数据存储都继承原有数据库能力。
全密态数据库等值查询
Oliviahome的博客
03-21 380
但无论是传统的线下数据库服务,还是日益增长的云数据库服务,数据库的核心任务都是帮助用户存储和管理数据,在复杂多样的环境下,保证数据不丢失、隐私不泄露、数据不被篡改,同时服务不中断。当查询任务发起后,客户端需要对当前的Query进行解析,如果查询语句中涉及加密列,则对对应的列参数(加密列关联参数)也要进行加密(这里说的加密均需要为确定性加密,否则无法支持对应的查询);加密后的数据会存放在数据库服务端,经过密文运算后服务端返回密文结果集,并在客户端完成最后的解密,获取最终结果。密态数据库的总体架构示意图如。
数据库密态等值查询概述及操作
Gauss松鼠会
05-23 3579
目录 1. 密态等值查询概述 2. 使用gsql操作密态数据库 操作步骤 3.使用JDBC操作密态数据库 连接密态数据库 调用isValid方法刷新缓存示例 执行密态等值查询相关的创建密钥语句 执行密态等值查询相关的创建加密表的语句 执行加密表的预编译SQL语句 执行加密表的批处理操作 1. 密态等值查询概述 随着企业数据上云,数据的安全隐私保护面临越来越严重的挑战。密态数据库将解决数据整个生命周期中的隐私保护问题,涵盖网络传输、数据存储以及数据运行态;更进一步,密态数据库可以.
基于openGauss5.0.0全密态数据库等值查询小案例
若兰幽竹
12-26 362
密态数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息,从而起到保护数据隐私的作用。2. 特性介绍从用户视角来看,整个密态等值查询的主要功能分为三部分,主要通过新增的KeyTool工具以及openGauss的增强gsql客户端来实现。首先是客户端密钥管理功能。
openGauss数据库源码解析系列文章—— 密态等值查询技术详解(上)
Gauss松鼠会
06-21 5528
除了传统的数据存储加密和数据脱敏等数据保护技术外,openGauss从1.1.0版本开始支持了一种全新的数据全生命周期保护方案:全密态数据库机制。在这种机制下数据在客户端就被加密,从客户端传输到数据库内核,到在内核中完成查询运算,到返回结果给客户端,数据始终处于加密状态。与非加密数据库相比,密态等值查询主要提供数据加密和数据检索功能。...............
密态数据库密钥管理模块扩展
m0_37799882的博客
12-10 765
密钥管理模块 在密态数据库创建CMK的语法中 CREATE CLIENT MASTER KEY client_master_key_name WITH (KEY_STORE = key_store_name, KEY_PATH = "key_path_value", ALGORITHM = algorithm_type); KEY_STORE用来选择对应的密钥管理工具/服务 为了密钥管理模块的可扩展性,使用了回调函数对不同工具/服务的逻辑进行各自的实现,对外提供创建删除以及加解密CEK的接口。
一文汇总全密态数据库的基本使用方法
Gauss松鼠会
10-24 3426
1.全密态数据库特性简介 全密态数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息,从而起到保护数据隐私的能力。 2.全密态数据库的客户价值 由于整个业务数据流在数据处理过程中都是以密文形态存在,通过全密态数据库,可以实现: 保护数据在云上全生命周期的隐私安全,无论数据处于何种状态,攻击者都无法从
openGauss 5.0.0:开源数据库的里程碑与企业级特性提升
openGauss 5.0.0版本是面向数据基础设施的开源数据库,自2020年6月首次发布基础版本1.0.0以来,经过多次迭代升级,不断增强了其在高性能、高可靠、高安全和高智能方面的特性。这个版本在2023年3月达到了5.0.0,带来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值