基于openGauss5.0.0全密态数据库等值查询小案例

最新推荐文章于 2024-04-15 15:34:29 发布
最新推荐文章于 2024-04-15 15:34:29 发布
阅读量362 收藏
点赞数
分类专栏: openGauss 文章标签: openGauss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sujiangming/article/details/135214487
版权

基于openGauss5.0.0全密态数据库等值查询小案例

一、全密态数据库简介

  1. 价值体现:
    密态数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息,从而起到保护数据隐私的作用。
    在这里插入图片描述

2. 特性介绍
从用户视角来看,整个密态等值查询的主要功能分为三部分,主要通过新增的KeyTool工具以及openGauss的增强gsql客户端来实现。
首先是客户端密钥管理功能,用户借助新增的KeyTool工具来实现CMK的生成、销毁和更新,同时支持密钥导入导出。通过该KeyTool工具的导入导出功能,CMK可以在不同的客户端间进行传输;同时,KeyTool实现了单个客户端侧的密钥管理,通过配置管理文件,可以对密钥的存储、更新进行管理。
其次该特性提供密钥创建功能和加密表创建功能,通过新增SQL语法“CREATE CLINET MASTER KEY”和“CREATE COLUMN ENCRYPTION KEY”实现在数据库侧记录和管理CMK和CEK元信息,CMK和CEK信息被记录在新增的系统表中。通过扩展“CREATE TABLE”语法为表的每一个敏感信息列指定列加密密钥和加密算法,方便后续数据密文存储。
最后该特性对用户提供密态等值查询能力,该部分功能是整个特性的核心,虽然用户对整个密文查询无感知,但是在指定数据的加密信息后,针对该敏感数据的查询将受限于当前密态等值查询的支持规格。
从整体视角来看,该特性所实现的功能主要是为了用户基于敏感数据保护的诉求来存储管理数据并基于密文数据信息实现查询任务。

二、环境说明

  1. 虚拟机:virtualbox
  2. 操作系统:openEuler 20.03 TLS SP1
  3. 数据库:openGauss 5.0.0 单节点部署

三、测试步骤
1. 创建密钥
2. 创建加密表
3. 全密态等值查询

  1. 创建密钥

    • 创建密钥前,需要规划好本地密钥存储路径,且须保证数据库用户(如omm)具有操作该路径的权限。本案例路径为:/opt/software/openGauss,且该路径目录及文件所属组为omm:dbgrp
    • 将该路径下配置到数据库用户下的环境变量配置文件中,如omm用户下的~/.bashrc
      echo "export LOCALKMS_FILE_PATH=/opt/software/openGauss" >> ~/.bashrc
    • 环境变量生效
      source ~/.bashrc
    • 以gsql全密态方式登录数据库,-C表示开启密态开关
      gsql -d postgres -p 15432 -r -C
    • 创建密钥
      密钥包括CMKCEKCMK是主密钥用于加密CEK;而CEK是数据密钥,用于加密数据。CEK的创建要依赖于CMK,因此要先创建CMK再创建CEK重要说明:当前KEY_STORE仅支持localkms,ALGORITHM 支持RSA_2048、RSA3072和SM2;由于SM2、SM3、SM4等算法属于中国国家密码标准算法,为规避法律风险,需配套使用。如果创建CMK时指定SM4算法来加密CEK,则创建CEK时必须指定SM4_SM3算法来加密数据。
      CREATE CLIENT MASTER KEY ImgCMK WITH (KEY_STORE = localkms, KEY_PATH = "key_path_value", ALGORITHM = RSA_2048);
CREATE COLUMN ENCRYPTION KEY ImgCEK WITH VALUES (CLIENT_MASTER_KEY = ImgCMK, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);
      在这里插入图片描述
      命令执行成功后,会在本地生成密钥文件,如下所示:
      在这里插入图片描述
    • 查看系统表,检查是否有密钥信息:
      openGauss=# SELECT * FROM gs_client_global_keys;
 global_key_name | key_namespace | key_owner | key_acl |        create_date
-----------------+---------------+-----------+---------+----------------------------
 imgcmk          |          2200 |        10 |         | 2023-12-26 09:32:26.048963
(1 row)

openGauss=# SELECT column_key_name,column_key_distributed_id ,global_key_id,key_owner FROM gs_column_keys;
 column_key_name | column_key_distributed_id | global_key_id | key_owner
-----------------+---------------------------+---------------+-----------
 imgcek          |                3618369306 |         33446 |        10
(1 row)

  2. 创建加密表

    • 创建加密表
      CREATE TABLE creditcard_info (id_number int, name text encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC),credit_card  varchar(19) encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC));
    • 查看表结构
      openGauss=# \d+ creditcard_info;
                    Table "public.creditcard_info"
   Column    |       Type        | Modifiers  | Storage  | Stats target | Description
-------------+-------------------+------------+----------+--------------+-------------
 id_number   | integer           |            | plain    |              |
 name        | text              |  encrypted | extended |              |
 credit_card | character varying |  encrypted | extended |              |
Has OIDs: no
Options: orientation=row, compression=no
    • 插入表数据
      INSERT INTO creditcard_info VALUES(1,'joe','6217986500001288393'),(2, 'joy','6219985678349800033');

  3. 全密态等值查询

    • 第一种查询方式:开启密态开关进行查看
      gsql登录数据库,查看如下:全以正常明文显示结果且支撑在加密列上进行等值查询。
      [omm@openEuler02 openGauss]$ gsql -d postgres -p 15432 -r -C
openGauss=# select * from public.creditcard_info;
 id_number | name |     credit_card
-----------+------+---------------------
         1 | joe  | 6217986500001288393
         2 | joy  | 6219985678349800033
(2 rows)

openGauss=# select * from public.creditcard_info where name = 'joe';
 id_number | name |     credit_card     
-----------+------+---------------------
         1 | joe  | 6217986500001288393
(1 row)

openGauss=# select * from public.creditcard_info where name = 'joy';
 id_number | name |     credit_card     
-----------+------+---------------------
         2 | joy  | 6219985678349800033
(1 row)
    • 第二种查询方式:关闭密态开关进行查看,结果如下:加密列全部以密文方式呈现。且无法使用加密列作为等值查询的列或条件。
      [omm@openEuler02 openGauss]$ gsql -p 15432 -d postgres -r 
gsql ((openGauss 5.0.0 build a07d57c3) compiled at 2023-03-29 03:09:38 commit 0 last mr  )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.

openGauss=# \d
                              List of relations
 Schema |      Name       | Type  | Owner |             Storage
--------+-----------------+-------+-------+----------------------------------
 public | creditcard_info | table | omm   | {orientation=row,compression=no}
(1 row)

openGauss=# select * from creditcard_info;
 id_number |                                                                         name                                                                         |
                                         credit_card
-----------+------------------------------------------------------------------------------------------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
         1 | \x011aefabd7469d77248aa31885878bb77607981efec65eff3271053e44b45d639d8976168a31000000dd1092fa8926f98b29d736c9553472bb821d07b9a6ba5ee5d0439e5e73a8adc9 | \x011aefabd79ce3f9ef953994577ecf46395b118f38d3b70a0e55b2c29d4a7817a15ac70799310000004b7153b0fd01156b87abf1ca3f53632a5810777da8cc1a3143dad27e1962bf6bda021e7bd718b40ddc0b3a9ec1ef260d
         2 | \x011aefabd72d06b1228a54a522593d47e067ee949b2e0e69e53c25832141bc1e9b44b922533100000095340c76388706c6551fb67972049c2c09c1b50360e0f3b4e19ab29c84d759f3 | \x011aefabd7b54376da6c719bae031a02cb248bccacfc37008f328ad889b6a7e08aa4a766613100000002379e139f7a9cf407f8e4a1b16ae959120491a787c02eba3c9f4394b799c70ac0a4f5debeeb5a7e312c94e4c71bd1cf
(2 rows)

openGauss=# select * from creditcard_info where name = 'joy';
ERROR:  invalid input syntax for type byteawithoutorderwithequalcol
LINE 1: select * from creditcard_info where name = 'joy';
                                                   ^
openGauss=# select * from public.creditcard_info where name = 'joe';
ERROR:  invalid input syntax for type byteawithoutorderwithequalcol
LINE 1: select * from public.creditcard_info where name = 'joe';
                                                          ^
openGauss=#
    • 第三种查询方式:新建新用户且授予查看表等权限进行查看
      新建普通用户,如testuser
      [omm@openEuler02 openGauss]$ gsql -d postgres -p 15432 -r -C
gsql ((openGauss 5.0.0 build a07d57c3) compiled at 2023-03-29 03:09:38 commit 0 last mr  )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.

openGauss=# create user testuser password 'openGauss@1234';
CREATE ROLE
openGauss=# grant all privileges on public.creditcard_info to testuser;
GRANT
      使用新用户testuser登录到数据库中,执行查询语句,具体如下:
      [omm@openEuler02 openGauss]$ gsql -d postgres -p 15432 -U testuser -W openGauss@1234 -r -C
gsql ((openGauss 5.0.0 build a07d57c3) compiled at 2023-03-29 03:09:38 commit 0 last mr  )
Non-SSL connection (SSL connection is recommended when requiring high-security)
Type "help" for help.

openGauss=> \d
                              List of relations
 Schema |      Name       | Type  | Owner |             Storage
--------+-----------------+-------+-------+----------------------------------
 public | creditcard_info | table |       | {orientation=row,compression=no}
(1 row)

openGauss=> select * from creditcard_info;
ERROR(CLIENT): failed to decrypt column encryption key
openGauss=> select * from creditcard_info where name = 'joe';
ERROR:  invalid input syntax for type byteawithoutorderwithequalcol
LINE 1: select * from creditcard_info where name = 'joe';
                                                   ^
openGauss=> \d+ creditcard_info
                            Table "public.creditcard_info"
   Column    |       Type        | Modifiers  | Storage  | Stats target | Description
-------------+-------------------+------------+----------+--------------+-------------
 id_number   | integer           |            | plain    |              |
 name        | text              |  encrypted | extended |              |
 credit_card | character varying |  encrypted | extended |              |
Has OIDs: no
Options: orientation=row, compression=no

openGauss=> select id_number from creditcard_info;
 id_number
-----------
         1
         2
(2 rows)

openGauss=>
      由此,可看出:
      • 无论是否打开密态开关,都无法查询到加密数据,报错如下:ERROR(CLIENT): failed to decrypt column encryption key
      • 非加密列查询是正常的,如id_number列是正常显示

四、使用约束

数据以列级别进行加密,而无法按照行级别区分加密策略。
除Rename操作外,不支持通过Alter Table语法实现对加密表列的更改(包括加密列和非加密列之间的互转换),支持添加(Add)和删除(Drop)对应的加密列。不支持对加密列设置大部分check限制性语法,但是支持check(column is not null)语法。
当support_extended_features = off时,不支持对加密列使用primary key、unique。当support_extended_features = on时,仅支持确定性加密列使用primary key、unique。
不支持不同数据类型之间的隐式转换。
不支持不同数据类型密文间的集合操作。
不支持加密列创建范围分区。
加密列仅支持repeat和empty_blob()函数。
当前版本只支持gsql和JDBC(部署在linux操作系统)客户端,暂不支持ODBC等其他客户端实现密态等值查询。
使用JDBC客户端时,密态等值查询特性不能与负载均衡或自动选主特性同时开启。
只支持通过客户端执行copy from stdin的方式、\copy命令的方式以及insert into values(…)的方式往密态表中导入数据。
不支持从加密表到文件之间的copy操作。
不支持包括排序、范围查询以及模糊查询等在内的除等值以外的各种密态查询。
支持部分函数存储过程密态语法,密态支持函数存储过程具体约束查看《数据库管理》数据安全管理/密态支持函数/存储过程章节。
不支持通过insert into…select…、merge into语法将非加密表数据插入到加密表数据中。
对于处于连接状态的连接请求,只有触发更新缓存的操作(更改用户、解密加密列失败等)和重新建连后才能感知服务端CEK信息变更。
不支持在由随机加密算法加密的列上进行密态等值查询。
对于密态等值查询运算中如果参与比较的两个属性条件采用不同的数据加密密钥,返回报错。
密态等值查询不支持时序表、外表,不支持ustore存储引擎加密。
对于数据库服务侧配置变更(pg_settings系统表、权限、密钥和加密列等信息), 需要重新建立JDBC连接保证配置变更生效。
不支持多条SQL语句一起执行,insert into语句多批次执行场景不受此条约束限制。
密态数据库对长度为零的空字符串不进行加密。
确定性加密存在频率攻击的潜在风险,不建议在明文频率分布明显的场景下使用。
具体可参考官网:全密态等值查询

到此,简单的openGauss 5.0.0全密态等值查询到此结束,感谢大家查阅,希望对你们有所帮助!!!

若兰幽竹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openGauss5.0.0企业版一主一备一级联安装指南(openGauss课程)
opengauss_master的博客
04-28 1188
- 如果服务器只有一个网卡可用,将backIP1和sshIP1配置成同一个IP -->-- 如果服务器只有一个网卡可用,将backIP1和sshIP1配置成同一个IP -->-- 如果服务器只有一个网卡可用,将backIP1和sshIP1配置成同一个IP -->-- momo488s1上的节点部署信息,其中“name”的值配置为主机名称 -->-- momo488s2上的节点部署信息,其中“name”的值配置为主机名称 -->-- cms主及所有备的hostname -->
全密数据库等值查询
Oliviahome的博客
03-21 380
但无论是传统的线下数据库服务,还是日益增长的云数据库服务,数据库的核心任务都是帮助用户存储和管理数据,在复杂多样的环境下,保证数据不丢失、隐私不泄露、数据不被篡改,同时服务不中断。当查询任务发起后,客户端需要对当前的Query进行解析,如果查询语句中涉及加密列,则对对应的列参数(加密列关联参数)也要进行加密(这里说的加密均需要为确定性加密,否则无法支持对应的查询);加密后的数据会存放在数据库服务端,经过密文运算后服务端返回密文结果集,并在客户端完成最后的解密,获取最终结果。密数据库的总体架构示意图如。
openGaussopenGauss全密等值查询详解
tttzzzqqq2018的博客
11-21 422
【详解】【openGaussopenGauss全密等值查询详解
高斯数据库openGauss适配
热门推荐
u012785397的博客
07-02 1万+
高斯数据库openGauss适配,mysql转高斯数据库
一文汇总全密数据库的基本使用方法
Gauss松鼠会
10-24 3426
1.全密数据库特性简介 全密数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状下仍然无法获得有效的价值信息,从而起到保护数据隐私的能力。 2.全密数据库的客户价值 由于整个业务数据流在数据处理过程中都是以密文形存在,通过全密数据库,可以实现: 保护数据在云上全生命周期的隐私安全,无论数据处于何种状,攻击者都无法从
数据库等值查询概述及操作
Gauss松鼠会
05-23 3579
目录 1. 密等值查询概述 2. 使用gsql操作密数据库 操作步骤 3.使用JDBC操作密数据库 连接密数据库 调用isValid方法刷新缓存示例 执行密等值查询相关的创建密钥语句 执行密等值查询相关的创建加密表的语句 执行加密表的预编译SQL语句 执行加密表的批处理操作 1. 密等值查询概述 随着企业数据上云,数据的安全隐私保护面临越来越严重的挑战。密数据库将解决数据整个生命周期中的隐私保护问题,涵盖网络传输、数据存储以及数据运行;更进一步,密数据库可以.
openGauss_5.0.0 分布式安装包下载地址
08-27
openGauss_5.0.0 分布式镜像下载地址
openGauss-5.0.1 高斯数据库安装包
04-09
高斯数据库安装包,安装教程,主页有请仔细查看 https://blog.csdn.net/weixin_68100450/article/details/137508378?spm=1001.2014.3001.5501 教程链接有详细的安装顺序
虚拟机欧拉系统安装及openGauss安装
01-02
安装步骤使用补助
archive_ openGauss数据库管理系统 v5.0.0 [江西新余电信].zip.zip
09-14
【标题】中的“archive_ openGauss数据库管理系统 v5.0.0 [江西新余电信].zip.zip”表明这是一个关于openGauss数据库管理系统的压缩文件,版本为5.0.0,源自江西新余电信。这暗示我们将探讨openGauss数据库系统的...
openGauss_3.0.0 分布式镜像(openGauss-distributed-CentOS-x86_64.tar.gz
06-30
openGauss是一款开源、高性能、安全、可扩展的分布式数据库系统,由华为公司发起并贡献,旨在为企业级应用提供稳定、可靠的数据存储解决方案。openGauss 3.0.0版本是其发展历程中的一个重要里程碑,该版本在性能、...
【好文推荐】openGauss 5.0.0 数据库安全——全密探究
renxyz的专栏
09-25 444
示例:当KEY_PATH = “key_path_value”, 四个文件的名称分别为key_path_value.pub、key_path_value.pub.rand、 key_path_value.priv、 key_path_value.priv.rand。列name1:RSA_2048_256_CEK,列credit_card1:RSA_3072_256_CEK,列name2:RSA_2048_128_CEK,列credit_card2:RSA_3072_128_CEK,
趟路:centos7.6安装opengauss5.0.0企业版
刘元林的博客
07-07 970
下载opengauss安装介质,截止2023年7月份最新版本长期支持版(LTS:Long Term Support)是5.0.0版本;这里建议安装openGauss 5.0.0 (LTS)。企业版:更像是生产版、极简版:更像开发版本;轻量版:在企业版的基础上去掉了OM、CM等组件。# 这里以CentOS7.6+openGauss_5.0.0 企业版作为验证安装环境;Preinstallation succeeded. #--- 表示预安装成功。使用普通用户执行pip3 install。
面向云服务的GaussDB全密数据库
Gauss松鼠会
01-30 2638
全密数据库,顾名思义与大家所理解的流数据库、图数据库一样,就是专门处理密文数据的数据库系统。数据以加密形存储在数据库服务器中,数据库支持对密文数据的检索与计算,而与查询任务相关的词法解析、语法解析、执行计划生成、事务ACID、数据存储都继承原有数据库能力。
openGauss 数据库安全—全密数据库等值查询
最新发布
weixin_53596073的博客
04-15 706
数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状下仍然无法获得有效的价值信息,从而起到保护数据隐私的作用。
openGauss数据库安全——全密数据库等值查询
m0_61937892的博客
11-23 1369
数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状下仍然无法获得有效的价值信息,从而起到保护数据隐私的作用。
openGauss数据库源码解析系列文章—— 密等值查询技术详解(上)
Gauss松鼠会
06-21 5528
除了传统的数据存储加密和数据脱敏等数据保护技术外,openGauss从1.1.0版本开始支持了一种全新的数据全生命周期保护方案:全密数据库机制。在这种机制下数据在客户端就被加密,从客户端传输到数据库内核,到在内核中完成查询运算,到返回结果给客户端,数据始终处于加密状。与非加密数据库相比,密等值查询主要提供数据加密和数据检索功能。...............
详解GBase 8c数据库安全之全密数据库等值查询
futianxia061112的博客
04-21 684
详解GBase 8c数据库安全之全密数据库等值查询
openGauss 5.0.0:开源数据库的里程碑与企业级特性提升
openGauss 5.0.0版本是面向数据基础设施的开源数据库,自2020年6月首次发布基础版本1.0.0以来,经过多次迭代升级,不断增强了其在高性能、高可靠、高安全和高智能方面的特性。这个版本在2023年3月达到了5.0.0,带来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

若兰幽竹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值