openGauss数据库源码解析 |安全管理源码解析(15)

最新推荐文章于 2024-04-15 15:29:24 发布
最新推荐文章于 2024-04-15 15:29:24 发布
阅读量474 收藏 7
点赞数 5
文章标签: 数据库 安全 openGauss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53596073/article/details/137502385
版权
本文详细介绍了openGauss9.6中用于提升数据安全性的加密解密技术,特别是使用AES128加密算法的gs_encrypt_aes128接口,涉及加密接口函数、随机salt和派生密钥生成、明文加密流程以及密文处理方法。
摘要由CSDN通过智能技术生成

9.6  数据安全技术

openGauss采用了多种加密解密技术来提升数据在各个环节的安全性。

9.6.1  数据加解密接口

用户在使用数据库时,除了需要基本的数据库安全之外,还会对导入的数据进行加密和解密的操作。openGauss提供了针对用户导入数据进行加密和解密的功能接口,用户使用该接口可以对其认为包含敏感信息的数据进行加密和解密操作。

1. 数据加密接口

openGauss提供的加密功能是基于标准的AES128加密算法进行实现,提供的加密接口函数为:

gs_encrypt_aes128 (encryptstr, keystr)

其中keystr是用户提供的密钥明文,加密函数通过标准的AES128加密算法对encryptstr字符串进行加密,并返回加密后的字符串。keystr的长度范围为1~16字节。加密函数支持的加密数据类型包括数值类型、字符类型、二进制类型中的RAW、日期/时间类型中的DATE、TIMESTAMP、SMALLDATETIME等。

加密函数返回的的密文值长度:至少为92字节,不超过4*[(Len+68)/3]字节,其中Len为加密前数据长度(单位为字节)。

使用示例如下:

opengauss=# CREATE table student005 (name text);

opengauss=# INSERT into student005 values(gs_encrypt_aes128('zhangsan','gaussDB123'));

INSERT 0 1

opengauss=# SELECT * FROM student005;

                                             name

----------------------------------------------------------------------------------------------

NrGJdx8pDgvUSE2NN7eM5mFDnSSJ41fq31/0SI2+4kABgOnCu9H2vkjpvcAdG/AhJ8OrBn906Xaj6oqyEHsTbcTvjrU=

(1 row)

加密接口函数是通过函数gs_encrypt_aes128实现的,其代码源文件为:“builtins.h”和“cipherfn.cpp”。

该函数是一个openGauss的存储过程函数,通过用户输入的明文和密钥进行数据的加密操作。

主要流程如图9-29所示。

 

图9-29  数据加密流程

数据加密的代码如下逐个部分介绍。

开始将明文转换为密文过程,相关代码如下:

bool gs_encrypt_aes_speed (GS_UCHAR* plaintext, GS_UCHAR* key, GS_UCHAR* ciphertext, GS_UINT32* cipherlen)

……

获取随机salt值,获取派生密钥,相关代码如下:

/* bool gs_encrypt_aes_speed函数:  */

/* 使用存在的随机salt值  */

    static THR_LOCAL GS_UCHAR random_salt_saved[RANDOM_LEN] = {0};

    static THR_LOCAL bool random_salt_tag = false;

    static THR_LOCAL GS_UINT64 random_salt_count = 0;



    /* 对随机salt值的使用次数限制  */

    const GS_UINT64 random_salt_count_max = 24000000;



    if (random_salt_tag == false || random_salt_count > random_salt_count_max) {

        /* 加密获取随机salt值  */

        retval = RAND_bytes(init_rand, RANDOM_LEN);

        if (retval != 1) {

            (void)fprintf(stderr, _("generate random key failed,errcode:%u\n"), retval);

            return false;

        }

        random_salt_tag = true;

        errorno = memcpy_s(random_salt_saved, RANDOM_LEN, init_rand, RANDOM_LEN);

        securec_check(errorno, "\0", "\0");

        random_salt_count = 0;

    } else {

        errorno = memcpy_s(init_rand, RANDOM_LEN, random_salt_saved, RANDOM_LEN);

        securec_check(errorno, "\0", "\0");

        random_salt_count++;

    }



    plainlen = strlen((const char*)plaintext);

存储用户用户密钥和派生密钥以及salt值。相关代码如下:

bool aes128EncryptSpeed(GS_UCHAR* PlainText, GS_UINT32 PlainLen, GS_UCHAR* Key, GS_UCHAR* RandSalt,

GS_UCHAR* CipherText, GS_UINT32* CipherLen)

{

……

/* 如果随机salt和key没有更新就使用已经存在的派生key,否则就生成新的派生key ’  */



    if (0 == memcmp(RandSalt, random_salt_saved, RANDOM_LEN)) {

        retval = 1;

        /* 掩码保存用户key和派生key  */

        for (GS_UINT32 i = 0; i < RANDOM_LEN; ++i) {

            if (user_key[i] == ((char)input_saved[i] ^ (char)random_salt_saved[i])) {

                derive_key[i] = ((char)derive_vector_saved[i] ^ (char)random_salt_saved[i]);

                mac_key[i] = ((char)mac_vector_saved[i] ^ (char)random_salt_saved[i]);

            } else {

                retval = 0;

            }

        }

    }



    if (!retval) {

        retval = PKCS5_PBKDF2_HMAC(

            (char*)Key, keylen, RandSalt, RANDOM_LEN, ITERATE_TIMES, (EVP_MD*)EVP_sha256(), RANDOM_LEN, derive_key);

        if (!retval) {

            (void)fprintf(stderr, _("generate the derived key failed,errcode:%u\n"), retval);

            ……

            return false;

        }



        /* 为hmac生成mac key  */

        retval = PKCS5_PBKDF2_HMAC((char*)user_key,

            RANDOM_LEN,

            RandSalt,

            RANDOM_LEN,

            MAC_ITERATE_TIMES,

            (EVP_MD*)EVP_sha256(),

            RANDOM_LEN,

            mac_key);

        if (!retval) {

            (void)fprintf(stderr, _("generate the mac key failed,errcode:%u\n"), retval);

            ……

            return false;

        }



        /* 存储随机salt  */

        errorno = memcpy_s(random_salt_saved, RANDOM_LEN, RandSalt, RANDOM_LEN);

        securec_check_c(errorno, "\0", "\0");



        /* 使用随机salt为存储的user key、派生key和mac key做掩码处理  */

        for (GS_UINT32 i = 0; i < RANDOM_LEN; ++i) {

            input_saved[i] = ((char)user_key[i] ^ (char)random_salt_saved[i]);

            derive_vector_saved[i] = ((char)derive_key[i] ^ (char)random_salt_saved[i]);

            mac_vector_saved[i] = ((char)mac_key[i] ^ (char)random_salt_saved[i]);

        }

}

}

使用派生密钥去加密明文。相关代码如下:

GS_UINT32 CRYPT_encrypt(GS_UINT32 ulAlgId, const GS_UCHAR* pucKey, GS_UINT32 ulKeyLen, const GS_UCHAR* pucIV,

GS_UINT32 ulIVLen, GS_UCHAR* pucPlainText, GS_UINT32 ulPlainLen, GS_UCHAR* pucCipherText, GS_UINT32* pulCLen)

……

    cipher = get_evp_cipher_by_id(ulAlgId);

    if (cipher == NULL) {

        (void)fprintf(stderr, ("invalid ulAlgType for cipher,please check it!\n"));

        return 1;

    }

    ctx = EVP_CIPHER_CTX_new();

    if (ctx == NULL) {

        (void)fprintf(stderr, ("ERROR in EVP_CIPHER_CTX_new:\n"));

        return 1;

    }

    EVP_CipherInit_ex(ctx, cipher, NULL, pucKey, pucIV, 1);



    /* 开启填充模式  */

    EVP_CIPHER_CTX_set_padding(ctx, 1);

    /* 处理最后一个block  */

    blocksize = EVP_CIPHER_CTX_block_size(ctx);

    if (blocksize == 0) {

        (void)fprintf(stderr, ("invalid blocksize, ERROR in EVP_CIPHER_CTX_block_size\n"));

        return 1;

}



    nInbufferLen = ulPlainLen % blocksize;

    padding_size = blocksize - nInbufferLen;

    pchInbuffer = (unsigned char*)OPENSSL_malloc(blocksize);

    if (pchInbuffer == NULL) {

        (void)fprintf(stderr, _("malloc failed\n"));

        return 1;

    }

    /* 第一个字节使用“0x80”去填充,其他的使用“0x00”填充  */

    rc = memcpy_s(pchInbuffer, blocksize, pucPlainText + (ulPlainLen - nInbufferLen), nInbufferLen);

    securec_check_c(rc, "\0", "\0");

    rc = memset_s(pchInbuffer + nInbufferLen, padding_size, 0, padding_size);

    securec_check_c(rc, "\0", "\0");

    pchInbuffer[nInbufferLen] = 0x80;



    EVP_CIPHER_CTX_set_padding(ctx, 0);

将加密信息加入密文头方便解密,并转换加密信息为可见的脱敏模式encode。相关代码如下:

    

/*将init rand添加到密文的头部进行解密使用 */

    GS_UCHAR mac_temp[MAC_LEN] = {0};

    errorno = memcpy_s(mac_temp, MAC_LEN, ciphertext + *cipherlen - MAC_LEN, MAC_LEN);

    securec_check(errorno, "\0", "\0");

    errorno = memcpy_s(ciphertext + *cipherlen - MAC_LEN + RANDOM_LEN, MAC_LEN, mac_temp, MAC_LEN);

    securec_check(errorno, "\0", "\0");



    GS_UCHAR temp[RANDOM_LEN] = {0};

    for (GS_UINT32 i = (*cipherlen - MAC_LEN) / RANDOM_LEN; i >= 1; --i) {

        errorno = memcpy_s(temp, RANDOM_LEN, ciphertext + (i - 1) * RANDOM_LEN, RANDOM_LEN);

        securec_check(errorno, "\0", "\0");



        errorno = memcpy_s(ciphertext + i * RANDOM_LEN, RANDOM_LEN, temp, RANDOM_LEN);

        securec_check(errorno, "\0", "\0");

    }

    errorno = memcpy_s(ciphertext, RANDOM_LEN, init_rand, RANDOM_LEN);

    securec_check(errorno, "\0", "\0");

    *cipherlen = *cipherlen + RANDOM_LEN;

    errorno = memset_s(temp, RANDOM_LEN, '\0', RANDOM_LEN);

securec_check(errorno, "\0", "\0");

……

/*对密文进行编码,以实现良好的显示和解密操作*/

    encodetext = SEC_encodeBase64((char*

至此完成加密过程。

openGauss小助手
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Java与openGauss数据库的高校选课管理系统
11-27
针对现有的工作仍处于手工处理、纸面传输阶段,无法满足突破时空限制,提高选课工作效率和标准化水平的需要,用 IDEA 作为开发工具,使用 openGauss 数据库系统,采用了B/S模式开发出的高校学生选课管理系统。...
openGauss数据库管理系统-其他
06-13
openGauss是一款开源的关系型数据库管理系统,它具有多核高性能、全链路安全性、智能运维等企业级特性。 openGauss内核早期源自开源数据库PostgreSQL,融合了华为在数据库领域多年的内核经验,在架构、事务、存储...
华为GAUSS数据库常用的单行操作函数介绍
热门推荐
adamconan的博客
10-27 1万+
介绍在GAUSS数据库里面,众多的数据类型里面对应的那些单行操作函数,方便进行数据的转换和计算处理等。
GBase 8c V3.0.0数据类型——安全函数
futianxia061112的博客
06-27 349
GBase 8c V3.0.0数据类型——安全函数
openGauss 数据库安全—数据加密存储
最新发布
weixin_53596073的博客
04-15 301
提供对导入数据的加密存储。
openssl基础(二)密码库的使用
j5856004的博客
10-13 5174
  上一部分介绍了openssl的部分命令行用法,但很多时候我么还需要在程序中使用openssl,这里主要介绍了使用openssl的密码库进行对称密钥加密的相关知识。 约定 在没有特殊说明的情况下,本文提到的长度指的是字节数目 数据输出 头文件 #include <openssl/bio.h> 函数 int BIO_dump_fp(FILE *fp, const char *s, i...
gs 服务器文件,服务器gs
weixin_36452379的博客
08-06 321
服务器gs 内容精选换一换gs_encrypt_aes128(encryptstr,keystr)描述:使用基于keystr派生出的密钥对encryptstr字符串进行加密,返回加密后的字符串。keystr的长度范围为8~16字节,并且至少包含大写字母、小写字母、数字和特殊字符中的三种字符。支持的加密数据类型:目前数据库支持的数值类型,字符类型,二进制类型中的RA将GaussDB(DWS)提供的O...
openGauss数据库管理系统 v1.1.0-源码.zip
12-10
openGauss数据库管理系统是一款开源的关系型数据库管理系统,专注于提供高性能、高可用性和高安全性的解决方案。v1.1.0版本是其发展过程中的一个重要里程碑,包含了大量的优化和改进。这个压缩包“openGauss数据库...
基于opengauss数据库的酒水销售管理系统
09-30
**基于opengauss数据库的酒水销售管理系统** 1. **系统概述** 1.1 开发目的 该系统旨在提供一个高效且用户友好的酒水销售管理平台,利用opengauss数据库的高性能特性,结合Python编程语言和SQL查询语言,实现对...
openGauss数据库容器化相关操作
09-24
华为开源关系型数据库openGauss,容器化相关操作包括 docker安装、持久化、镜像制作等
使用 SQL 加密函数实现数据列的加解密
u012181546的博客
11-17 1224
数据加密作为有效防止未授权访问和防护数据泄露的技术,在各种信息系统中广泛使用。作为信息系统的核心,GaussDB (DWS) 数仓也提供数据加密功能,包括透明加密和使用 SQL 函数加密。这里主要讨论 SQL 函数加密。GaussDB (DWS) 目前不支持从 Oracle、Teradata 和 MySQL 加密后到 DWS 解密。Oracle、Teradata 和 MySQL 与 DWS 加解密有区别,需要非加密数据迁移到 DWS 后在 DWS 侧进行加解密。
了解下openGauss的密态支持函数/存储过程
Gauss松鼠会
05-25 3538
上期我们介绍了密态查询和使用jdbc连接密态数据库的操作。本期来介绍密态支持函数/存储过程。openGauss 3.0.0版本只支持sql和PL/pgsql两种语言。由于密态支持存储过程中创建和执行函数/存储过程对用户是无感知的,因此使用时语法和非密态无区别。 密态等值查询支持函数存储过程特性新增了系统表gs_encrypted_proc,用于存储参数返回的原始数据类型。下面来看下一些示例。 创建并执行涉及加密列的函数/存储过程 创建密钥,详细步骤请参考使用gsql操作密态数据库和使用JDBC操作密态数
什么标准规定了aes加密_aes 128标准加密使用哪些字符
weixin_39738273的博客
12-22 1144
AES算法基本知识AES的全称是Advanced Encryption Standard,即高级加密标准。该项目由美国国家标准技术研究所(NIST)于1997年开始启动并征集算法,在2000年确定采用Rijndael 作为其最终算法,并于2001年被美国商务部部长批准为新的联邦信息加密标准(FIPS PUB 197)。FIPS PUB 197中说明该标准的正式生效日期是2002年5月26日。该标准...
openGauss支持国密SM3和SM4算法
openGauss的博客
11-15 1464
...
AES128加密
DCBTB的博客
07-01 2686
/**    * 加密    * 模式:AES/CBC/PKCS7Padding    * @author dai    * @param encodeRules 秘钥    * @param content 加密串    * @return    */   public static String AESEncode(String encodeRules, String content, Str...
openGauss数据库源码解析系列文章——数据安全技术(上)
Gauss松鼠会
12-06 5359
在前面文章中介绍过“9.5 审计与追踪”,本篇我们介绍第9章 安全管理源码解析中“9.6 数据安全技术”的相关精彩内容介绍。 openGauss采用了多种加密解密技术来提升数据在各个环节的安全性。 9.6.1 数据加解密接口 用户在使用数据库时,除了需要基本的数据库安全之外,还会对导入的数据进行加密和解密的操作。openGauss提供了针对用户导入数据进行加密和解密的功能接口,用户使用该接口可以对其认为包含敏感信息的数据进行加密和解密操作。 数据加密接口 openGauss提供的加密功能是基于标准的AES
AES128加密解密以及参数的处理
m0_37899810的博客
07-26 3987
AES128加密
AES128的加密解密学习总结
诺言在心的博客
02-01 4958
1.UTF8 互联网的普及,强烈要求出现一种统一的编码方式。string strcode=”我是若见”; byte[] buffer=Encoding.UTF8.GetBytes(strcode); string msg= Encoding.UTF8.GetString(buffer,0,buffer.Length); 注:我是若见2.对Convert.ToBase64String和Conver
opengauss数据库驱动的酒水销售管理系统设计
"这篇文档是关于一个基于opengauss数据库的酒水销售管理系统的课程设计报告,涵盖了系统开发的目的、任务、环境、需求分析、设计过程及系统的运行展示。" 在该系统中,opengauss数据库被用作核心数据存储平台,结合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值