openGauss数据库源码解析 |安全管理源码解析(20)

于 2024-04-08 11:57:30 发布
阅读量400 收藏 10
点赞数 4
文章标签: 数据库 安全 openGauss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53596073/article/details/137502855
版权

CREATE COLUMN ENCRYPTION KEY语法相关数据结构:

/*  保存创建列加密密钥的语法信息  */

typedef struct CreateClientLogicColumn {

    NodeTag type;

    List *column_key_name;        /*  列加密密钥名称  */

    List *column_setting_params; /*  列加密密钥参数  */

} CreateClientLogicColumn;



/*  保存列加密密钥参数,保存在CreateClientLogicColumn的column_setting_params中  */

typedef struct ClientLogicColumnParam {

    NodeTag type;

    ClientLogicColumnProperty key;

    char *value;

    unsigned int len;

    List *qualname;

    int location;

} ClientLogicColumnParam;



/*  保存列加密密钥参数的key的枚举类型  */

typedef enum class ClientLogicColumnProperty {

    CLIENT_GLOBAL_SETTING,    /*  加密CEK的CMK  */

    CEK_ALGORITHM,             /*  加密用户数据的算法  */

    CEK_EXPECTED_VALUE,       /*  CEK密钥明文,可选参数  */

    COLUMN_COLUMN_FUNCTION,  /*  默认为encryption  */

} ClientLogicColumnProperty;



CREATE COLUMN ENCRYPTION KEY cek_1 WITH VALUES (CLIENT_MASTER_KEY = cmk_1, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);

上面命令的参数说明为:

(1) CLIENT_MASTER_KEY:指定用于加密CEK的CMK对象。
(2) ALGORITHM:CEK被用于加密用户数据,该参数指定加密用户数据的算法,即指定CEK的密钥类型。
(3) ENCRYPTED_VALUE:列加密密钥的明文,默认随机生成,也可由用户指定,用户指定时密钥长度范围为28256位。

列加密密钥创建语法是通过前端解析器将参数解析成CreateClientLogicColumn结构体后,通过校验指定用于加密CEK的CMK对象是否存在后加载CMK缓存,然后通过“HooksManager::ColumnSettings::pre_create”语句调用加密函数“EncryptionColumnHookExecutor::pre_create”来校验各参数并生成或加密ENCRYPTED_VALUE值,最后在“EncryptionPreProcess::set_new_query”函数中替换ENCRYPTED_VALUE参数为CEK密文,重构SQL查询语句。重构后的SQL语句发送给服务端后服务端解析为CreateClientLogicColumn结构体并检查用户namespace等权限,将CEK的信息保存在系统表中。创建CEK的总体流程如图9-40所示,组织结构如图9-41所示。

 

图9-40  列加密密钥CEK创建流程

 

图9-41  客户端主密钥CMK的组织结构

在对CEK参数进行解析后,使用CMK对ENCRYPTED_VALUE参数进行加密,加密完成后使用加密后的ENCRYPTED_VALUE参数和其他参数对创建CEK的语法进行重构。将输入的查询语句转换成加密查询语句的主要函数入口代码如下:

void EncryptionPreProcess::set_new_query(char **query, size_t query_size, StringArgs string_args, int location,
    int encrypted_value_location, size_t encrypted_value_size, size_t quote_num)
{
for (size_t i = 0; i < string_args.Size(); i++) {
    /*  从string_args中读取键值存到变量中  */
        char string_to_add[MAX_KEY_ADD_LEN];
        errno_t rc = memset_s(string_to_add, MAX_KEY_ADD_LEN, 0, MAX_KEY_ADD_LEN);
        securec_check_c(rc, "\0", "\0");
        size_t total_in = 0;
        if (string_args.at(i) == NULL) {
            continue;
        }
        const char *key = string_args.at(i)->key;
        const char *value = string_args.at(i)->value;
        const size_t vallen = string_args.at(i)->valsize;
        if (!key || !value) {
            Assert(false);
            continue;
        }
        Assert(vallen < MAX_KEY_ADD_LEN);
        /*  将key和value构造成encrypted_value = '密文值'的形式  */
        check_strncat_s(strncat_s(string_to_add, MAX_KEY_ADD_LEN, key, strlen(key)));
        total_in += strlen(key);
        check_strncat_s(strncat_s(string_to_add, MAX_KEY_ADD_LEN, "=\'", strlen("=\'")));
        total_in += strlen("=\'");
        check_strncat_s(strncat_s(string_to_add, MAX_KEY_ADD_LEN, value, vallen));
        total_in += vallen;
        check_strncat_s(strncat_s(string_to_add, MAX_KEY_ADD_LEN, "\'", strlen("\'")));
        total_in += strlen("\'");
        Assert(total_in < MAX_KEY_ADD_LEN);
        /*  encrypted_value_location不为空,则说明用户提供EXPECTED_VALUE,将明文值替换成密文值   */
        if (encrypted_value_location && encrypted_value_size) {
            *query = (char *)libpq_realloc(*query, query_size, query_size + vallen + 1);
            if (*query == NULL) {
                return;
            }
            check_memset_s(memset_s(*query + query_size, vallen + 1, 0, vallen + 1));
            char *replace_dest = *query + encrypted_value_location + strlen("\'");
            char *move_src =
                *query + encrypted_value_location + encrypted_value_size + quote_num + strlen("\'");
            char *move_dest = *query + encrypted_value_location + vallen + strlen("\'");
            check_memmove_s(memmove_s(move_dest,
                query_size - encrypted_value_location - encrypted_value_size - strlen("\'") + 1,
                move_src,
                query_size - encrypted_value_location - encrypted_value_size - strlen("\'")));
            query_size = query_size + vallen - encrypted_value_size;
            check_memcpy_s(memcpy_s(replace_dest, query_size - encrypted_value_location, value, vallen));
        } else { 
/*  EXPECTED_VALUE是随机生成的,则直接插入原先的语句中  */
            check_strcat_s(strcat_s(string_to_add, MAX_KEY_ADD_LEN, ","));
            size_t string_to_add_size = strlen(string_to_add);
            *query = (char *)libpq_realloc(*query, query_size, query_size + string_to_add_size + 1);
            if (*query == NULL) {
                return;
            }
            check_memmove_s(memmove_s(*query + location + string_to_add_size, query_size - location, *query + location,
                query_size - location));
            query_size += string_to_add_size;
            check_memcpy_s(memcpy_s(*query + location, query_size - location, string_to_add, string_to_add_size));
        }
        query[0][query_size] = '\0';
    }
    return;
}

接下来创建加密表。 

CREATE TABLE creditcard_info (id_number int, name text encrypted with (column_encryption_key = cek_1, encryption_type = DETERMINISTIC), gender varchar(10) encrypted with (column_encryption_key = cek_1, encryption_type = DETERMINISTIC), salary float4 encrypted with (column_encryption_key = cek_1, encryption_type = DETERMINISTIC),credit_card varchar(19) encrypted with (column_encryption_key = cek_1, encryption_type = DETERMINISTIC));

 创建加密表的SQL语句在语法解析后进入CreateStmt函数处理逻辑,在run_pre_create_statement函数中,对CreateStmt->tableElts中每个ListCell进行判断,当前加密表仍存在一定的约束,加密表列定义及约束处理函数段代码如下:

bool createStmtProcessor::run_pre_create_statement(const CreateStmt * const stmt, StatementData *statement_data)
{
    …
  /*  加密表列定义及约束处理  */
    foreach (elements, stmt->tableElts) {
        Node *element = (Node *)lfirst(elements);
        switch (nodeTag(element)) {
            case T_ColumnDef: {
                …
               /*  校验distribute by是否符合规格  */
                if (column->colname != NULL &&
                    !check_distributeby(stmt->distributeby, column->colname)) {
                    return false;
                }
               /*  列定义处理,存储加密类型,加密密钥等信息  */
                if (!process_column_defintion(column, element, &expr_vec, &cached_columns, 
                    &cached_columns_for_defaults, statement_data)) {
                    return false;
                }
                break;
            }
            /*  处理check, unique 或其他约束  */
            case T_Constraint: {
                Constraint *constraint = (Constraint*)element;
                if (constraint->keys != NULL) {
                    ListCell *ixcell = NULL;
                    foreach (ixcell, constraint->keys) {
                        char *ikname = strVal(lfirst(ixcell));
                        for (size_t i = 0; i < cached_columns.size(); i++) {
                            if (strcmp((cached_columns.at(i))->get_col_name(), ikname) == 0 && !check_constraint(
                                constraint, cached_columns.at(i)->get_data_type(), ikname, &cached_columns)) {
                                return false;
                            }
                        }
                    }
                } else if (constraint->raw_expr != NULL) {
                    if (!transform_expr(constraint->raw_expr, "", &cached_columns)) {
                        return false;
                    }
                }
                break;
            }
            default:
                break;
        }
    }
     …
    /*  加密约束中需要加密的明文数据  */
    if (!RawValues::get_raw_values_from_consts_vec(&expr_vec, statement_data, 0, &raw_values_list)) {
        return false;
    }
    return ValuesProcessor::process_values(statement_data, &cached_columns_for_defaults, 1,
        &raw_values_list);
}

在将创建加密表的查询语句发送给服务端后,服务端创建成功并返回执行成功的消息。数据加密驱动程序能够实现在数据发送到数据库之前透明地加密数据,数据在整个语句的处理过程中以密文形式存在,在返回结果时,解密返回的数据集,从而保证整个过程对用户是透明、无感知的。

openGauss小助手
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Java与openGauss数据库的高校选课管理系统
11-27
针对现有的工作仍处于手工处理、纸面传输阶段,无法满足突破时空限制,提高选课工作效率和标准化水平的需要,用 IDEA 作为开发工具,使用 openGauss 数据库系统,采用了B/S模式开发出的高校学生选课管理系统。...
openGauss数据库管理系统-其他
06-13
openGauss是一款开源的关系型数据库管理系统,它具有多核高性能、全链路安全性、智能运维等企业级特性。 openGauss内核早期源自开源数据库PostgreSQL,融合了华为在数据库领域多年的内核经验,在架构、事务、存储...
openGauss数据库源码解析 |安全管理源码解析(14)
最新发布
weixin_53596073的博客
04-08 754
此函数主要根据判断nodeTag所归属的DDL操作类型,进入不同的审计执行逻辑。在每个工作线程初始化阶段把审计模块加载至线程中,其审计的执行原理是把审计函数赋给SQL生命周期不同阶段的Hook(钩子),当线程执行至SQL处理流程的特定阶段后会进行审计执行判定逻辑。SQL经过优化器得到计划树,此时审计模块的pgaudit_ExecutorEnd函数和pgaudit_ProcessUtility函数分别进行DML和DDL语句的分析,如果和已设置审计策略相匹配,则会调用审计日志接口,生成对应的审计日志。
openGauss数据库源码解析 | openGauss简介(三)
weixin_53596073的博客
03-14 845
同时SQL语言是一种描述性语言,数据库的使用者只是描述了想要的结果,而不关心数据的具体获取方式,输入数据库的SQL语言很难做到以最优形式表示,往往隐含了一些冗余信息,这些信息可以被挖掘生成更加高效的SQL语句。有的算子的启动代价相对较大,比如排序算子,它需要把所有下层算子的输出全部读取到,并且把这些元组排序之后,才能输出第一条元组,因此它的启动代价比较大。openGauss的优化器是基于代价的优化器,对每条SQL语句生成的多个候选的计划,优化器会计算一个执行代价,最后选择代价最小的计划。
openGauss数据库源码解析 | 事务机制源码解析(3)
weixin_53596073的博客
03-21 739
(2) start_xact_command函数开始一个query命令,调用StartTransactionCommand函数,此时事务块上层状态未TBLOCK_DEFAULT,继续调用StartTransaction函数,设置事务底层状态TRANS_START,完成内存、缓存区、锁资源的初始化后将事务底层状态设为TRANS_INPROGRESS,最后在StartTransactionCommand函数中设置事务块上层状态为TBLOCK_STARTED。
openGauss数据库源码解析 | openGauss简介(六)
weixin_53596073的博客
03-14 1019
openGauss相比其他开源数据库主要有高性能、高扩展、可维护性和高可用等特点。
openGauss数据库源码解析 |安全管理源码解析(7)
weixin_53596073的博客
04-07 305
调用函数AlterRole修改用户角色属性时,首先循环判断options,依次提取要修改的角色属性;最后构建一个新的元组,将要更改的属性更新到新元组中,存入系统表pg_authid。同时AlterRole函数也可以用来调整角色的成员关系,结构体中的action字段值设置为1和-1分别表示增加和删除成员关系,该选项将在授予和回收角色章节具体描述。角色属性的修改是通过调用AlterRole函数来实现的,该函数只有一个类型为AlterRoleStmt结构的参数。修改角色的流程如图9-15所示。
openGauss数据库源码解析 | openGauss简介(五)
weixin_53596073的博客
03-14 617
内存引擎源码目录为:/src/gausskernel/storage/mot。内存引擎源码文件如表1-11所示。表1-11 内存引擎源码文件模块源码文件功能mot并发控制管理infra辅助与配置函数memory内存数据管理storage持久化存储system全局控制APIutils日志等通用方法。
openGauss数据库源码解析 | openGauss开发快速入门(4)
weixin_53596073的博客
03-14 897
例如,XML配置文件中同时配置backIp1和backIp2参数,在解析配置文件时仅读取backIp1参数的配置值,不会读取backIp2参数的配置值。数据库名称和各项目录的配置项如下,加粗字体内容为示例,可自行替换。若不配置tmpMppdbPath,默认存放在/opt/huawei/wisequery/安装用户名_mppdb目录下,其中"opt/huawei/wisequery"是默认指定的数据库系统工具目录。(3) 如果需要安装脚本自动创建安装用户时,配置的目录不能与系统创建的默认用户目录耦合关联。
openGauss数据库源码解析 |安全管理源码解析(1)
weixin_53596073的博客
04-07 248
openGauss作为新一代自治安全数据库,提供了丰富的数据库基础安全能力,并逐步完善各类高阶安全能力。这些安全能力涵盖了访问登录认证、用户权限管理、审计与追溯及数据安全隐私保护等。本章节将围绕openGauss安全机制进行源码解读,以帮助数据库内核开发者在进行内核开发时正确地理解和使用安全功能接口,持续为产品提供安全保护能力,或基于当前安全能力进一步开发新的安全能力。不同于数据库其他业务模块,安全管理模块并非逻辑集中的。
openGauss数据库源码解析 | 存储引擎源码解析(27)
weixin_53596073的博客
03-20 197
如图4-40所示,failover(故障切换)时主机是异常状态,所以只有备机参与failover。当数据库主线程“postmaster”线程(简称PM线程)在reaper中收到“startup”线程(即恢复线程)的停止信号后,将实例状态设置为PM_RUN,并将实例HA状态设置为PRIMARY_MODE。如图4-41所示,switchover的过程比failover多了主机降备的处理,备机的流程和failover流程一致,因此没有在图中标出,参考failover流程即可。
openGauss数据库源码解析 | 存储引擎源码解析(28)
weixin_53596073的博客
03-20 428
在一主多备部署场景下,每个CU填充写盘之后都会将CU整体数据记录到日志文件中,从而通过主备的日志复制和备机的日志回放,就可以实现cstore表增量数据的主备同步。在主备从部署场景下,每个CU填充写盘之后会直接将该CU数据拷贝到主机与备机之间的数据发送线程的局部内存中,并在事务提交之前阻塞等待数据发送线程传输完增量的CU数据才能完成事务提交,因此也实现了cstore表增量数据的主备同步。这个过程中比较关键的两点是:文件和日志的拷贝顺序,以及备机第一次启动时选择的日志恢复起始位置。
openGauss数据库管理系统 v1.1.0-源码.zip
12-10
openGauss数据库管理系统是一款开源的关系型数据库管理系统,专注于提供高性能、高可用性和高安全性的解决方案。v1.1.0版本是其发展过程中的一个重要里程碑,包含了大量的优化和改进。这个压缩包“openGauss数据库...
基于opengauss数据库的酒水销售管理系统
09-30
**基于opengauss数据库的酒水销售管理系统** 1. **系统概述** 1.1 开发目的 该系统旨在提供一个高效且用户友好的酒水销售管理平台,利用opengauss数据库的高性能特性,结合Python编程语言和SQL查询语言,实现对...
openGauss数据库容器化相关操作
09-24
华为开源关系型数据库openGauss,容器化相关操作包括 docker安装、持久化、镜像制作等
openGauss数据库管理系统 v2.0.5.zip
03-25
《深入解析openGauss数据库管理系统 v2.0.5》 openGauss数据库管理系统是一款开源、高性能、安全可靠的分布式数据库系统,由华为公司主导开发,旨在为企业级应用场景提供强大而稳定的数据存储与处理能力。v2.0.5...
openGauss数据库管理系统 v3.1.1.zip
03-25
openGauss数据库管理系统是一款由华为公司主导开发的开源关系型数据库系统,旨在提供高性能、高可靠性和安全的数据存储与管理解决方案。v3.1.1版本是openGauss的一个重要里程碑,它在前一版本的基础上进行了诸多优化...
openGauss数据库管理系统 v5.1.0.zip
03-25
openGauss数据库管理系统是一款开源的、高性能的企业级数据库系统,其v5.1.0版本是该系统的一个重要里程碑,旨在提供更稳定、安全和高效的数据库解决方案。在本文中,我们将深入探讨openGauss的核心特性、设计理念...
CentOS系统安装OpenGauss数据库详细流程
03-27
虚拟机安装opengauss数据库的详细安装流程。包括CentOS7.9系统虚拟机(VMware)安装,系统环境配置,opengauss数据库安装配置,opengauss数据库使用。 包括全部需要的软件包的下载地址和安装说明(VMware软件,...
opengauss数据库驱动的酒水销售管理系统设计
"这篇文档是关于一个基于opengauss数据库的酒水销售管理系统的课程设计报告,涵盖了系统开发的目的、任务、环境、需求分析、设计过程及系统的运行展示。" 在该系统中,opengauss数据库被用作核心数据存储平台,结合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值