管理数据库安全:设置密态等值查询——使用gsql操作密态数据库

最新推荐文章于 2024-06-14 12:24:42 发布
最新推荐文章于 2024-06-14 12:24:42 发布
阅读量513 收藏 14
点赞数 19
文章标签: 数据库 openGauss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53596073/article/details/139093101
版权

设置密态等值查询

密态等值查询概述

随着企业数据上云,数据的安全隐私保护面临越来越严重的挑战。密态数据库将解决数据整个生命周期中的隐私保护问题,涵盖网络传输、数据存储以及数据运行态;更进一步,密态数据库可以实现云化场景下的数据隐私权限分离,即实现数据拥有者和实际数据管理者的数据读取能力分离。密态等值查询将优先解决密文数据的等值类查询问题。密态等值查询目前支持客户端工具gsql和JDBC。接下来分别介绍如何使用客户端工具执行密态等值查询的相关操作。

使用gsql操作密态数据库

操作步骤

  1. 以操作系统用户omm登录CN所在主机。

  2. 执行以下命令打开密态开关,连接密态数据库。

    gsql -p PORT postgres -r -C

  3. 创建客户端主密钥CMK和列加密密钥CEK。创建CMK的语法请参考CREATE CLIENT MASTER KEY、创建的CEK的语法请参考CREATE COLUMN ENCRYPTION KEY

    --创建客户端加密主密钥(CMK)
openGauss=# CREATE CLIENT MASTER KEY ImgCMK1 WITH (KEY_STORE = localkms, KEY_PATH = "key_path_value1", ALGORITHM = RSA_2048);
openGauss=# CREATE CLIENT MASTER KEY ImgCMK WITH (KEY_STORE = localkms, KEY_PATH = "key_path_value2", ALGORITHM = RSA_2048);
openGauss=# CREATE COLUMN ENCRYPTION KEY ImgCEK1 WITH VALUES (CLIENT_MASTER_KEY = ImgCMK1, ALGORITHM  = AEAD_AES_256_CBC_HMAC_SHA256);
CREATE COLUMN ENCRYPTION KEY
openGauss=# CREATE COLUMN ENCRYPTION KEY ImgCEK WITH VALUES (CLIENT_MASTER_KEY = ImgCMK, ALGORITHM  = AEAD_AES_256_CBC_HMAC_SHA256);
CREATE COLUMN ENCRYPTION KEY

    查询存储密钥信息的系统表结果如下。

    openGauss=# SELECT * FROM gs_client_global_keys;
 global_key_name | key_namespace | key_owner | key_acl |        create_date
-----------------+---------------+-----------+---------+----------------------------
 imgcmk1         |          2200 |        10 |         | 2021-04-21 11:04:00.656617
 imgcmk          |          2200 |        10 |         | 2021-04-21 11:04:05.389746
(2 rows)
openGauss=# SELECT column_key_name,column_key_distributed_id ,global_key_id,key_owner  FROM gs_column_keys;
 column_key_name | column_key_distributed_id | global_key_id | key_owner
-----------------+---------------------------+---------------+-----------
 imgcek1         |                 760411027 |         16392 |        10
 imgcek          |                3618369306 |         16398 |        10
(2 rows)

  4. 创建加密表。

    openGauss=# CREATE TABLE creditcard_info (id_number    int, name         text encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC),
credit_card  varchar(19) encrypted with (column_encryption_key = ImgCEK1, encryption_type = DETERMINISTIC));
NOTICE:  The 'DISTRIBUTE BY' clause is not specified. Using 'id_number' as the distribution column by default.
HINT:  Please use 'DISTRIBUTE BY' clause to specify suitable data distribution column.
CREATE TABLE

    查询表的详细信息如下,Modifiers值为encrypted则表示该列是加密列。

    openGauss=# \d creditcard_info
        Table "public.creditcard_info"
   Column    |       Type        | Modifiers
-------------+-------------------+------------
 id_number   | integer           |
 name        | text              |  encrypted
 credit_card | character varying |  encrypted

  5. 向加密表插入数据并进行等值查询。

    openGauss=# INSERT INTO creditcard_info VALUES (1,'joe','6217986500001288393');
INSERT 0 1
openGauss=# INSERT INTO creditcard_info VALUES (2, 'joy','6219985678349800033');
INSERT 0 1
openGauss=# select * from creditcard_info where name = 'joe';
 id_number | name |     credit_card
-----------+------+---------------------
         1 | joe  | 6217986500001288393
(1 row)
注意:使用非密态客户端查看该加密表数据时是密文
openGauss=# select id_number,name from creditcard_info;
 id_number |                                                                         name
-----------+------------------------------------------------------------------------------------------------------------------------------------------------------
         1 | \x011aefabd754ded0a536a96664790622487c4d366d313aecd5839e410a46d29cba96a60e4831000000ee79056a114c9a6c041bb552b78052e912a8b730609142074c63791abebd0d38
         2 | \x011aefabd76853108eb406c0f90e7c773b71648fa6e2b8028cf634b49aec65b4fcfb376f3531000000f7471c8686682de215d09aa87113f6fb03884be2031ef4dd967afc6f7901646b
(2 rows)

  6. (可选)对加密表进行alter和update操作。

    openGauss=# ALTER TABLE creditcard_info ADD COLUMN age int ENCRYPTED WITH (COLUMN_ENCRYPTION_KEY = ImgCEK, ENCRYPTION_TYPE = DETERMINISTIC);
ALTER TABLE
openGauss=# \d creditcard_info
        Table "public.creditcard_info"
   Column    |       Type        | Modifiers
-------------+-------------------+------------
 id_number   | integer           |
 name        | text              |  encrypted
 credit_card | character varying |  encrypted
 age         | integer           |  encrypted
openGauss=# ALTER TABLE creditcard_info DROP COLUMN age;
ALTER TABLE
openGauss=# update creditcard_info set credit_card = '80000000011111111' where name = 'joy';
UPDATE 1
openGauss=# select * from creditcard_info  where name = 'joy';
 id_number | name |    credit_card
-----------+------+-------------------
         2 | joy  | 80000000011111111
(1 row)

 

openGauss小助手
关注
  • 19
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据库实验二:openGauss DBMS数据库开发工具的使用,gsql客户端工具,Data Studio 客户端工具
01-04
分别使用gsql客户端工具、Data Studio 客户端工具连接数据库,进行数据库各种基本操作命令的使用,查看数据库对象:查看帮助信息、切换数据库、列举数据库、列举表、列举所有表、视图和索引、查看表结构、列举schema...
OracleDatabase11gSQL_数据库类.rar
09-21
OracleDatabase11gSQL_数据库类.rarOracleDatabase11gSQL_数据库类.rarOracleDatabase11gSQL_数据库类.rarOracleDatabase11gSQL_数据库类.rarOracleDatabase11gSQL_数据库类.rarOracleDatabase11gSQL_数据库类....
管理数据库安全设置密态等值查询——密态支持函数/存储过程
weixin_53596073的博客
05-22 241
密态支持函数/存储过程当前版本只支持sql和PL/pgSQL两种语言。由于密态支持存储过程中创建和执行函数/存储过程对用户是无感知的,因此语法和非密态无区别。密态等值查询支持函数存储过程新增系统表gs_encrypted_proc,用于存储参数返回的原始数据类型。创建函数支持密态等值查询。创建密钥,详细步骤请参考。
openGauss数据库安全——全密态数据库等值查询
m0_61937892的博客
11-23 1355
密态数据库意在解决数据全生命周期的隐私保护问题,使得系统无论在何种业务场景和环境下,数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后,在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息,从而起到保护数据隐私的作用。
【转】openGauss密态黑科技再升级,无感知加解密原理剖析
tpriwwq的专栏
04-06 274
在升级后的openGauss密态数据库中,用户在创建密态函数时,服务端在函数解析模块对参数类型进行校验,如果数据是加密类型,或者该列是加密列,则在优化模块对输入输出及返回参数进行转换,将函数的参数类型转换为加密列类型(二进制类型),并将函数参数的原始数据类型保存在数据库中。
OpenGauss操作 SQL语法详细总结:从入门到进阶
RuanFun的博客
05-25 5545
关于OpenGauss操作SQL语法,看这篇就够啦!详细介绍建表、建立约束、查询、插入索引、创建视图等操作,应有尽有。批量插入数据。创建主码。创建外码。非空约束。唯一性约束。查询约束。创建新用户。创建索引。删除用户。创建数据库隶属某用户。删除数据库。切换数据库。创建模式。创建表。建表时创建约束。查询表数据。查询表中特定字段数据。修改数据行。数据库操作。表操作。模式操作。数据查询。创建视图。更新查询数据库安全。异常处理。
数据库设计建议
Gauss松鼠会
03-14 3472
1.概述 本开发设计建议约定数据库建模和数据库应用程序开发过程中,应当遵守的设计规范。依据这些规范进行建模,能够更好的契合openGauss的分布式处理架构,输出更高效的业务SQL代码。 本开发设计建议中所陈述的“建议”和“关注”含义如下: 建议:用户应当遵守的设计规则。遵守这些规则,能够保证业务的高效运行;违反这些规则,将导致业务性能的大幅下降或某些业务逻辑错误。 关注:在业务开发过程中客户需要注意的细则。用于标识容易导致客户理解错误的知识点(实际上遵守SQL标准的SQL行为),或者程序中潜在的客
openGauss数据库源码解析系列文章—安全管理源码解析(六)
gallopingdb的博客
08-08 202
在用户进行数据查询时,数据动态脱敏特性使用openGauss的HOOK机制,将查询编译生成的查询树钩取出来与脱敏策略进行匹配,最后将查询树按照脱敏策略内容改写成不包含敏感数据的“脱敏”查询树返还给解析层继续执行,最终实现屏蔽敏感数据的能力。在对一个访问数据库资源的查询树进行脱敏之前,需要准备一份待匹配的脱敏策略集合,其依据就是用户登录信息,check_masking_policy_filter函数的任务就是将用户信息与所有的脱敏策略进行匹配,筛选出可能被查询触发的脱敏策略。最终筛选如下脱敏策略。
openGauss 3.0.0 容器镜像来了,欢迎尝鲜!
weixin_54551388的博客
04-07 1449
2022年4月1日,openGauss 3.0.0 版本正式发布!该版本是 openGauss 社区继2.0.0之后发布的又一个Release版本,版本维护生命周期为3.5年。3.0.0版本在高性能、高可用、高安全、高智能、工具链等方面都有持续创新和突破。本版本除了包含企业版以外,还同时发布了 openGauss 社区首个轻量版(Lite版)。openGauss 是一款开...
openGauss数据库源码解析系列文章—安全管理源码解析(三)
openGauss的博客
08-04 192
五、审计与追踪 ...
GIS应用水平考试一级—2009 年度第二次
debbie_luo1211571826的博客
01-28 1148
C、使用不同的权值关系进行路径分析,得到的最佳路径也必然不同D、通过在线地图规划出的行车路线,未必是最合理行车路线,在有些情况下,还要综合交通现状、政策、地理特征等众多因素进行判读,所以在线地图的指路服务也只能作为一个参考。基于空间数据的分析技术,以地学原理为依托,通过分析算法,从空间数据中获取有关地理对象的空间位置、空间分布、空间形态、空间形成、空间演变等信息,其根本目的在于通过对空间数据的深加工获取新的信息。在灾后营救中,可以通过GPS技术,实时定位营救人员、车辆、飞机的位置,便于合理指挥、协调工作。
华为高斯(Gauss)gsql客户端安装包及配置说明
03-27
单个高斯数据库OpenGauss)客户端安装包,支持远程连接高斯数据库OpenGauss),不用安装数据库,直接解压即可。
数据库】GaussDB客户端工具介绍
01-09
这次我们来看GaussDB的一些客户端工具,帮助我们更好的操作数据库 一、客户端工具介绍 客户端工具的存在主要是为了让用户更加便捷地连接数据库,对数据库进行各种操作和调试。 zsql介绍: GaussDB 100为用户提供的一...
原生并行图-用于实时深度关联分析的图数据库 Native-Parallel-Graphs.pdf
10-29
相对关系型数据库和NoSQL数据库,定义良好的图数据库在应对信息爆炸和社交网络数据上,具有一些独特的优势。本资源可以学习一些关键性的概念,以及实例参考。
【redis的基本数据类型】
m0_50116974的博客
06-13 484
压缩列表的基本信息包括压缩列表的大小,压缩列表的长度以及最后一个entry的偏移,之所以要有这个偏移,是为了找到最后一个entry,而每个entry都记录上一个元素的大小,通过计算就知道上一个entry的地址,这样方便的从后向前进行遍历。的结构,其分为两部分,8字节的Redis对象元数据信息,8字节的指针,其中Redis对象的元数据信息存储了类型的LRU信息,真正的编码格式等等,而如果字符串存储的是数字类型,则复用了8字节的指针的位置。的操作,但是当列表的元素非常少的时候,其内部使用
canal应用
qq_33816292的博客
06-12 126
canal分享模块链接。
PostgreSQL的系统视图pg_policies
最新发布
lee_vincent1的博客
06-14 324
是 PostgreSQL 的一个系统视图,用于显示数据库中定义的行级安全策略(Row-Level Security Policies)。行级安全策略是一种访问控制机制,它允许你定义基于行的访问控制规则,通过策略来控制用户对特定行数据的访问。行级安全策略在 PostgreSQL 9.5 及之后的版本中引入,旨在增强数据库的安全性,使其能够支持更细粒度的访问控制。
Spring Boot 事务传播机制详解
zhangkai__的博客
06-08 1001
详细解释springboot中的事务传播机制
gaussDB数据库常用操作命令
06-09
以下是一些常用的 GaussDB 数据库操作命令: 1. 进入数据库命令行界面:`gsql` 2. 创建数据库:`createdb databasename` 3. 删除数据库:`dropdb databasename` 4. 连接数据库:`gsql -d databasename -U ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值