GaussDB高安全—数据保护:数据透明加密

于 2025-02-21 09:20:19 发布
阅读量1.8k 收藏 37
点赞数 35
CC 4.0 BY-SA版权
分类专栏: GaussDB技术解读 文章标签: gaussdb 安全 网络 人工智能 开源 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/GaussDB/article/details/145762006

书接上文数据库高安全—数据保护:数据动态脱敏从数据动态脱敏方面对高斯数据库的数据保护技术进行了解读,本篇将数据透明加密方面继续介绍GaussDB数据库的高安全性能

5.2 数据透明加密

透明数据加密(Transparent Data Encryption,TDE),也简称透明加密,是指数据库对将要落盘的数据自动进行加密,读取的时候自动进行解密,同时外部用户或应用程序对数据使用过程中对整个加解密过程透明无感知。通过存储层的静态数据加密,可以防止攻击者绕过数据库认证机制直接读取数据存储中的敏感信息,即使磁盘文件被窃取,但磁盘中敏感信息已经加密,窃取者无法解密而得不到有效的用户数据,从而保证了数据的安全。

透明加密不保护传输中的数据,数据在内存中不进行加解密,可以有效的保证内存中数据的读写性能,数据只在落盘时候加密保存。

GaussDB提供的透明加密特性有以下几个优势:

  • 精细的加密粒度:可以支持表级加密,在创建表时指定是否需要被加密,数据库可自动对表中数据进行加密存储。

  • 安全的密钥存储方案:密钥通过外部KMS服务(华为云KMS、混合云KMS)进行托管,数据库通过RESTFUL API进行密钥创建和管理工作。数据的加密密钥的明文,缓存在内存中,使用哈希键值对做索引关系,保证密钥的查询效率,并且提供密钥明文定时清除机制保证密钥明文的安全性。数据加密密钥的密文会跟随数据的PAGE一起落盘存储,从而保证了数据加解密过程中的准确性和高效性。

  • 灵活的密钥轮转方案:一个加密表对应一个数据密钥,当用户认为当前的加密表的密钥时间过长或者不再安全以后,可以使用密钥在线轮转功能,可以将当前加密表的数据加密密钥轮转到新的数据加密密钥。

(1)GaussDB透明加密架构

应用在使用透明加密表的过程中会触发GaussDB的透明数据加密功能:在对加密表做DML插入或者查询操作时,密钥管理模块负责获取数据加密密钥,并在内存中缓存密钥明文,磁盘数据模块负责将数据明文使用密钥明文加密为数据密文并附加密钥密文共同落盘存储;解密时通过读取磁盘上的PAGE信息中的密钥密文,从密钥管理模块获取密钥明文,并解密数据密文为数据明文。GaussDB透明数据加密整体架构如图1所示。

图片

图1 透明加密架构图

(2)加解密流程

当用户启用透明数据加密功能并创建加密表时,数据库会向KMS服务发送API请求获取数据加密密钥的密文,并存入系统表PG_CLASS中。当往加密表中插入数据时,数据会先存在缓冲区管理器的BUFFER中,以明文的形式保存。当BUFFER中的内容需要刷盘时,先在缓存中查找是否有可用的密钥明文缓存,如果有则直接使用,如果没有,则向KMS发送API请求获取密钥明文并同时将明文插入缓存,最后使用密钥明文、随机生成的IV值、用户指定的加密算法对数据进行加密,并且将数据加密密钥密文和IV值插入数据页中,在落盘以后物理文件PAGE页就是数据密文、密钥密文及IV值的集合。而解密是相反的过程。    

密钥管理模块

GaussDB透明加密使用的密钥管理模块(图2)包含两部分:一是GaussDB内部密钥管理者模块,二是外部密钥管理服务KMS。

图片

    

图2 密钥管理模块

内部密钥管理者组件

主要负责数据加密密钥的创建、获取明文等控制行为,并且提供一系列密钥处理机制保证加解密过程的安全性和性能。密钥管理者是整个密钥管理模块的核心大脑,负责所有行为的统筹、执行与管理。

  • 密钥管理:与KMS交互创建数据加密密钥,获取数据加密密钥明文密文。

  • 密钥缓存:将数据加密密钥明文密文进行哈希键值对缓存。

  • 密钥持久化:数据加密密钥密文、主密钥ID会被存入系统表中。

最低0.47元/天 解锁文章
[Oracle] 数据库安全之 - 透明数据加密技术(TDE)
Zhu_Julian's Notes (朱显杰的技术博客)
06-04 4089
关于数据加密的原理,可以参考《[数据安全]谈谈密码学的数学原理》http://blog.youkuaiyun.com/u010415792/article/details/9007931。如何加密的技术都源自这里,在了解具体即时之前,一定要先了解公钥密钥的原理,知其然,也要知其所以然。 Oracle TDE的全称是Transparent Data Encryption 透明数据加密,从10gr2开始
深度揭秘Greenplum数据库透明加密
Greenplum中文社区
08-13 621
htt ...
深入解析数据库透明加密技术
夜未眠风已息
03-30 4794
几种数据库透明加密方式的总结
浅谈数据库透明加密(TDE)
fzq0625的博客
06-16 1373
后者这种加密方式可以控制应用系统的用户对数据的访问权限,并且真实数据对所有数据库用户都是不可见的,是最安全的一种加密方式。SQL注入攻击者如果使用应用系统访问数据库的授权用户对数据库发起攻击,则能够获得加密系统对该用户的相应授权,能够访问到该授权项下的敏感数据。以上所述的几种加密方式,数据加密的位置离用户是逐步靠近的,防护能力也是逐步提升的。对于访问此数据数据库用户和程序,TDE可用于为处理敏感数据的应用程序提供稳健的数据加密,而对应用程序的更改最少或没有更改。这里收集了部分产品的加密能力,供参考。
SQL Server 2008数据库透明加密
12-14
数据透明加密注意事项:   1、数据库加密只能在 企业版本进行,非企业版不能加密   2、数据库加密完成,备份一个加密证书备用   3、数据库一旦加密解除不了加密加密前你可以把备份的数据库还原到任意可以还原的机器数据库上,加密完以后 即使关闭加密,如果要在另外机器上还原也需要吧原先的加密证书导入到机器上)   数据加密步奏   1、创建数据库主密钥(每个数据库只有一个主密钥)   –创建主密钥   use master   CREATE MASTER KEY ENCRYPTION BY PASSWORD ='主密钥'   go   2、创建加密证书 并备份 –创建证书
数据库透明加密是什么?与传统数据库加密有何优势?
qq_39565979的博客
07-27 1437
“xxx拖库”、“xxxx数据泄露”等等层出不穷的安全事件表明,要想根本上解决这种越过网络防护,绕开权控体系,直接复制文件块并异地还原解析的“内鬼”式攻击方式,必须采用存储层的加密技术,确保敏感信息一旦落盘,必须密文存储。随着数据库加密技术在国内市场的兴起,更多数据安全企业的涌入,市面上出现了几种具有代表性的数据库加密技术。.........
【openGauss】数据库安全-透明数据加密
Cui_Yuan_666的博客
08-29 194
透明数据加密(Transparent Data Encryption),是数据库在将数据写入存储介质时对数据进行加密,从存储介质中读取数据时自动解密,防止攻击者绕过数据库认证机制直接读取数据文件中的数据,以解决静态数据泄露问题。该功能对于应用层几乎透明无感知,用户可根据需要决定是否启用透明数据加密功能。
GaussDB(for openGauss):基于 GaussDB 迁移、智能管理构建应用解决方案_opengaussdb主从数据库之间的同步策略
2401_85112308的博客
05-29 1658
GaussDB(for openGauss)为华为自研旗舰产品,华为开放生态,企业高性能数据库,定位为,架构上。
GaussDB安全关键技术一:密态等值查询
最新发布
feng7109的博客
12-30 670
当查询任务发起后,客户端需要对当前的Query进行解析,如果查询语句中涉及加密列,则对对应的列参数(加密列关联参数)也要进行加密(这里说的加密均需要为确定性加密,否则无法支持对应的查询);在客户端解析模块,需要识别所有涉及的属性是否包含加密列信息,如果不涉及则直接返回并将查询发送到服务端,如果涉及加密列,则需要按照对应的列加密密钥和加密算法加密参数信息,然后发送查询任务到服务端。其中在客户端需要设计轻量级的解析模块,完成对查询语句的解析,定义密态等值查询所支持的规格。密态数据库的总体架构示意图如下图所示。
Chapter 1 Securing Your Server and Network(11):使用透明数据库加密
MVP黄钊吉(發糞塗牆)
08-06 4683
如果没有对数据库文件(MDF/LDF等)做权限控制,攻击者可以把这些文件复制走,然后附加到自己机器上进行分析。第一层保护就是对SQL Server文件所在的NTFS文件系统进行权限管控。如果希望进一步保护数据库,可以使用透明数据库加密(Transparent Database Encryption,TDE),这个功能可以保护对应数据库的所有文件,不管有多少个文件。因为文件已经加密,即使这些文件被复制走,如果没有数据库主密钥,也一样不能使用。同时,这种加密不影响用户对数据库的使用,开发人员不需要对此做额外的工
浅谈SQL Server的透明数据加密 (TDE)
07-29
一篇关于TDE使用介绍的文章,原本是繁体字的。比SQLServer2008中的联机丛书介绍的要详细。
华为云GaussDB数据库安全可靠的大管家
SeeK的云技术博客
04-24 2262
要说那个数据库可靠、安全、性能好、即开即用、便捷运维、弹性伸缩,那就是华为云数据库服务了。GaussDB(for openGauss)是华为自研,主打政企核心业务负载的金融级分布式数据库旗舰产品,具备出色的混合负载高性能、金融级高可用等商用能力。 那么华为自研的GaussDB(for openGauss)有什么功能、怎么用以及适用场景我分别介绍一下。 功能特点: 1、混合负载高性能与弹性扩展 在交易事务处理方面采用Numa-Aware技术降低单节点内CPU跨核的内存访问时延,同时结合分布式GTM-Lite的
保护数据安全的必备措施——MySQL数据库免改造透明加密解决方案
www.andang.cn
05-11 787
MySQL数据库透明加密解决方案基于安当TDE透明加密组件,提供了一种高效、安全数据保护机制,帮助企业应对不断增长的数据安全挑战。
数据库透明加密概述】数据库透明加密什么意思?如何用透明加密保护数据安全?(一文读懂)
2401_85865355的博客
10-26 500
数据库透明加密作为一种先进的数据加密技术,以其独特的优势在数据安全领域发挥着重要作用。通过制定加密策略、部署加密模块、实施加密操作以及管理密钥和访问控制等措施,企业可以有效地保护数据安全,防止未经授权的访问和数据泄露。同时,优化性能和确保合规性也是企业在实施透明加密过程中需要关注的重要方面。编辑:文文。
ORACLE TDE 透明数据加密技术
weixin_33730836的博客
07-09 261
从ORALE 10GR2开始出现透明数据加密技术(Transparent Data Encryption,TDE) TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。 换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且 Oracle 数据库在将信息写入磁盘之前将自动对数据进行加密。 随后的选择操作将透明地解密数据,因...
透明加密技术
csdn727的博客
08-14 1360
也被称为,是一种加密方法,它允许数据在存储时自动加密和解密,而不需要用户进行任何手动操作。透明加密技术主要应用于数据库、文件系统和磁盘加密,以确保静态数据安全性。
MySQL TDE 透明数据加密 知识总结
一个标题
03-28 2590
MySQL TDE 透明数据加密 知识总结
关于Oracle透明数据加密(TDE)的两个概念
In-Memory Computing Technology
10-15 591
在上一篇文章“Oracle TDE和表空间中的数据量有关系吗?”中,我们证明了加密和解密的时间和表空间内是否有数据没有关系。本文论证:加密和解密的时间基本相等,如果是Exadata,解密会稍快,因为Exadata支持解密卸载。目前,这两个新增的8G数据文件中并没有数据。另外,通过top观测,无论是在线还是离线,解密消耗的CPU都小于加密。好了,下面开始加密表空间USERS。秘钥已设置好,过程此处略。
如何解决数据库透明加密技术中密钥管理的问题?
SafePloy_SH的博客
06-21 276
但是,密钥管理成为了一个难以绕过的问题,如何保护密钥及保证其安全性是制约加密技术的发展的一个瓶颈。管理密钥,需要考虑密钥的安全性、可管理性、保密性等方面的问题,因此密钥的安全管控成为了数据库透明加密技术中的一个重要问题。针对不同的场景,可以根据不同的策略配置密钥轮换机制,例如根据密钥使用时间长短、数据使用频率等,自动进行密钥处理,保证密钥更新及时有效。下面,就针对这三个方面,提出一些解决密钥管理问题的建议。数据库透明加密技术中,密钥管理面临着密钥规模、密钥管理和流程等方面的问题,管理过程相当复杂。
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Gauss松鼠会

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值