Key Manager存储加密_‘落盘加密‘-运用实例

最新推荐文章于 2025-02-24 02:00:00 发布
最新推荐文章于 2025-02-24 02:00:00 发布
阅读量570 收藏 8
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 区块链 文章标签: 区块链 信任链 去中心化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Pollsp/article/details/142422507

首先我们先创建一个多群组多机构节点网络或者或者其他类型的节点网络。

这里以多群组节点为例。

通过二进制fisco-bcso文件,和配置config文件,创建节点

127.0.0.1:2 agA 1,2,3 30300,20200,8545
127.0.0.1 agB 1 30400,20300,8555
127.0.0.1 agC 2 30500,20400,8565

执行: bash build_chain.sh -f config -e ~/fisco/fisco-bcos

-f :指定节点配置文件
-e:离线部署时 需要用来指定fisco-bcos 的二进制文件

创建完成后,先不要启动。如果你启动了,请删除节点下的datalog文件,再进行下一步。

删除之后的节点文件夹内应该是下图这样:

然后,我们启动key-manager

启动成功会提示

[TRACE][Load]key-manager started,port=8150

然后我们另开一个终端,当前终端不要关闭!

去到script文件夹下:

执行: bash gen_data_secure_key.sh 127.0.0.1 8150 Xiao.

8150:要与刚才启动key-manager的端口一致

Xiao.:可以自定义 但要记住

执行成功后,提示:

CiherDataKey generated: 952dbcc240daedf23d226892ad656d52
Append these into config.ini to enable disk encryption:
[storage_security]
enable=true
key_center_url=127.0.0.1:8150
cipher_data_key=952dbcc240daedf23d226892ad656d52

cipher_data_key要保存好,下面会用到。

接着,我们去修改节点的配置文件:需要加密哪个就修改哪个,如果要全部加密,那就修改全部。将需要加密的节点信息修改 这里修改的是node0

配置文件位置 node0/config.ini

如果我们要修改全部,就要将所有的节点都修改

node0,node1,node2,node3全部手动修改。

可以使用 sed -i命令来批量修改提高效率。

我这里写了一个批量修改[storage_security]的sh脚本,将他放在nodes文件夹中,执行bash s_KeySed.sh 127.0.0.1 8150 952dbcc240daedf23d226892ad656d52,就可以将所有的配置文件修改完成。

127.0.0.1:要与key-manager的ip一致,一般都是127.0.0.1
8150:要与key-manager的端口一致
952dbcc240daedf23d226892ad656d52:替换成刚刚生成的cipher_data_key

可以看到已经修改完成了

s_KeySed.sh的源代码:

sleep 1
programName=${0##*/}
sedS(){
        if [ -z "$3" -o -z "$2" -o -z "$1" ];then
                #echo -e "\e[31m错误:错少参数,--help查看文档\e[0m"
                echo -e "\e[32m[Tips:] bash $programName [ip] [port] [key] \e[0m"
                exit
        fi
        findList=$(grep -rl "enable=" | grep -v $programName)
        echo -e "\e[32m[将修改以下文件] \e[0m"
        echo -e "\e[32m$findList \e[0m"
        sleep 2
        echo -e "\e[44m[Start] \e[0m"

        sed -i "s/enable=false/enable=true/g" $findList
        echo -e "\e[32m_enable=false_=>_enable=true \e[0m"
        sleep 1

        sed -i "s/key_manager_ip=/key_manager_ip=$1/g" $findList
        echo -e "\e[32m_key_manager_ip=_=>_key_manager_ip=$1 \e[0m"
        sleep 1
        sed -i "s/key_manager_port=/key_manager_port=$2/g" $findList
        echo -e "\e[32m_key_manager_port=_=>_key_manager_port=$2 \e[0m"
        sleep 1

        sed -i "s/cipher_data_key=/cipher_data_key=$3/g" $findList
        echo -e "\e[32m_cipher_data_key=_=>_cipher_data_key=$3 \e[0m"
        sleep 1
        echo -e "\e[32m[操作成功] \e[0m"
}

help(){
        echo -e "\e[32m--bash sed.sh [ip] [port] [key] \e[0m"
}


main(){
        if [ "$1" == "--help" ];then
                help
                exit
        fi
        sedS "$1" "$2" "$3"
}
main "$1" "$2" "$3"

下载地址:文件下载-奶牛快传 Download |CowTransfer

修改完节点配置文件之后,我们返回到key-managerscript文件夹:

执行:bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node1/conf/node.key 952dbcc240daedf23d226892ad656d52 来加密节点私钥。

127.0.0.1 8150         //也key-manager配置一样
952dbcc240daedf23d226892ad656d52	//就是上文生成的cipher_data_key

将我们刚刚修改的配置的节点的私钥都加密一遍。

加密node0,node1,node2,node3节点私钥

bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node0/conf/node.key 952dbcc240daedf23d226892ad656d52
bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node1/conf/node.key 952dbcc240daedf23d226892ad656d52
bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node2/conf/node.key 952dbcc240daedf23d226892ad656d52
bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node3/conf/node.key 952dbcc240daedf23d226892ad656d52

加密成功,我们刚刚的key-manager启动窗口会有提示:

好了,启动!节点:

key-manager终端:

启动成功。注意,加密之后每次启动节点之前需要先启动key-manager不然会报错。

【概念】FISCO-BCOS证书进行Dapp开发需要注意什么?讲解config.ini,group.id.genesis,group.id.ini
这里面的代码全是错的
08-14 892
FISCO-BCOS是联盟链,一说到联盟链就少不了证书的存在,无论是节点证书还是加密证书都有着重要的作用,目前证书配置最多的是hyperledger fabric,这一节我们就简单的讲一下爱FISCO-BCOS中的证书config.ini:主配置文件,主要配置RPC、P2P、SSL证书、账本配置文件路径、兼容性等信息。start.sh\stop.sh:单节点启动\单节点关闭group.X.gensis:群组配置文件,群组内所有节点一致,节点启动后,不可手动更改该配置。...............
大数据最佳实践-kafka
program哲学
04-16 6510
kafka各个重难点大全,超详细
fiscoBcos加密实践
以择人之心择己,以恕己之心恕人。
01-11 1083
加密首首先使用keyManager用密码生成了了一个cipherDataKey,在将这个私钥配置到节点的配置文件中,并启用了keyManager服务。这样节点本身不会在本地磁存储datakey,而是存储加密过后的cipherDataKey。节点启动后在拿cipherDataKeykey Manager请求获取到datakey,而datakey只存在节点 的内存中,当节点关闭后,datakey自动丢弃。切换到/root/fisco/node/127.0.0.1/node0路径下。
军用级磁加密
我还在的博客
10-05 1525
军用级磁加密0x00 前言0x01 环境0x02 过程1. SecurStar DriveCrypt2. 安装DriveCrypt 4.61后,需要重新启动计算机。3. 创建的同时会对私有进行加密。4. 创建了一个私有5. 弹出磁6. 重新挂载磁 0x00 前言 这是我对军用级磁加密的学习记录。 0x01 环境 windows xp sp3 0x02 过程 1. SecurStar D...
为 TiDB 文件开启加密
weixin_42241611的博客
09-26 361
当配置项为true时,如果单条 SQL 语句的内存使用超出系统变量的限制,某些算子可以将执行时的中间结果作为临时文件保存,直到查询执行完成之后将它们删除。用户可以开启文件加密功能,防止攻击者通过读取临时文件来访问数据。
FISCO BCOS key-manager 加密
2301_80858996的博客
02-24 330
FISCO BCOS key-manager 加密
LUKS磁加密
Linux学习与应用
06-24 740
近期又有一个新的操作了,那就是需要对新挂载的磁进行加密,该磁拿走到其它服务器设备上不可见,需要解密才能使用。 一般平时我们没有这样的需求,随着网络安全的提升,不管是网络还是系统,还有磁都需要更加强大的安全性,保证数据的安全。 磁加密流程: 新挂载磁创建分区 fdisk /dev/sdb #/dev/sdb为挂载系统自动识别的设备号 以下是执行上述命令键入的命令: n p ...
Linux下加密
weixin_33955681的博客
01-13 162
2019独角兽企业重金招聘Python工程师标准>>> ...
php-2025面试题准备
weixin_40896800的博客
01-18 1712
一api接口安全解决方案-sign 1前端工程师把app版本号、app类型、手机设备号、手机型号、时间戳等参数放入header,并把参数做aes加密处理生成sign字符串,每次http请求都携带sign 2后端拿到header的参数和sign对参数进行校验,判断sign时间是否过期。 3sign唯一性,sign存入缓存,设置过期时间,保证sign的唯一性。 ...
GaussDB技术解读——GaussDB架构介绍(五)
Gauss松鼠会
06-19 5380
本篇将从关键技术方案的事务存储组件、SQL引擎组件、DCS组件、实时分析组件等方面继续介绍GaussDB云原生架构。
key-manager:一个小型库,用于管理关键状态和功能
04-28
关键经理 一个小的库来处理键输入 动作 操作允许将多个键映射到一个功能。 如果在注册操作时调用了回调函数,则每当按下绑定到该操作的键之一时,都会调用该回调函数。 按键 零个或多个键可以映射到一个动作。 要检查是否按下了与某个动作相关的键之一,请将动作标识符传递给isDown 。 例子 检查按键是否按下 创建keyManager和名为“ left”的功能 this . keyManager = new KeyManager ( ) ; this . keyManager . registerAction ( 'left' ) ; 同时设置left-arrow和a以映射到“向左” // map both `a` and `left-arrow` this . keyManager . registerKey ( 37 , 'left' ) ; this . keyManager . re
KeyManager-3.9.37.dmg keymanager: 3.9.37
03-15
提供安全便捷的SSL证书申请和管理 AES256位私钥加密存储,守护您的资产和品牌声誉。 全新 2.0 正式上线 全新UI,支持梦幻蓝/暗黑模式; 重新设计功能菜单,操作更友好; 支持恢复密钥,解决密码忘记问题; 如果恢复密钥也丢失,还支持重置密钥库; KeyManager 能够提供什么? 高效的证书申请:自动的生成私钥和CSR并提交订单,待用户完成验证后自动存储证书合并私钥 便捷的证书管理:支持多种证书格式导入、导出功能,查看完整的证书信息。 安全的私钥存储: 使用AES256高强度算法加密存储。 证书服务商集成:可自由获得TrustAsia、Let’s Encrypt颁发的 免费证书。 支持自动化注册和安装 扩展能力。 证书发现:扫描网站并管理所有发现的证书。 为什么选择KeyManager? 高效便捷 高效便捷的一站式证书申请,避免繁琐的申请流程,轻轻松松获取你属意的机构颁发的证书。 兼容性 + 跨平台 良好的兼容性,管理软件跨平台。 支持平台:MacOS、Windows、Linux。 可见性 提供对所有证书活动、密钥安全存储、密钥操作日志的详细了解,避免证书过期的风险。
KeyManager-Setup-3.14.0.exe
06-24
高效的证书申请:自动的生成私钥和CSR并提交订单,待用户完成验证后自动存储证书合并私钥 便捷的证书管理:支持多种证书格式导入、导出功能,查看完整的证书信息。 安全的私钥存储: 使用AES256高强度算法加密存储。 证书服务商集成:可自由获得TrustAsia、Let’s Encrypt颁发的 免费证书。 支持自动化注册和安装 扩展能力。 证书发现:扫描网站并管理所有发现的证书。
使用Data Transfer Hub迁移MaxCompute数据至S3数据湖实践
wyd850456107的博客
01-11 1274
一.概述 随着对象存储使用得到广泛普及,越来越多的企业客户从其他云对象存储迁移到Amazon S3时对实时性,安全性,稳定性,易用性和同步效率有不同的要求。其次,数据存储如关系型/非关系型数据库,Elasticsearch,Redis等皆可通过导出文件或快照进行数据导入,使数据迁移变为基于文件的迁移。本文以迁移阿里MaxCompute数据为示例,通过阿里OSS对象存储实时事件触发,部署Data Transfer Hub以将阿里MaxCompute数据导入到Amazon S3数据湖。除了上述场景外,本文也同
填坑!!!解决!!!节点加密后无法启动!!!
ou_my的博客
05-31 557
填坑!!!解决!!!节点加密后无法启动!!!
keymanager、gen_data_secure_key.sh和encrypt_node_key.sh脚本的使用(个人笔记,仅供参考,谢谢!)
ou_my的博客
05-21 1656
加密实现,加理及安全防 密的内容包括合约的数护据、节点的私钥包括key据节点的私钥包括kevmanager、gen_data_secure_key.sh和encrypt_node_key.sh脚本的使用。
linux数据保证,Linux中如何保证数据安全
weixin_34378986的博客
05-12 326
背景在很多IO场景中,我们经常需要确保数据已经安全的写到磁上,以便在系统宕机重启之后还能读到这些数据。但是我们都知道,linux系统的IO路径还是很复杂的,分为很多层,每一层都可能会有buffer来加速IO读写。同时,用户态的应用程序和库函数也可能拥有自己的buffer,这又给IO路径增加了一些复杂性。可见,要想保证数据安全的写到磁上,并不是简单调一个write/fwrite就可以搞定的。那么...
KeyM (Key Manager)
erroror的专栏
10-30 1541
AUTOSAR的Key Management(KeyM)模块为汽车电子系统提供了一套全面的密钥管理功能。通过标准化的接口,KeyM模块实现了密钥的生成、存储、分发、更新、使用授权和销毁等功能,确保密钥管理的安全性和可靠性。在车辆控制系统、车载网络安全、固件更新、远程信息处理和身份认证与授权等应用场景中,KeyM发挥着至关重要的作用。理解并有效利用AUTOSAR KeyM功能,对于开发高效、安全的汽车电子系统具有重大意义。如果你有更多具体问题或需要进一步的支持,请随时告诉我!
Linux:保证数据安全
Listen2You的博客
07-29 809
背景 在很多IO场景中,我们经常需要确保数据已经安全的写到磁上,以便在系统宕机重启之后还能读到这些数据。但是我们都知道,linux系统的IO路径还是很复杂的,分为很多层,每一层都可能会有buffer来加速IO读写。同时,用户态的应用程序和库函数也可能拥有自己的buffer,这又给IO路径增加了一些复杂性。可见,要想保证数据安全的写到磁上,并不是简单调一个write/fwrite就可以搞定的。...
hive --hiveconf hive.session.id=10003__dwd_overseas_top300w_hit_detail_1 --hiveconf hive.cli.tez.session.async=false --hiveconf hive.server2.materializedviews.registry.impl=DUMMY --hiveconf hive.execution.engine=tez --hiveconf hive.exec.compress.output=false -e "set mapred.job.queue.name=regular;$sql_0" || exit 1 解释一下
最新发布
05-15
<think>嗯,用户想了解Hive命令行参数及其作用,特别是hiveconf配置项和执行引擎设置。首先,我需要回忆一下Hive的配置参数,尤其是常用的那些。比如hive.session.id,这应该是用来标识会话的,可能用于日志追踪或者资源管理。然后是hive.execution.engine,这个我记得是用来设置执行引擎的,比如默认是MapReduce,但可以切换成Tez或Spark。 接下来,用户还提到了Tez执行引擎和压缩输出设置。Tez相比MapReduce有什么优势呢?应该是优化了执行计划,减少中间结果的写入,提高执行速度。压缩输出的话,像使用gzip或snappy这样的压缩算法,可以减少存储空间和网络传输时间,但可能会增加CPU负载。 然后需要参考用户提供的引用内容。引用1提到在hive-site.xml中设置hive.execution.engine为tez,这说明配置执行引擎的位置和方法。引用2是关于环境变量的配置,特别是HIVE_AUX_JARS_PATH,需要包含Tez的库文件,这样Hive才能找到相关的依赖。引用3展示了在会话中动态设置执行引擎为Spark,并调整内存和分区数,这说明用户可能需要在不同场景下切换引擎,并根据数据量调整参数。 用户的问题中还提到了hiveconf参数的作用,所以需要详细解释每个参数的意义。比如hive.cli.print.header控制是否打印表头,hive.auto.convert.join是否自动转换Join操作等。同时,要说明这些参数可以在命令行通过--hiveconf设置,或者在脚本里动态配置。 关于Tez的优势,需要分点说明,比如DAG执行、容器复用、动态优化等。压缩设置方面,要提到压缩算法选择、如何配置参数如hive.exec.compress.output,以及不同压缩方式的优缺点。 最后,生成相关问题时,要覆盖参数配置、引擎比较、压缩影响和性能调优等方面,帮助用户深入理解。还要确保回答结构清晰,引用正确,比如引用[^1]和[^2]来支持配置方法,引用[^3]说明执行引擎的动态切换。</think>### Hive命令行参数及hiveconf配置项解析 #### 一、核心hiveconf参数作用 1. **hive.session.id** 自动生成的会话唯一标识符,用于跟踪作业执行链路和资源隔离,例如日志中的`SessionHiveMetaStoreClient`连接标识[^2]。 2. **hive.execution.engine** 控制Hive作业执行引擎的核心参数,支持以下值: - `mr`(默认):MapReduce引擎,稳定性高但性能较低 - `tez`:基于DAG的优化引擎,减少中间结果次数 - `spark`:利用内存计算优势,适合迭代型任务 配置示例: ```sql SET hive.execution.engine=tez; -- 会话级设置[^3] ``` 3. **hive.cli.print.header** 控制查询结果是否显示列名(默认false),常用于数据导出场景: ```sql SET hive.cli.print.header=true; ``` 4. **hive.auto.convert.join** 是否启用MapJoin自动优化(默认true),当小表小于`hive.mapjoin.smalltable.filesize`(默认25MB)时自动转为MapJoin[^2]。 #### 二、Tez执行引擎特性 1. **DAG执行模式** 将多个MapReduce作业合并为单个有向无环图,减少中间数据写入HDFS次数。例如:`SELECT COUNT(DISTINCT uid) FROM logs`原本需要2个MR作业,Tez只需1个DAG。 2. **容器复用机制** 通过`tez.am.container.reuse.enabled=true`保持YARN容器存活,减少作业启动开销。实测显示10GB数据排序任务耗时降低40%[^1]。 3. **动态优化特性** 支持运行时调整并行度(`tez.grouping.split-count`),自动处理数据倾斜(`tez.shuffle-vertex-manager.min-src-fraction=0.25`)。 #### 三、压缩输出配置 1. **输出压缩设置** ```sql SET hive.exec.compress.output=true; -- 启用输出压缩 SET mapreduce.output.fileoutputformat.compress.codec=org.apache.hadoop.io.compress.SnappyCodec; -- 选择编解码器 ``` 支持编解码器对比: | 算法 | 压缩比 | 速度 | CPU消耗 | |--------|-------|-------|--------| | Gzip | 高 | 慢 | 高 | | Snappy | 中 | 快 | 低 | | LZO | 中 | 较快 | 中 | 2. **中间结果压缩** ```sql SET hive.exec.compress.intermediate=true; SET mapreduce.map.output.compress.codec=org.apache.hadoop.io.compress.Lz4Codec; ``` #### 四、典型配置示例 ```shell # 命令行设置参数 hive --hiveconf hive.execution.engine=tez \ --hiveconf hive.exec.compress.output=true \ --hiveconf tez.queue.name=production \ -f query.hql ``` ```xml <!-- hive-site.xml永久配置 --> <property> <name>hive.execution.engine</name> <value>tez</value> </property> <property> <name>hive.tez.container.size</name> <value>4096</value> <!-- 容器内存设置 --> </property> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值