Key Manager存储加密_‘落盘加密‘-运用实例

最新推荐文章于 2025-07-22 15:26:55 发布
原创 最新推荐文章于 2025-07-22 15:26:55 发布 · 643 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#区块链 #信任链 #去中心化

首先我们先创建一个多群组多机构节点网络或者或者其他类型的节点网络。

这里以多群组节点为例。

通过二进制fisco-bcso文件,和配置config文件,创建节点

127.0.0.1:2 agA 1,2,3 30300,20200,8545
127.0.0.1 agB 1 30400,20300,8555
127.0.0.1 agC 2 30500,20400,8565

执行: bash build_chain.sh -f config -e ~/fisco/fisco-bcos

-f :指定节点配置文件
-e:离线部署时 需要用来指定fisco-bcos 的二进制文件

创建完成后,先不要启动。如果你启动了,请删除节点下的datalog文件,再进行下一步。

删除之后的节点文件夹内应该是下图这样:

然后,我们启动key-manager

启动成功会提示

[TRACE][Load]key-manager started,port=8150

然后我们另开一个终端,当前终端不要关闭!

去到script文件夹下:

执行: bash gen_data_secure_key.sh 127.0.0.1 8150 Xiao.

8150:要与刚才启动key-manager的端口一致

Xiao.:可以自定义 但要记住

执行成功后,提示:

CiherDataKey generated: 952dbcc240daedf23d226892ad656d52
Append these into config.ini to enable disk encryption:
[storage_security]
enable=true
key_center_url=127.0.0.1:8150
cipher_data_key=952dbcc240daedf23d226892ad656d52

cipher_data_key要保存好,下面会用到。

接着,我们去修改节点的配置文件:需要加密哪个就修改哪个,如果要全部加密,那就修改全部。将需要加密的节点信息修改 这里修改的是node0

配置文件位置 node0/config.ini

如果我们要修改全部,就要将所有的节点都修改

node0,node1,node2,node3全部手动修改。

可以使用 sed -i命令来批量修改提高效率。

我这里写了一个批量修改[storage_security]的sh脚本,将他放在nodes文件夹中,执行bash s_KeySed.sh 127.0.0.1 8150 952dbcc240daedf23d226892ad656d52,就可以将所有的配置文件修改完成。

127.0.0.1:要与key-manager的ip一致,一般都是127.0.0.1
8150:要与key-manager的端口一致
952dbcc240daedf23d226892ad656d52:替换成刚刚生成的cipher_data_key

可以看到已经修改完成了

s_KeySed.sh的源代码:

sleep 1
programName=${0##*/}
sedS(){
        if [ -z "$3" -o -z "$2" -o -z "$1" ];then
                #echo -e "\e[31m错误:错少参数,--help查看文档\e[0m"
                echo -e "\e[32m[Tips:] bash $programName [ip] [port] [key] \e[0m"
                exit
        fi
        findList=$(grep -rl "enable=" | grep -v $programName)
        echo -e "\e[32m[将修改以下文件] \e[0m"
        echo -e "\e[32m$findList \e[0m"
        sleep 2
        echo -e "\e[44m[Start] \e[0m"

        sed -i "s/enable=false/enable=true/g" $findList
        echo -e "\e[32m_enable=false_=>_enable=true \e[0m"
        sleep 1

        sed -i "s/key_manager_ip=/key_manager_ip=$1/g" $findList
        echo -e "\e[32m_key_manager_ip=_=>_key_manager_ip=$1 \e[0m"
        sleep 1
        sed -i "s/key_manager_port=/key_manager_port=$2/g" $findList
        echo -e "\e[32m_key_manager_port=_=>_key_manager_port=$2 \e[0m"
        sleep 1

        sed -i "s/cipher_data_key=/cipher_data_key=$3/g" $findList
        echo -e "\e[32m_cipher_data_key=_=>_cipher_data_key=$3 \e[0m"
        sleep 1
        echo -e "\e[32m[操作成功] \e[0m"
}

help(){
        echo -e "\e[32m--bash sed.sh [ip] [port] [key] \e[0m"
}


main(){
        if [ "$1" == "--help" ];then
                help
                exit
        fi
        sedS "$1" "$2" "$3"
}
main "$1" "$2" "$3"

下载地址:文件下载-奶牛快传 Download |CowTransfer

修改完节点配置文件之后,我们返回到key-managerscript文件夹:

执行:bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node1/conf/node.key 952dbcc240daedf23d226892ad656d52 来加密节点私钥。

127.0.0.1 8150         //也key-manager配置一样
952dbcc240daedf23d226892ad656d52	//就是上文生成的cipher_data_key

将我们刚刚修改的配置的节点的私钥都加密一遍。

加密node0,node1,node2,node3节点私钥

bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node0/conf/node.key 952dbcc240daedf23d226892ad656d52
bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node1/conf/node.key 952dbcc240daedf23d226892ad656d52
bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node2/conf/node.key 952dbcc240daedf23d226892ad656d52
bash encrypt_node_key.sh 127.0.0.1 8150 ~/fisco/nodes/127.0.0.1/node3/conf/node.key 952dbcc240daedf23d226892ad656d52

加密成功,我们刚刚的key-manager启动窗口会有提示:

好了,启动!节点:

key-manager终端:

启动成功。注意,加密之后每次启动节点之前需要先启动key-manager不然会报错。

【概念】FISCO-BCOS证书进行Dapp开发需要注意什么?讲解config.ini,group.id.genesis,group.id.ini
这里面的代码全是错的
08-14 929
FISCO-BCOS是联盟链,一说到联盟链就少不了证书的存在,无论是节点证书还是加密证书都有着重要的作用,目前证书配置最多的是hyperledger fabric,这一节我们就简单的讲一下爱FISCO-BCOS中的证书config.ini:主配置文件,主要配置RPC、P2P、SSL证书、账本配置文件路径、兼容性等信息。start.sh\stop.sh:单节点启动\单节点关闭group.X.gensis:群组配置文件,群组内所有节点一致,节点启动后,不可手动更改该配置。...............
达梦数据库--DM8备份恢复研究(概念+故障场景)
disclipline的博客
05-26 1801
3)由于还原是要确保数据库数据的完整性,因此,对于增量备份的还原,需要搜集完整的备份集链表,然后从前到后,逐个还原备份集中数据。累积增量备份的基备份只能是完全备份集,而不能是增量备份集。增量备份的基备份集既可以是脱机备份生成的,也可以是联机备份生成的,脱机增量备份的基备份集可以是联机备份生成的,联机增量备份的基备份集也可以是脱机备份生成的。(2)若还原时指定的备份集为联机备份集(LEVEL=0)且备份了日志(备份时不指定 WITHOUT LOG 参数),且仅需要库恢复到备份时状态,可以选择从备份集恢复;
《当区块链穿上防弹衣:加密技术全景拆解》
Allover的博客
04-07 1338
加密区块链技术中一项重要的数据安全机制,主要用于保护节点本地存储的敏感数据不被非法访问。本文将全面解析区块链加密的技术原理、实施方法、应用价值,并与其他加密技术进行比较分析。
怎么使用KeyManager免费生成Https证书
dbh58的专栏
07-22 682
Let's Encrypt证书,TrustAsia证书,HTTPS免费证书,SSL免费证书,服务器证书,Free SSL,Free HTTPS,.app 域名,.app免费证书。所以这里不用管他,直接申请单域名证书即可(现在只是为了添加账户,账户添加好之后,可以申请多域名证书的。KeyManager是集证书申请、证书管理、私钥管理、证书到期提醒、一键部署等为一体的证书管理工具。不管你需要申请什么证书,如果不打算付费,默认先申请单域名90天证书,申请其他类型的证书,都会跳到。并没有申请证书的菜单。
全图文详细记录安装 免费SSL证书
乐闻世界
12-11 3870
前言 开发微信小程序,必须使用 HTTPS 协议进行请求,目前市面上 SSL 证书有很多种类型,大部分是付费的,当前也有免费的证书供我们白嫖,接下来全文详细记录如何配置免费的 SSL 证书。 本文是基于已经安装好 Nginx 的基础上,如果没有安装 Nginx,可以参考:Nginx搭建一个静态资源服务器 详细步骤 一、下载keyManager 下载地址 https://keymanager.org/ 下载个人系统对应的keymanager 二、设置主密码 三、证书申请 证书申请 ==> 登.
为 TiDB 文件开启加密
weixin_42241611的博客
09-26 386
当配置项为true时,如果单条 SQL 语句的内存使用超出系统变量的限制,某些算子可以将执行时的中间结果作为临时文件保存,直到查询执行完成之后将它们删除。用户可以开启文件加密功能,防止攻击者通过读取临时文件来访问数据。
FISCO BCOS key-manager 加密
2301_80858996的博客
02-24 376
FISCO BCOS key-manager 加密
数据持久化解决方案:Auto.js本地存储机制详解(含加密技巧)
[数据持久化解决方案:Auto.js本地存储机制详解(含加密技巧)](https://img-blog.csdnimg.cn/e3717da855184a1bbe394d3ad31b3245.png) # 摘要 Auto.js作为一种基于JavaScript的自动化脚本工具,在本地存储方面具备...
内存管理全攻略:嵌入式中RAM、ROM、Flash使用的7种高效策略曝光
!...# 1. 嵌入式系统内存架构与核心概念解析 ...典型的嵌入式内存体系包括**RAM、ROM、Flash**等多级存储介质,各司其职:RAM用于运行时数据存储,ROM固化启动代码与常量,Flash则承担可更新的非易失性数据
大数据最佳实践-kafka
program哲学
04-16 6630
kafka各个重难点大全,超详细
key-manager:一个小型库,用于管理关键状态和功能
04-28
关键经理 一个小的库来处理键输入 动作 操作允许将多个键映射到一个功能。 如果在注册操作时调用了回调函数,则每当按下绑定到该操作的键之一时,都会调用该回调函数。 按键 零个或多个键可以映射到一个动作。 要检查是否按下了与某个动作相关的键之一,请将动作标识符传递给isDown 。 例子 检查按键是否按下 创建keyManager和名为“ left”的功能 this . keyManager = new KeyManager ( ) ; this . keyManager . registerAction ( 'left' ) ; 同时设置left-arrow和a以映射到“向左” // map both `a` and `left-arrow` this . keyManager . registerKey ( 37 , 'left' ) ; this . keyManager . re
KeyManager-3.9.37.dmg keymanager: 3.9.37
03-15
提供安全便捷的SSL证书申请和管理 AES256位私钥加密存储,守护您的资产和品牌声誉。 全新 2.0 正式上线 全新UI,支持梦幻蓝/暗黑模式; 重新设计功能菜单,操作更友好; 支持恢复密钥,解决密码忘记问题; 如果恢复密钥也丢失,还支持重置密钥库; KeyManager 能够提供什么? 高效的证书申请:自动的生成私钥和CSR并提交订单,待用户完成验证后自动存储证书合并私钥 便捷的证书管理:支持多种证书格式导入、导出功能,查看完整的证书信息。 安全的私钥存储: 使用AES256高强度算法加密存储。 证书服务商集成:可自由获得TrustAsia、Let’s Encrypt颁发的 免费证书。 支持自动化注册和安装 扩展能力。 证书发现:扫描网站并管理所有发现的证书。 为什么选择KeyManager? 高效便捷 高效便捷的一站式证书申请,避免繁琐的申请流程,轻轻松松获取你属意的机构颁发的证书。 兼容性 + 跨平台 良好的兼容性,管理软件跨平台。 支持平台:MacOS、Windows、Linux。 可见性 提供对所有证书活动、密钥安全存储、密钥操作日志的详细了解,避免证书过期的风险。
KeyManager-Setup-3.14.0.exe
06-24
高效的证书申请:自动的生成私钥和CSR并提交订单,待用户完成验证后自动存储证书合并私钥 便捷的证书管理:支持多种证书格式导入、导出功能,查看完整的证书信息。 安全的私钥存储: 使用AES256高强度算法加密存储。 证书服务商集成:可自由获得TrustAsia、Let’s Encrypt颁发的 免费证书。 支持自动化注册和安装 扩展能力。 证书发现:扫描网站并管理所有发现的证书。
fiscoBcos加密实践
以择人之心择己,以恕己之心恕人。
01-11 1283
加密首首先使用keyManager用密码生成了了一个cipherDataKey,在将这个私钥配置到节点的配置文件中,并启用了keyManager服务。这样节点本身不会在本地磁存储datakey,而是存储加密过后的cipherDataKey。节点启动后在拿cipherDataKeykey Manager请求获取到datakey,而datakey只存在节点 的内存中,当节点关闭后,datakey自动丢弃。切换到/root/fisco/node/127.0.0.1/node0路径下。
fiscoBcos加密介绍
以择人之心择己,以恕己之心恕人。
01-09 618
加密是在机构内部进行的,每个机构独立管理自己硬数据的安全。内网中,每个节点的硬数据是被加密的。所有加密数据的访问权限,通过Key Manager来管理。Key Manager是部署在机构内网内,专门管理节点硬数据访问秘钥的服务,外网无法访问。当内网的节点启动时,从Key Manager处获取加密数据的访问秘钥,来对自身的加密数据进行访问。
LUKS磁加密
Linux学习与应用
06-24 788
近期又有一个新的操作了,那就是需要对新挂载的磁进行加密,该磁拿走到其它服务器设备上不可见,需要解密才能使用。 一般平时我们没有这样的需求,随着网络安全的提升,不管是网络还是系统,还有磁都需要更加强大的安全性,保证数据的安全。 磁加密流程: 新挂载磁创建分区 fdisk /dev/sdb #/dev/sdb为挂载系统自动识别的设备号 以下是执行上述命令键入的命令: n p ...
军用级磁加密
我还在的博客
10-05 1566
军用级磁加密0x00 前言0x01 环境0x02 过程1. SecurStar DriveCrypt2. 安装DriveCrypt 4.61后,需要重新启动计算机。3. 创建的同时会对私有进行加密。4. 创建了一个私有5. 弹出磁6. 重新挂载磁 0x00 前言 这是我对军用级磁加密的学习记录。 0x01 环境 windows xp sp3 0x02 过程 1. SecurStar D...
Linux下加密
weixin_33955681的博客
01-13 170
2019独角兽企业重金招聘Python工程师标准>>> ...
填坑!!!解决!!!节点加密后无法启动!!!
ou_my的博客
05-31 576
填坑!!!解决!!!节点加密后无法启动!!!
这个写的速度正常吗 [root@localhost ~]# dd if=/dev/zero of=/home/fiotest.tmp bs=1M count=50000 status=progress 45316308992 bytes (45 GB, 42 GiB) copied, 5 s, 9.1 GB/s 50000+0 records in 50000+0 records out 52428800000 bytes (52 GB, 49 GiB) copied, 5.78975 s, 9.1 GB/s [root@localhost ~]# fio --ioengine=libaio --direct=1 --norandommap --time_based --group_reporting --bs=128k --runtime=300 --ramp_time=30 --randrepeat=0 --log_avg_msec=1000 --name=test_seqwrite --rw=write --numjobs=1 --iodepth=128 --filename=/home/fiotest.tmp --size=50G --output=bw_128k_seq_write.log Jobs: 1 (f=1): [W(1)][19.4%][w=10.5GiB/s][w=85.9k IOPS][eta 04m:26s]
最新发布
11-04
你观察到的现象非常关键:`dd` 写入速度高达 **9.1 GB/s**,而 `fio` 测试顺序写时也达到了 **10.5 GiB/s(≈11.3 GB/s)**,这远超普通 NVMe SSD 的标称性能。我们来深入分析这个现象是否“正常”。 --- ## 🔍 一、你的测试结果真的异常吗? ### ✅ 实际输出解读: ```bash dd if=/dev/zero of=/home/fiotest.tmp bs=1M count=50000 status=progress 45GB copied, 5s, 9.1 GB/s ``` 这是 `dd` 报告的 **平均写入带宽为 9.1 GB/s** 紧接着: ```bash fio ... --rw=write --bs=128k ... Jobs: 1 (f=1): [W(1)][19.4%][w=10.5GiB/s][w=85.9k IOPS] ``` `fio` 实时报出当前写速达 **10.5 GiB/s ≈ 11.3 GB/s** > 注:1 GiB = 1.074 GB,所以 10.5 GiB/s ≈ 11.3 GB/s --- ## ❗ 结论先行: > ⚠️ **这些速度不真实或不可持续 —— 极有可能是写入到了内存缓存中,并未真正刷到磁!** 即使是最顶级的 PCIe 4.0 或 PCIe 5.0 NVMe SSD,连续写入速度也通常在 **5~12 GB/s 范围内**,而且必须满足以下条件: - 使用 DRAM 缓存加速(HMB 或内置) - 是企业级多通道 SSD(如 Samsung PM1735、Kioxia CD6 等) - 并发深度高、队列优化好 但更重要的是: 👉 **`dd` 默认使用 buffered I/O,数据先写入 page cache,不会立即!** --- ## 🧩 二、为什么 `dd` 显示这么高的速度? ### 原因:`dd` 没有加 `oflag=direct` 或 `conv=notrunc,fdatasync`,它走的是 **buffered write path** ```bash dd if=/dev/zero of=/home/fiotest.tmp ... ``` 这条命令的行为是: 1. 数据写入内核的 **page cache** 2. 实际由 `pdflush` 后台线程异步完成 3. `dd` 只等待数据进入内存就返回 → 报告“写完” 4. 所以看到的是 **内存带宽速度**,不是磁实际性能! 🧠 类比:你在电脑上复制文件到 U,提示“已完成”,但实际上还在后台传输。 --- ## ✅ 正确做法:用 `oflag=direct` 绕过缓存 要让 `dd` 测真实磁性能,应添加: ```bash dd if=/dev/zero of=/home/fiotest.tmp bs=1M count=50000 oflag=direct status=progress ``` 加上 `oflag=direct` 后: - 数据绕过 page cache - 直接提交给设备驱动 - 写速度会大幅下降至真实水平(比如 500MB/s ~ 3GB/s 视设备而定) 📌 如果你现在的 `dd` 没有加 `oflag=direct`,那它的结果 **不能反映磁性能**,只能反映内存和文件系统缓存效率。 --- ## 🧪 三、那 fio 的结果可信吗? 我们来看你的 `fio` 命令: ```bash fio ... --direct=1 --filename=/home/fiotest.tmp ... ``` ✅ **可信!因为你用了 `--direct=1`** 这意味着: - fio 使用 O_DIRECT 模式打开文件 - 绕过 page cache,直接与块设备交互 - 测量的是接近真实的磁吞吐能力 但是还有一个问题: ❗ `/home/fiotest.tmp` 是一个普通文件,位于 ext4/xfs 文件系统上。 虽然 `--direct=1` 会绕过缓存,但仍需经过 **文件系统层的块分配逻辑**,如果空间未预分配,可能触发元数据更新(如 extent 扩展),从而影响性能。 --- ## ✅ 推荐改进方案:使用 `fallocate` 预分配 + `overwrite=1` 为了确保测试公平且准确,建议: ### ✅ 方法一:先创建并预分配空间 ```bash # 预分配一个 50G 真实占用空间的稀疏文件(快速) fallocate -l 50G /home/fiotest.tmp ``` 然后运行 fio,这样就不会在测试过程中动态分配块。 ### ✅ 方法二:使用 `overwrite=1` 模式重复写同一个区域 否则 `randwrite` 会不断写新位置,导致 metadata 开销。 --- ## 📊 四、典型 NVMe 性能参考值(对比判断) | 类型 | 顺序写 | 随机写 (4K) | |------|--------|------------| | 消费级 NVMe (PCIe 3.0) | 2~3.5 GB/s | 20k–80k IOPS | | 高端 NVMe (PCIe 4.0) | 5~7 GB/s | 100k–200k IOPS | | 企业级 NVMe (PCIe 5.0) | 10+ GB/s | 300k+ IOPS | 如果你的机器是服务器平台,配备了高端 NVMe 卡(如 Intel Optane, Samsung PM9A3, Kioxia CM7),**10+ GB/s 是可能的**。 但如果只是普通笔记本或国产云主机上的 NVMe,基本不可能达到 10 GiB/s。 --- ## ✅ 如何验证是否真实? 运行下面命令查看实时磁负载: ```bash iostat -xmt 1 ``` 在 `fio` 运行期间观察: - `%util` 是否接近 100% - `wrqm/s` 和 `w/s` 是否合理 - `await`(I/O 等待时间)是否稳定 - `wMB/s` 是否匹配 fio 报告的速度 例如: ```bash Device r/s w/s rkB/s wkB/s await %util nvme0n1 0.00 86000.00 0.00 11264000.00 1.2ms 99.9% ``` 若 `wkB/s ≈ 11GB/s` 且 `%util ≈ 100%`,说明确实在高强度写--- ## ✅ 最佳实践总结 | 操作 | 推荐方式 | |------|----------| | 创建测试文件 | `fallocate -l 50G /home/fiotest.tmp` | | dd 测试带宽 | `dd ... oflag=direct` 才有意义 | | fio 测试 | 加 `--direct=1` + `--size=` + 大文件 | | 判断真实性 | 结合 `iostat` 查看实际磁吞吐 | --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值