mysql keyring file_MySQL 整表加密解决方案 keyring_file详解

最新推荐文章于 2024-03-04 15:51:41 发布
原创 最新推荐文章于 2024-03-04 15:51:41 发布 · 233 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql keyring file

本文介绍MySQL社区版5.7.11及之后版本支持的基于表的数据加密方案,包括keyring_file模块及其部署步骤。此外,还对比了企业版提供的更安全的加密选项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

说明

MySql社区版从5.7.11开始支持基于表的数据加密方案,模块名为keyring_file,支持加密整张表。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密整张表的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。

总体看这种方案不太安全,原因是数据库文件是加密的,但只要能有mysql服务的账户,那么访问数据都是解密后的,加密不攻自破。而且解密key也是本地存放的,入侵者完全可以一并带走。这种方案只能保证入侵者只拖走了数据库文件后无法读取内容。

企业版MySQL额外的三种模块

如果是企业版的mysql,那么还有另外三种加密方案。

1.keyring_encrypted_file

和我之前说的社区版差不多的,只是多了一个key。这个key用于加密解密数据库用的key。安全性方面都差不多。

2.keyring_okv

相比本地存放key,本模块使用KMIP存取key,相对更加安全。

3.keyring_aws

整合aws的密匙管理服务来管理加解密的key。进一步提高key的管理安全性。

四个加密模块支持的加密类型

模块名

可用加密算法

密钥长度限制

keyring_encrypted_file

AES

DSA

RSA

无限制

无限制

无限制

keyring_file

AES

DSA

RSA

无限制

无限制

无限制

keyring_okv

AES

16, 24, 32

keyring_aws

AES

16, 24, 32

总结一下,四种方案都是文件加密,内存解密方案,区别在于加解密的key存放方案。推荐使用keyring_okv和keyring_aws,并确保mysql账户的安全性和严格区分账户权限。

另外2种安全性不大。

实施步骤

OK,现在简单讲一下最简单的keyring_file部署方案,提前说明下windows貌似无法使用这种方案,因为不知道为什么加密用的key总是无法生成。

1.使用最新版的mysql 5.7.21

使用yum apt 之类的工具安装最新版的mysql 或者 下载源码自行编译安装

sudo apt install mysql-5.7

2.启用加密模块

INSTALL PLUGIN keyring_file soname ‘keyring_file.so';

mysql> INSTALL PLUGIN keyring_file soname 'keyring_file.so';

Query OK, 0 rows affected (0.10 sec)

3.设置加密key存放路径

set global keyring_file_data='/root/mysql-keyring/keyring';

mysql> set global keyring_file_data='/var/lib/mysql-keyring/keyring';

Query OK, 0 rows affected (0.00 sec)

4.永久启用设置

上诉两个步骤都是临时的,重启服务都会失效,我们把配置写到配置文件里,确保重启服务后也能生效

[mysqld]

early-plugin-load=keyring_file.so

keyring_file_data=/root/mysql-keyring/keyring

5.查看key的存放路径

show global variables like ‘%keyring_file_data%';

mysql> show global variables like '%keyring_file_data%';

+-------------------+--------------------------------+

| Variable_name | Value |

+-------------------+--------------------------------+

| keyring_file_data | /var/lib/mysql-keyring/keyring |

+-------------------+--------------------------------+

1 row in set (0.00 sec)

6.查看启用的模块

查看下keyring_file模块是否已经被载入。

show plugins;

mysql> show plugins;

+----------------------------+----------+--------------------+-----------------+---------+

| Name | Status | Type | Library | License |

+----------------------------+----------+--------------------+-----------------+---------+

| binlog | ACTIVE | STORAGE ENGINE | NULL | GPL |

| mysql_native_password | ACTIVE | AUTHENTICATION | NULL | GPL |

| sha256_password | ACTIVE | AUTHENTICATION | NULL | GPL |

| PERFORMANCE_SCHEMA | ACTIVE | STORAGE ENGINE | NULL | GPL |

| CSV | ACTIVE | STORAGE ENGINE | NULL | GPL |

| MRG_MYISAM | ACTIVE | STORAGE ENGINE | NULL | GPL |

| MyISAM | ACTIVE | STORAGE ENGINE | NULL | GPL |

| InnoDB | ACTIVE | STORAGE ENGINE | NULL | GPL |

| INNODB_TRX | ACTIVE | INFORMATION SCHEMA | NULL | GPL |

| INNODB_LOCKS | ACTIVE | INFORMATION SCHEMA | NULL | GPL |

| INNODB_LOCK_WAITS | ACTIVE | INFORMATION SCHEMA | NULL | GPL |

| INNODB_CMP | ACTIVE | INFORMATION SCHEMA | NULL | GPL |

| INNODB_CMP_RESET | ACTIVE | INFORMATION SCHEMA | NULL | GPL |

。。。。。。(省略N条)

| keyring_file | ACTIVE | KEYRING | keyring_file.so | GPL |

+----------------------------+----------+--------------------+-----------------+---------+

45 rows in set (0.00 sec)

7.加密现有的表

alter table table encryption='Y';

mysql> create table cc (id int);

Query OK, 0 rows affected (0.01 sec)

mysql> alter table cc encryption='Y';

Query OK, 0 rows affected (0.06 sec)

Records: 0 Duplicates: 0 Warnings: 0

8.取消加密

alter table table encryption='N';

mysql> alter table cc encryption='N';

Query OK, 0 rows affected (0.01 sec)

Records: 0 Duplicates: 0 Warnings: 0

官方文档:

以上就是本文的全部内容,希望对大家的学习有所帮助

您可能感兴趣的文章:

mysql keyring file_详解MySQL 加密解决方案 keyring_file
weixin_34380880的博客
01-27 1481
概述MySQL社区版从5.7.11开始支持基于的数据加密方案,模块名为keyring_file,支持加密。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。总体看这种方案不太安全,原因是数据库文件是加密的,但...
mysql keyring file_mysql8 参考手册--Keyring插件安装
weixin_39609354的博客
01-27 1170
密钥环服务使用者需要安装密钥环插件。MySQL提供了以下插件选择:keyring_file:一个将密钥环数据存储在服务器主机本地文件中的插件。在所有MySQL发行版中均可用。keyring_encrypted_file:一个插件,用于将密钥环数据存储在服务器主机本地的加密文件中。在MySQL企业版发行版中可用。keyring_okv:使用KMIP兼容的后端密钥环存储产品(例如Oracle Key ...
MySQL 加密解决方案 keyring_file详解
09-09
主要介绍了MySQL 加密解决方案 keyring_file详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
mysql文件上锁_MySQL 加密解决方案 keyring_file详解
weixin_36475451的博客
01-18 594
说明MySql社区版从5.7.11开始支持基于的数据加密方案,模块名为keyring_file,支持加密。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。总体看这种方案不太安全,原因是数据库文件是加密的,但...
mysql 空间加密_mysql空间加密 keyring encryption
weixin_39886929的博客
01-19 312
从5.7.11开始,mysql开始支持物理空间的加密,它使用两层加密架构。包括:master key 和 tablespace keymaster key用于加密tablespace key,加密后的结果存储在tablespace的header中。tablespace key用于加密数据当用户想访问加密时,innoDB会先用master key对之前存储在header中的加密信息进行解密,得...
mysql 空间加密
heuzxl的专栏
09-03 698
0 须知 Mysql在5.7之后才支持空间加密的。 空间加密控件位置是 mysql安装目录\lib\plugin\keyring_file.dll 1 配置 my.ini [mysqld] 。。。其他配置。。 early-plugin-load=keyring_file.dll keyring_file_data=D:\\Program Files\\mysql-8.0.26-winx64\\keyring\\keyring 这一步很重要。要点如下: linux和windows下面的插件后缀不
MySQL实验之-空间加密插件Keyring
贺浦力特的博客
04-03 661
空间加密插件 Keyring
MySQL InnoDB空间加密示例详解
09-08
MySQL InnoDB空间加密是一种重要的安全特性,它允许数据库管理员对存储在独立空间中的数据进行静态加密。从MySQL 5.7.11版本开始,InnoDB引擎引入了这一功能,以保护敏感数据免受未经授权的访问。下面将详细介绍...
MySQL加密和解密实例详解
12-15
MySQL提供了一些机制,如keyring_file插件,来帮助安全地存储和管理这些密钥。 此外,尽管AES加密提供了强大的保护,但它并不是绝对安全的。攻击者可能通过其他方式(如中间人攻击或SQL注入)获取数据。因此,除了...
MySQL 加密原理
qq_41593652的博客
11-19 1154
加密以数据页为加密对象,以AES_BLOCK大小为加密单元。 以只有AES加密为例,假设页数据有n个完的AES_BLOCK大小(在图中以n个描述)和一个不足AES_BLOCK大小的数据组成,即真实数据大小为n*AES_BLOCK<data_len<(n+1)*AES_BLOCK 流程如下所示: 加密: 1. 读取前两个字节(页类型)。 2. 根据加密类型进行加密,只加密data和trailer。 3. 根据加密类型计算需要加密的数据长度,AES加密要减去38个file h.
Windows环境下使用MySQL 5.7版本的keyring_file插件设置空间加密的详细步骤
weixin_45332660的博客
07-19 617
其中,keyring_file.dll是keyring_file插件的文件名,keyring_file_data指定keyring文件的存储路径。以上就是在Windows环境下使用MySQL 5.7版本的keyring_file插件设置空间加密的详细步骤。如果输出结果中包含“ENCRYPTION=‘Y’”,则加密成功。其中,ENCRYPTION='Y’指定启用加密
MySQL 8.0.35 企业版安装和启用TDE插件keyring_encrypted_file
一个标题
03-04 1040
MySQL企业版安装和启用TDE插件keyring_encrypted_file
mysql客户端加密_MySQL 加密解决方案 keyring_file详解
weixin_32799203的博客
02-02 840
说明MySql社区版从5.7.11开始支持基于的数据加密方案,模块名为keyring_file,支持加密。这种是加密方式其实是基于文件加密的,一旦mysqld读取key启动后,将会解密的数据,在mysql服务内,读取的数据都是解密后的,也就是说对客户端而言是无感知的。而这个key是本地存放的,mysql服务拥有读写这个key的权限。总体看这种方案不太安全,原因是数据库文件是加密的,但...
mysql keyring file_mysql8 参考手册--使用基于文件的keyring_file插件
weixin_32120857的博客
01-19 865
keyring_file插件是一个密钥环插件,用于将密钥环数据存储在服务器主机本地的文件中。警告该keyring_file加密密钥管理插件不打算作为一个合规性解决方案。PCI,FIPS等安全性标准要求使用密钥管理系统来保护,管理和保护密钥库或硬件安全模块(HSM)中的加密密钥。要安装keyring_file插件,请使用第6.4.4.1节“密钥环插件安装”中的常规密钥环安装说明 ,以及keyring...
MySQL 空间加密插件 Keyring
Enmotech的博客
09-08 1275
点击上方"蓝字"关注我们,享更多干货!# 前言MySQL支持对InnoDB单空间、通用空间、系统空间和Redo、Undo文件进行静态加密。从8.0.16开始支持对Sc...
MySQL Keyring配置
rede
06-04 1033
Snippet:2021/6/4 5:01 下午 致谢: MySQL InnoDB空间加密 问题概述:MySQL Keyring配置 方案细节 txt> 检查数据库是否是MySQL 5.7+版本 mysql> SELECT @@version info> 5.7.28-enterprise-commercial-advanced txt> 密钥存储路径,最好和数据放置在一起 bash> mkdir /xxx/.
mysql keyring_mysql8 参考手册--使用keyring_encrypted_file密钥环插件
weixin_36179103的博客
01-19 788
keyring_encrypted_file插件是一个密钥环插件,用于将密钥环数据存储在服务器主机本地的加密文件中。警告该keyring_encrypted_file加密密钥管理插件不打算作为一个合规性解决方案。PCI,FIPS等安全性标准要求使用密钥管理系统来保护,管理和保护密钥库或硬件安全模块(HSM)中的加密密钥。要安装keyring_encrypted_file插件,请使用第6.4.4.1...
MySQL透明加密 (TDE)
最新发布
03-13
<think>好的,我现在需要帮助用户了解如何在MySQL中配置和使用透明数据加密(TDE),包括其工作原理和支持的存储引擎。首先,我需要回忆一下MySQL TDE的相关知识,并结合提供的引用内容来确保回答的准确性。 用户的问题分为三个部分:功能、配置方法、使用场景。同时需要涵盖工作原理和支持的存储引擎。首先,我需要明确TDE的基本概念,根据引用[1]和[2],TDE是透明数据加密,对数据文件实时加密和解密,写入磁盘前加密,读取时解密,这样无需更改应用程序,性能影响较小。同时,引用[4]提到Oracle会创建秘钥,但MySQL的实现可能不同,可能需要确认。 接下来,工作原理部分。根据引用[1],TDE在MySQL加密空间,阻止直接从存储读取数据。加密发生在数据写入磁盘前,解密在读取到内存前。密钥管理方面,可能需要主密钥和空间密钥的组合,主密钥可能存储在密钥管理服务(KMS)中,而空间密钥用主密钥加密存储。这需要查阅MySQL文档的结构,但根据引用[1]和[4],可能需要使用两层加密机制。 然后,支持的存储引擎。根据引用[1],可能InnoDB引擎支持,因为这是MySQL主要的存储引擎,其他引擎如MyISAM可能不支持。需要确认,但用户提供的引用中没有明确说明,可能需要假设InnoDB是主要支持的。 配置方法部分。步骤可能包括生成或获取加密密钥、修改配置文件启用加密、创建加密空间或转换现有。根据引用[1]中的“启用后性能影响在个位数”,可能需要配置参数如innodb_encrypt_tables,innodb_encryption_threads等。另外,引用[4]提到需要确定加密的列,但MySQL的TDE是空间级别的加密,不是列级别,所以可能需要更正这点,用户可能混淆了Oracle和MySQL的实现差异。 使用场景方面,引用[2]提到防止数据泄露、合规要求、增强完性。因此,适用于敏感数据存储、合规场景(如GDPR、PCI DSS)、云环境中的数据保护等。 现在需要组织这些信息,确保配置步骤正确。例如,可能步骤包括安装密钥环插件、生成主密钥、配置my.cnf文件、重启MySQL,然后创建加密或转换现有。需要确保语法正确,比如使用CREATE TABLE时指定ENCRYPTION='Y'。同时,可能需要使用ALTER TABLE来转换现有。 可能的问题点:用户提供的引用中有提到SQL Server和Oracle的内容,需要区分MySQL的TDE配置与其他数据库的不同。比如,引用[3]是关于SQL Server的,而引用[4]提到Oracle,所以需要确保回答专注于MySQL的实现。 需要检查是否有遗漏的支持引擎,比如MySQL的其它引擎是否支持TDE。根据知识,MySQL TDE主要支持InnoDB引擎,其他引擎如MyISAM不支持,因为TDE加密空间,而MyISAM没有空间的概念。 最后,生成相关问题,可能涉及性能影响、密钥管理、与其他加密方式的对比、备份加密等,根据引用中的内容,比如引用[1]提到性能影响在5%左右,可以生成相关问题。 总结回答结构: 1. 功能介绍:TDE的作用、优点 2. 工作原理:加密层次、密钥管理、加解密过程 3. 支持的存储引擎:InnoDB 4. 配置步骤:安装插件、生成密钥、配置参数、创建加密 5. 使用场景:合规、云存储、防泄露 6. 注意事项:备份加密、密钥安全 7. 相关问题:性能、密钥轮换、备份加密、与其他加密对比等 需要确保每个部分都有引用支持,例如引用[1]和[2]支持功能和使用场景,引用[4]可能涉及密钥生成方式,但需要调MySQL的上下文。 可能还需要注意版本差异,比如MySQL哪个版本开始支持TDE,但用户没有提到版本,所以可能泛泛而谈,或建议查阅官方文档。 现在开始组织回答,确保使用中文,行内公式正确,独立公式用$$,但可能这部分内容较少,如果有涉及数学达式的地方需要注意格式,例如密钥加密过程可能涉及加密算法,但用户的问题可能不需要数学公式,但需遵守系统指令。 最后,生成的相关问题需要围绕TDE的扩展,如配置优化、备份加密、密钥管理、与其他加密方式比较等。</think>### MySQL透明数据加密(TDE)详解 #### 一、TDE的核心功能 透明数据加密(TDE)通过对空间文件进行实时I/O加密,确保数据在写入磁盘前加密、读取到内存时解密,无需修改应用程序逻辑[^1]。其主要优势包括: 1. **透明性**:开发人员无需调代码; 2. **低性能损耗**:官方文档称性能影响约5%; 3. **无存储膨胀**:加密后数据文件大小不变。 #### 二、工作原理 1. **加密层次** - **主密钥(Master Key)**:由用户管理,通常存储在外部密钥管理服务(KMS)或文件中。 - **空间密钥(Tablespace Key)**:每个空间生成唯一密钥,通过主密钥加密后存储于头[^4]。 2. **加解密过程** - 写入时:数据在内存中明文,通过空间密钥加密后写入磁盘。 - 读取时:从磁盘加载加密数据,用空间密钥解密后供内存使用。 #### 三、支持的存储引擎 仅**InnoDB引擎**支持TDE,因其使用独立的空间文件。MyISAM等引擎因存储结构差异无法实现空间级加密。 #### 四、配置步骤(以MySQL 8.0为例) 1. **安装密钥环插件** 在配置文件`my.cnf`中添加: ```ini [mysqld] early-plugin-load=keyring_file.so keyring_file_data=/var/mysql-keyring/keyring ``` 重启MySQL服务生效。 2. **创建加密空间** ```sql CREATE TABLE sensitive_data ( id INT PRIMARY KEY, data VARCHAR(255) ) ENCRYPTION='Y'; ``` 3. **加密现有** ```sql ALTER TABLE existing_table ENCRYPTION='Y'; ``` 4. **验证加密状态** ```sql SELECT TABLE_NAME, CREATE_OPTIONS FROM INFORMATION_SCHEMA.TABLES WHERE CREATE_OPTIONS LIKE '%ENCRYPTION%'; ``` #### 五、典型使用场景 1. **合规要求**:满足GDPR、PCI DSS等法规对敏感数据加密的强制要求[^2]。 2. **云环境防护**:防止云服务商或第三方非法访问物理存储文件。 3. **防数据泄露**:即使攻击者窃取数据文件,也无法直接解密。 #### 六、注意事项 1. **备份加密**:需启用`innodb_encrypt_log`确保Redo Log和备份文件加密。 2. **密钥安全**:主密钥泄露将导致数据不可逆暴露,建议集成KMS服务(如AWS KMS)[^4]。 3. **性能监控**:加密操作可能增加CPU负载,需关注I/O密集型场景的性能波动[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值