Mysql 调用SM3 算法实现国密

最新推荐文章于 2025-05-19 16:36:33 发布
原创 最新推荐文章于 2025-05-19 16:36:33 发布 · 937 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #算法 #adb

Feat -[Mysql 调用SM3 算法实现国密]

MySQL 本身并不直接支持 SM3 加密算法,主要用于数字签名和验证。MySQL 内置的加密函数主要支持一些常见的哈希算法(如 MD5、SHA1、SHA2 等),但不包括 SM3。

如果需要在 MySQL 中使用 SM3 算法,可以通过以下方式实现:

  • 方法1:使用外部程序或脚本;

    应用程序层面(如 Python、Java 等)使用 SM3 算法对数据进行加密,然后将加密后的结果存储到 MySQL 中。

    灵活性高,可以使用任意变成语言实现;

    避免修改Mysql服务服务器配置;

  • 方法2:使用 MySQL 自定义函数(UDF),即以下使用;

    性能高,直接在Mysql 中运行

    适合频繁调用的场景

思路:

  1. 编写 C/C++ 代码实现 SM3 算法
    • 使用 OpenSSL 或其他支持 SM3 的库编写 SM3 哈希计算的代码;
    • 编译成共享库(如 .so 文件)
  2. 在 MySQL 中加载 UDF
  3. 调用自定义函数

CentOS 上的注意事项

前置条件
  • 操作系统 Centos 7.x
  • MySQL 8.xx
  • OpenSSL 版本 1.1.1 或更高(支持 SM3 算法)
  • GCC:用于编译 C/C++ 代码
检查 OpenSSL 版本

openssl version

如果版本低于 1.1.1,请升级 OpenSSL

  • CentOS 7 默认的 OpenSSL 版本可能较低(1.0.2),不支持 SM3。

    [root@iZhp39hauxbv1s8uh5x0vqZ mysql]# openssl version
OpenSSL 1.0.2k-fips  26 Jan 2017

  • 如果需要升级 OpenSSL,可以参考以下步骤

    sudo yum install epel-release
sudo yum install openssl11 openssl11-devel
[root@iZhp39hauxbv1s8uh5x0vqZ mysql]# openssl version
OpenSSL 1.0.2k-fips  26 Jan 2017

# 以下默认使用 openssl11 version
[root@iZhp39hauxbv1s8uh5x0vqZ mysql]# openssl11 version
OpenSSL 1.1.1k  FIPS 25 Mar 2021

    然后编译时指定 OpenSSL 1.1.1 的路径:

    gcc -shared -fPIC -o sm3_udf.so sm3_udf.c -I /usr/include/mysql -I /usr/include/openssl11 -L /usr/lib64/openssl11 -lssl -lcrypto

    -shared :生成共享库

    -fPIC :生成位置无关代码

    -o sm3_udf.so :指定输出文件名

    -I /usr/inclode/mysql :指定MYSQL 头文件路径

    -lssl -lcrypto :链接 OpenSLL 库

MySQL 插件目录权限
  • 确保 MySQL 用户对插件目录有读写权限;
安装 GCC 和 OpenSSL

sudo yum install gcc openssl openssl-devel

安装 MySQL 开发库

sudo yum install mysql-devel

编写 SM3 的 C++ 代码

注:这里用电话号码举例:

变形输出=SM3(电话号码全文UTF-8编码)(64字符,英文按小写输出)。机构客户、保险公司员工与销售人员的联系电话不做变形。

例:

传真/座机号码:010-66279455,变形后:

0702465666b4df0c2f7ddefe86f4be1c69c239765e2e8d3288128b5e1ba0be31

手机号码:12345678912,变形后:

f30dbe8891134b9528adf0b6083246d7fa65eac0c546723ba79abeb595153f94

创建 sm3_phone_udf.cpp

#include <mysql.h>
#include <openssl/evp.h>
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdbool.h> // 包含 bool 类型的头文件

// SM3 哈希计算函数
void sm3_hash(const char *input, size_t input_len, unsigned char *output) {
    EVP_MD_CTX *mdctx;
    const EVP_MD *md;
    unsigned int md_len;

    md = EVP_sm3(); // 获取 SM3 算法
    mdctx = EVP_MD_CTX_new(); // 创建上下文
    EVP_DigestInit_ex(mdctx, md, NULL); // 初始化
    EVP_DigestUpdate(mdctx, input, input_len); // 更新数据
    EVP_DigestFinal_ex(mdctx, output, &md_len); // 计算哈希
    EVP_MD_CTX_free(mdctx); // 释放上下文
}

// MySQL UDF 初始化函数
extern "C" bool sm3_phone_init(UDF_INIT *initid, UDF_ARGS *args, char *message) {
    if (args->arg_count != 1 || args->arg_type[0] != STRING_RESULT) {
        strcpy(message, "sm3_phone function requires exactly one string argument.");
        return true; // 返回 true 表示初始化失败
    }
    initid->max_length = 64; // 设置返回值的最大长度(64 字符)
    initid->ptr = (char *)malloc(65); // 分配内存存储哈希值
    if (initid->ptr == NULL) {
        strcpy(message, "Memory allocation failed.");
        return true;
    }
    return false; // 返回 false 表示初始化成功
}

// MySQL UDF 主函数
extern "C" char *sm3_phone(UDF_INIT *initid, UDF_ARGS *args, char *result, unsigned long *length, char *is_null, char *error) {
    if (args->args[0] == NULL) {
        *is_null = 1;
        return NULL;
    }

    const char *phone = args->args[0]; // 获取输入的电话号码
    size_t phone_len = args->lengths[0]; // 获取输入的长度

    // 计算 SM3 哈希
    unsigned char hash[EVP_MAX_MD_SIZE];
    sm3_hash(phone, phone_len, hash);

    // 将哈希值转换为十六进制字符串(小写)
    char *hex_hash = initid->ptr;
    for (int i = 0; i < EVP_MD_size(EVP_sm3()); i++) {
        sprintf(hex_hash + (i * 2), "%02x", hash[i]);
    }
    hex_hash[64] = '\0'; // 确保字符串以 null 结尾

    *length = 64; // 设置返回值的长度
    return hex_hash;
}

// MySQL UDF 清理函数
extern "C" void sm3_phone_deinit(UDF_INIT *initid) {
    if (initid->ptr) {
        free(initid->ptr); // 释放内存
    }
}
编译代码
g++ -shared -fPIC -o sm3_phone_udf.so sm3_phone_udf.cpp -I /usr/include/mysql -I /usr/include/openssl11 -L /usr/lib64/openssl11 -lssl -lcrypto
登录msyql,查看插件安装目录
mysql> SHOW VARIABLES LIKE 'plugin_dir';
+---------------+--------------------------+
| Variable_name | Value                    |
+---------------+--------------------------+
| plugin_dir    | /usr/lib64/mysql/plugin/ |
+---------------+--------------------------+
1 row in set (0.01 sec)
Copy 至插件安装目录
sudo cp sm3_phone_udf.so /usr/lib64/mysql/plugin/
登录msyql,查看插件安装目录
mysql> DROP FUNCTION sm3_phone_udf;
Query OK, 0 rows affected (0.00 sec)
mysql> CREATE FUNCTION sm3_phone RETURNS STRING SONAME 'sm3_phone_udf.so';
Query OK, 0 rows affected (0.00 sec)

-- 输出为 64 字符的小写十六进制字符串
mysql> SELECT '12345678912' AS phone, sm3('12345678912') AS sm3_hash
    -> UNION ALL
    -> SELECT '010-66279455' AS phone, sm3('010-66279455') AS sm3_hash;
+--------------+------------------------------------------------------------------------------------------------------------------------------------+
| phone        | sm3_hash                                                                                                                           |
+--------------+------------------------------------------------------------------------------------------------------------------------------------+
| 12345678912  | 0x66333064626538383931313334623935323861646630623630383332343664376661363565616330633534363732336261373961626562353935313533663934 |
| 010-66279455 | 0x30373032343635363636623464663063326637646465666538366634626531633639633233393736356532653864333238383132386235653162613062653331 |
+--------------+------------------------------------------------------------------------------------------------------------------------------------+
2 rows in set (0.00 sec)
Test
--  任意IP登录
mysql> use mysql;
Database changed
mysql> update user set host = '%' where user = 'root';
Query OK, 1 row affected (
最低0.47元/天 解锁文章

200万优质内容无限畅学
醋椒豆腐
关注
OceanBase数据库:国密算法支持之SM4/SM3加密算法集成实战指南
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-20 135
国密算法(SM系列算法)是中国自主研发的密码技术标准体系,旨在打破国际密码技术垄断,保障国家信息安全。在数据库领域,国密算法的集成应用已成为等保2.0合规和金融行业安全审计的刚性需求。与国际通用算法相比,SM系列算法具有以下核心优势: 自主可控性:从算法设计到实现完全自主,避免后门风险。SM2基于椭圆曲线密码学(ECC),SM3采用改进的Merkle-Damgård结构,SM4则使用非平衡Feistel网络,这些设计均通过国家密码管理局严格认证。 性能优化:SM4在硬件加速场景下比AES性能提升20%,
bi java lajp 和php_PHP SM2 国密算法与 CURL SSL 双向认证
weixin_40001634的博客
01-15 2816
最近在对接民生银行的电子账户接口,按照民生的要求,调用接口需要涉及 SM2 国密算法及 SSL 双向认证。目前银行端提供的只有 JAVA 版的 SDK,把 PHP 作为开发语言的我们表示很受伤。本文就针对涉及的两个点进行说明,简单汇总下 PHP 语言中的解决方案。1、SM2 国密算法针对接口请求参数的加密加签及响应数据的解密验签操作,民生银行的要求如下:对数据进行 PKCS#7 带原文签名,并将签...
MySQL加密和解密实例详解
09-09
主要介绍了MySQL加密和解密实例详解的相关资料,需要的朋友可以参考下
mysql数据库字段作sm3加密_MySQL数据库加密与解密:
weixin_29029145的博客
02-02 3507
数据加密、解密在安全领域非常重要。对程序员而言,在数据库中以密文方式存储用户密码对入侵者剽窃用户隐私意义重大。有多种前端加密算法可用于数据加密、解密,下面我向您推荐一种简单的数据库级别的数据加密、解密解决方案。以MySQL数据库为例,它内建了相应的加密函数(AES_ENCRYPT())和解密函数(AES_DECRYPT())。在建表的时候,要注意字段的类型.如下图所示:在表中插入加密数据上面的插...
Navicat连接开启sm3认证的瀚高数据库
最新发布
HighGO
05-19 899
Navicat”是一套可创建多个连接的数据库管理工具,用以方便管理 MySQL、Redis、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和 MongoDB 等不同类型的数据库,它与 GaussDB、OceanBase 以及 阿里云、腾讯云、华为云、Amazon RDS、Amazon Aurora、Amazon Redshift、Microsoft Azure、Oracle Cloud 和 MongoDB Atlas等云数据库兼容。你可以创建、管理和维护数据库。
linux学习38-MySQL数据库3
你的微笑像茉莉的博客
10-13 306
MySQL数据库3 1. 存储过程 创建存储过程 语法格式CREATE PROCEDURE &amp;amp;amp;amp;amp;amp;lt;==创建存储过程命令 sp_name([ proc_parameter[,proc_parameter...]]) &amp;amp;amp;amp;amp;amp;lt;==命名存储过程及参数 routime_body
MYSQL 加密的 3 类方法
weixin_34268843的博客
10-03 96
背景:       若你想要储存一些由可能包含任意字节值的加密函数返回的结果,使用BLOB列而不是 CHAR 或VARCHAR 列,从而避免由于结尾空格的删除而改变一些数据值的潜在问题。       这一句话来自官方文件,记好了。为什么不用char,varchar。 方法 1、AES Advanced Encryption Standard 第一步:          建表      ...
支持Web UI数据库审计和敏感数据国密算法加密,JumpServer堡垒机v2.5.0发布丨Release Notes
FIT2CLOUD飞致云的博客
11-25 5534
高危命令告警,数据库支持网域。
openGauss支持国密SM3和SM4算法
weixin_53596073的博客
03-15 867
1. 国密算法介绍 国密即国家密码局认定的国产密码算法,常用的算法有SM1,SM2,SM3,SM4,其中密钥长度和分组长度均为128位。针对银行客户对数据库安全能力的诉求以及提高产品安全竞争力的要求,进行数据库企业级安全能力增强,openGauss自2.0.0版本支持了国密算法,主要包括用户认证支持国密SM3算法,支持利用国密SM4算法对数据进行加解密。 2. 国密SM3算法——用户认证 2.1 使用方法 openGauss现支持四种用户认证方式,其通过postgresql.conf文件中的参数pa
国密2、3秘钥生成及加解密
06-19
`SM3.java`和`Cipher.java`则可能分别实现SM3算法的核心逻辑和加密解密的抽象类或接口,提供更高级别的API供其他模块调用。 为了在Java环境中实现这些功能,开发者通常会利用Java Cryptography Extension (JCE)...
国密算法 + MySQL
老叶茶馆
10-26 2185
中国加密标准中国加密标准的SM1、SM2、SM3、SM4、SM7、SM9等。借助国际加密标准,我们可以利用来自开源的加密库, 例如,最常用和最流行的加密库之一是 OpenSSL。本文旨在使用有 SMx(中国加密库)的“OpenSSL”库 的 BabaSSL,加上 MySQL的TLS设置,提供使用国密算法MySQL。BabaSSL不是唯一采用 MySQL 的中国加密标准, 来自其他的中国加...
SM3计算工具
07-01
本工具可以计算文件、数据、十六进制数据的SM3值。
提供使用国密算法MySQL
bisal的专栏
10-19 1718
在当前的形势下,各种国产技术的需求,比以往都要紧迫,借鉴徐老师的这篇文章《国密算法 + MySQL》,学习创建使用国密算法MySQL数据库。中国加密标准的SM1、SM2、SM3、SM4、SM7、SM9等,借助国际加密标准,我们可以利用来自开源的加密库实现,例如,最常用和最流行的加密库之一是OpenSSL。本文旨在使用有SMx(中国加密库)的“OpenSSL”库的BabaSSL,加上 MySQL的...
云数据库RDS MYSQL国密加密
qq_39652397的博客
04-15 2017
2012年3月,国家密码管理局正式公布了包含SM4分组密码算法在内的《祖冲之序列密码算法》等6项密码行业标准,本文为您介绍RDS MYSQL国密加密方法。 概述 当前网络安全形势不容乐观,越来越多的国际通用密码算法屡屡被传出被破解、被攻击的传闻,存在较高的安全风险, 一旦被不法分子利用攻击,所产生的损失将不可估量; 此外,当前我国金融系统大多采用国外制定的加密算法,存在着大量的不可控因素。 方案介绍 RDS MySQL支持透明数据加密TDE,即对数据文件执行实时I/O加密和解密。即在数据写入磁盘之前
MySQL 加密函数
weixuan_的博客
03-15 320
MySQL 加密函数
mysql国密算法_【国密SM2算法】通过公钥证书获取JAVA对象
weixin_31766003的博客
02-04 1976
网上关于国密算法的资料较单一,大部分代码都是写的怎么通过java代码生成公私钥串。实际项目中对方已经给了他们的公钥证书,这里记录如何通过代码解析获得Ecpoint对象并输出关键代码String cerPath="E:\\test.cer";X509Certificate x509Certificate = null;#国密证书使用了自有的椭圆曲线,无法使用JDK自带的java.security解析...
详解SM3算法加密流程(SM3加密算法一)
热门推荐
详解FPGA及硬件电路开发
06-09 1万+
本文详细介绍了中国的SM3算法,采用消息填充、扩展和迭代压缩过程,输出256位加密数据,适用于电子支付、身份认证和数字签名等。还讨论了算法实现细节,如迭代运算、常量函数和布尔函数的计算,以及在FPGA上实现时的简化策略。
3mysql_Mysql3
weixin_36271649的博客
03-05 72
一、多表查询# 创建部门表CREATE TABLE dept(id INT PRIMARY KEY AUTO_INCREMENT,NAME VARCHAR(20));INSERT INTO dept (NAME) VALUES ('开发部'),('市场部'),('财务部');# 创建员工表CREATE TABLE emp (id INT PRIMARY KEY AUTO_INCREMENT,NAM...
SM3加密算法
Be yourself,everyone else is already taken
11-09 4433
sm3用于替代MD5/SHA-1/SHA-2等国际算法,适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成,可以满足电子认证服务系统等应用需求,于2010年12月17日发布。它是在SHA-256基础上改进实现的一种算法,采用Merkle-Damgard结构,消息分组长度为512bit,输出的摘要值长度为256bit。
SpringBoot3 SM4
03-14
### 实现SM4加密解密于Spring Boot 3 为了在Spring Boot 3中实现SM4加密解密功能,可以遵循如下方法: #### 配置依赖项 首先,在`pom.xml`文件里加入必要的依赖来支持SM4算法。由于SM4属于国密标准的一部分,并不是Java默认库的一部分,因此需要引入第三方库的支持。 ```xml <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcpkix-jdk15on</artifactId> <version>1.70</version> </dependency> ``` 此部分操作确保了开发环境具备执行SM4加解密的能力[^2]。 #### 创建SM4工具类 接着创建一个名为`SM4Util.java`的工具类用于封装具体的加密和解密逻辑。此类应提供两个主要的方法:一个是用来加密字符串;另一个则是用来解密已加密过的字符串。下面是一个简单的例子: ```java import org.bouncycastle.jce.provider.BouncyCastleProvider; import javax.crypto.Cipher; import javax.crypto.spec.SecretKeySpec; import java.security.Key; import java.util.Base64; public class SM4Util { private static final String ALGORITHM_NAME = "SM4"; private static final String TRANSFORMATION_MODE = "SM4/CBC/PKCS7Padding"; public static byte[] encrypt(String content, String key) throws Exception{ Key sm4Key = new SecretKeySpec(key.getBytes(),ALGORITHM_NAME); Cipher cipher = Cipher.getInstance(TRANSFORMATION_MODE,BouncyCastleProvider.PROVIDER_NAME); cipher.init(Cipher.ENCRYPT_MODE,sm4Key); return Base64.getEncoder().encode(cipher.doFinal(content.getBytes())); } public static byte[] decrypt(byte[] encryptedContent, String key)throws Exception{ Key sm4Key = new SecretKeySpec(key.getBytes(),ALGORITHM_NAME); Cipher cipher = Cipher.getInstance(TRANSFORMATION_MODE,BouncyCastleProvider.PROVIDER_NAME); cipher.init(Cipher.DECRYPT_MODE,sm4Key); return cipher.doFinal(Base64.getDecoder().decode(encryptedContent)); } } ``` 这段代码实现了基本的加密和解密流程,其中包含了设置密钥、初始化Cipher对象以及调用doFinal()完成最终转换的过程[^3]。 #### 修改application.yml配置文件 对于数据库连接信息以及其他敏感字段,可以在`application.yml`中按照特定格式书写,比如前缀加上`@SM4@-`表示后面跟着的是经过SM4加密后的值。当应用启动时,可以通过自定义PropertySourceFactory解析并自动解码这些被标记的内容。 ```yaml spring: datasource: url: jdbc:mysql://localhost/testdb?useUnicode=true&characterEncoding=UTF-8&serverTimezone=UTC username: root password: '@SM4@-your_encrypted_password_here' ``` 以上步骤描述了如何在一个基于Spring Boot框架的应用程序内部集成SM4加密机制的方式,不仅限于此处提到的具体细节,还可以根据实际情况调整优化方案以满足不同的需求[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值