客户端需要自动对SQL语句加密,对查询结果解密,自然需要一些额外的辅助信息,即密钥及加密字段元信息。例如:哪些字段是加密的,加解密数据时应该对应哪个加解密密钥,数据加解密密钥对应哪个主密钥等。
在全密态数据库中,通过实现三层密钥机制来保护密钥在客户端的安全存储、使用、导入、导出,减少因密钥损坏导致的数据丢失。
如{REF _d0e524 \r \h \* MERGEFORMAT |图6}所示,主密钥由外部密钥管理模块管理,列加密密钥由主密钥加密后存放在数据库服务端。当需要对列加密密钥进行加解密时,客户端加解密驱动会访问外部密钥管理模块。
图6 密钥管理模块
密钥管理模块的形态可以是各种各样的,包括密钥云服务、密钥工具、密钥组件和密码机等。目前,全密态数据库支持4种外部密钥管理方式,如{REF _d0e533 \r \h \* MERGEFORMAT |表1}所示。
表1 密钥管理支持类型
|
类型
|
名称
|
提供方
|
部署位置
|
接口类型
|
功能
|
|
工具
|
gs_ktool |
GaussDB |
数据库驱动侧
|
命令行命令、
C
动态库
|
创建、删除、查询、备份主密钥等
|
|
云服务
|
huawei_kms |
华为公有云
|
公网
|
网页、
restful
接口
|
创建、删除、查询主密钥等,使用主密钥加解、解密
|
|
云服务
|
his_kms |
华为
IT
服务
|
内网
|
网页、
restful
接口
|
创建、删除、查询主密钥,使用主密钥加解、解密
|
全密态数据库的密钥及加密字段元信息储存在服务端的系统表中,在使用的时候会预加载到客户端的缓存。下面逐一介绍具体的配置信息存储位置。
加密列信息 GS_ENCRYPTED_COLUMNS
GS_ENCRYPTED_COLUMNS系统表记录了全密态数据库中表的加密列的相关信息,每条记录对应一条加密列信息。有了加密列的配置信息,客户端在处理数据的时候,根据缓存中的加密列信息,判断SQL语句中的字段是否需要加密。该系统表记录如下信息:
-
加密列的标识信息:rel_id和column_name。
-
加解密处理信息:包括加解密密钥、加密之前的类型和加密之后的类型。
-
辅助信息:如加密列创建的时间。
具体各个字段的含义如下:
表2 GS_ENCRYPTED_COLUMNS字段
|
名称 |
类型
|
描述
|
|
rel_id
|
oid
|
加密列所在表的oid,本处oid是指数据库内对象的唯一标识符。
|
|
column_name
|
name
|
加密列的名称。
|
|
column_key_id
|
oid
|
对该列进行加解密使用的列加密秘钥oid。
|
|
encryption_type
|
tinyint
|
加密类型,取值及其含义如下:
1:即确定性加密。该类型时,相同的明文对应的密文也相同。
2:即随机加密。该类型时,同样的明文每一次加密得到的密文都不一样。
|
|
data_type_original_oid
|
oid
|
加密列的原始数据类型的oid。
|
|
data_type_original_mod
|
integer
|
加密列的原始数据类型的typmod信息。模式信息一般记录了变长字符串的长度,数值类型的精度等,是数据类型的一部分。
|
|
create_date
|
timestamp with time zone
|
创建加密列的时间。
|
列加密密钥 GS_COLUMN_KEYS
-
列加密密钥的标识信息:oid和column_key_name等。
-
列加密密钥处理信息:包括对应的主密钥等。
-
辅助信息:如创建时间、属主、访问权限等。
具体各个字段的含义如下:
表3 GS_COLUMN_KEYS字段
|
名称 |
类型
|
描述
|
|
oid
|
oid
|
列加密密钥的唯一标识符。
|
|
column_key_name
|
name
|
列加密密钥(CEK)的名称。
|
|
column_key_distributed_id
|
oid
|
根据列加密秘钥的schema名和密钥名计算出的hash值,标识符。
|
|
global_key_id
|
oid
|
列加密密钥对应的主密钥oid。
|
|
key_namespace
|
oid
|
包含此列加密密钥(CEK)的命名空间oid。
|
|
key_owner
|
oid
|
列加密密钥(CEK)的所有者oid。
|
|
create_date
|
timestamp with time zone
|
创建列加密密钥的时间。
|
|
key_acl
|
aclitem[]
|
创建该列加密密钥时所拥有的访问权限。
|
GS_CLIENT_GLOBAL_KEYS系统表记录了密态等值特性中客户端加密主密钥的相关信息,每条记录对应一个客户端加密主密钥。主密钥具体的数据储存在系统表 GS_CLIENT_GLOBAL_KEYS_ARGS中,该表以KV键值对的形式储存了主密钥对应的加解密算法、主密钥对应的KMS套件名称以及对应加解密套件的密钥标识符。该系统表记录如下信息:
主密钥的标识信息:oid和global_key_name等。
辅助信息:如创建时间、属主和访问权限等。
主密钥是由密钥管理服务或者密钥工具生成并使用,服务端并不存储主密钥,仅协助客户端储存主密钥相关的标识信息、配置信息和描述信息。
具体各个字段的含义如下:
表4 GS_CLIENT_GLOBAL_KEYS字段
|
名称
|
类型
|
描述
|
|
oid
|
oid
|
客户端主密钥的唯一标识符。
|
|
global_key_name
|
name
|
加密主密钥(CMK)名称。
|
|
key_namespace
|
oid
|
主密钥所属schema的oid。
|
|
key_owner
|
oid
|
主密钥的所有者oid。
|
|
key_acl
|
aclitem[]
|
主密钥指定的访问权限。
|
|
create_date
|
timestamp without time zone
|
主密钥创建的时间。
|
浙公网安备 33010602011771号