达梦数据库-数据库存储加密02-记录总结
1.1小总结
1数据库全库和REDO日志透明加密只能初始化时设置。
2表空间透明加密只能创建时设置 。
3表列透明加密,可以创建时设置,也可后期更改为透明加密,但是更改前的数据不加密,只对更改后插入数据加密。
4支持对存储过程等其它对象加密。
5表列半透明加密,半透明加密模式用户默认只能看到自己插入的数据。
6表列半透明加密,表列由不加密改为半透明加密,报错:第1行附近出现错误[-2704]:试图执行半透明加密表不支持的DDL。
本节主要介绍半透明加密和非透明加密。
接上节
1.2具体内容
1.2.2半透明加密
1.2.2.1用户半透明加密
创建用户时可以指定存储加密密钥,这个密钥就是为了进行半透明加密时使用的。如果在创建用户时并没有指定存储加密密钥,系统也会自动为用户生成一个默认的加密密钥。
示例:
create user "TEST3" identified by "HUN_admin2026" encrypt by "CSenc123";
1.2.2.2表列半透明加密
表列半透明加密设置如果在创建用户时并没有指定存储加密密钥,系统也会自动为用户生成一个默认的加密密钥。如果在创建表或修改表时指定对表列进行半透明加密,DM会使用用户的存储加密密钥对数据进行加密。
半透明加密模式用户只能看到自己插入的数据。
CREATE TABLE TEST_ENCRYPT6(C1 INT, C2 INT ENCRYPTMANUAL);
CREATE TABLE TEST_ENCRYPT7(C1 INT, C2 INT ENCRYPT WITH SM4 MANUAL);
CREATE TABLE TEST_ENCRYPT8(C1 INT, C2 INT ENCRYPT WITH DES_ECB MANUAL HASH WITH MD5 SALT);
CREATE TABLE TEST_ENCRYPT9(C1 INT, C2 INT ENCRYPT MANUAL HASH WITH MD5 SALT);
示例1-创建表时设置
create tablespace TEST3 datafile 'test3.dbf' size 128 CACHE = NORMAL;
create user "TEST3" identified by "HUN_admin2026" encrypt by "CSenc123"
default tablespace "TEST3"
default index tablespace "TEST3";
grant "PUBLIC","RESOURCE","SOI" to TEST3;
(1)test3用户登录数据库创建表、插入数据、查询
disql test3/HUN_admin2026@192.168.118.236:5237
CREATE TABLE TEST_ENCRYPT1(C1 INT, C2 VARCHAR2(20) ENCRYPTMANUAL);
insert into TEST_ENCRYPT1 values(1,'TEST_ENCRYPT2');
commit;
select * from TEST_ENCRYPT1;
(2)查询表空间数据文件。
strings /data/dmdata/DAMENG/test3.dbf --密文
(3)其它用户插入数据并查询。
disql sysdba/HUN_admin2026@192.168.118.236:5237
insert into test3.TEST_ENCRYPT1 values(2,'TEST_ENCRYPT-sysdba');
commit;
select * from test3.TEST_ENCRYPT1;
(4)所属用户插入数据并查询。
disql test3/HUN_admin2026@192.168.118.236:5237
insert into TEST_ENCRYPT1 values(3,'TEST_ENCRYPT3');
commit;
select * from test3.TEST_ENCRYPT1;
drop table test3.TEST_ENCRYPT1;
示例2-修改表时设置
(1)test3用户登录数据库创建表、插入数据、查询
disql test3/HUN_admin2026@192.168.118.236:5237
CREATE TABLE TEST_ENCRYPT1(C1 INT, C2 VARCHAR2(20));
insert into TEST_ENCRYPT1 values(1,'TEST_ENCRYPT1');
commit;
select * from TEST_ENCRYPT1;
(2)查询表空间数据文件。
strings /data/dmdata/DAMENG/test3.dbf --明文
(3)修改表C2列为半透明加密--报错
alter table TEST3.TEST_ENCRYPT1 modify "C2" VARCHAR2(20) encrypt with "SM4_ECB" manual hash with "SM3" salt ;
1.2.3非透明加密
DM对非透明加密的支持是通过对用户提供加解密接口实现的。用户在使用非透明加密时,需要提供密钥并调用加解密接口。采用非透明加密可以保证个人私密数据不被包括DBA在内的其他人获取。
非透明加密通过用户调用存储加密函数来进行,DM 提供了一系列的存储加密函数,还提供了一个数据加密包DBMS_OBFUSCATION_TOOLKIT。
1.2.4客体重用
数据库客体(主要指数据库对象、数据文件、缓存区)回收后不做处理,直接分配给新来的请求,但是有些窃密者会利用这一点编写特殊的非法进程通过数据库管理系统的内存泄露来获取数据库系统的信息。
DM 提供了客体重用安全功能。为防止非法进程利用数据库客体的内存泄露来攻击数据库,DM 主要从内存和文件两个方面进行了处理:
- 内存重用:DM 从系统分配内存及释放内存时均对内存内容进行清零,以保证不利用内存中前一进程所残留内容,且不泄漏 DM 的内容给其他进程。
- 文件重用:DM 在系统生成、扩展及删除文件时,对文件内容也进行了清零。
DM 提供了INI参数ENABLE_OBJ_REUSE用来控制是否启用客体重用功能,将该参数置为1表示启用客体重用,0 表示不启用,缺省为 0。
--查询当前设置
SELECT * FROM V$PARAMETER WHERE NAME='ENABLE_OBJ_REUSE';
--修改当前设置
SP_SET_PARA_VALUE(2,'ENABLE_OBJ_REUSE',0);
更多达梦数据库运维指南、在线文档、相关资料、社区在线提问以及技术分享
访问 https://eco.dameng.com/