【我与 openGauss 的故事系列】openGauss 5.0.0 全密态数据库应用小试

如鱼得水 锋 [openGauss](javascript:void(0);) 2023-08-07 18:00 发表于中国香港

引子：

去年了解 openGauss 数据库安全特性的时候了解到全密态等只查询特性，实际上 openGauss 在早期的 1.0.0 版本就引入了全密态等值查询特性，下面尝试对 openGauss 5.0.0 版本全密态的使用进行记录，供参考。

全密态数据库：

关于全密态数据库，官网上的介绍如下：

密态数据库意在解决数据全生命周期的隐私保护问题，使得系统无论在何种业务场景和环境下，数据在传输、运算以及存储的各个环节始终都处于密文状态。当数据拥有者在客户端完成数据加密并发送给服务端后，在攻击者借助系统脆弱点窃取用户数据的状态下仍然无法获得有效的价值信息，从而起到保护数据隐私的作用。

参见官网：

https://docs.opengauss.org/zh/docs/5.0.0/docs/AboutopenGauss/%E5%85%A8%E5%AF%86%E6%80%81%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AD%89%E5%80%BC%E6%9F%A5%E8%AF%A2.html

其重点在于，openGauss 对数据的加密是在客户端进行的，如下图所示，才能保证在传输，计算和存储过程中都是密文，及时被破坏者截获或者盗取，也只能看到的是加密数据，避免了数据泄露。

通过全密态数据可以保证云数据库的数据安全，攻击者无法从服务端获取有效数据。基于此可以为云服务商赢得客户信任提供技术保障。

全密态数据库的应用：

全密态数据库的应用大致分为以下几个步骤：密钥创建、加密表创建、全密态等值查询。

1. 密钥创建：

• 确定密钥存储路径：

增加环境变量：需要确保计划存放密钥文件的路径存在，且系统创建的数据库用户（本文为 omm）有编辑权限，如下图：

简单起见可以用如下语句赋予权限：

chmod -R 777 /opt/software/openGauss/

增加环境变量：

export LOCALKMS_FILE_PATH=/opt/software/openGauss

执行完成后查看，生成了文件：

• GSQL 连接全密态数据库，

gsql -p 5432 -d postgres -r –C

其中-C 表示是打开密态开关。

• 创建用户密钥，

其中密钥包括 CMK 和 CEK。CMK 是主密钥，用于加密 CEK；而 CEK 是数据密钥，用于加密数据。CEK 的创建要依赖于 CMK，因此要先创建 CMK，再创建 CEK。

创建 CMK：

CREATE CLIENT MASTER KEY ImgCMK WITH (KEY_STORE = localkms, KEY_PATH = "key_path_value", ALGORITHM = RSA_2048);CREATE CLIENT MASTER KEY

说明：当前 KEY_STORE 仅支持 localkms，ALGORITHM 支持 RSA_2048、RSA3072 和 SM2

创建 CEK：

CREATE COLUMN ENCRYPTION KEY ImgCEK WITH VALUES (CLIENT_MASTER_KEY = ImgCMK, ALGORITHM = AEAD_AES_256_CBC_HMAC_SHA256);CREATE COLUMN ENCRYPTION KEY

重要说明：由于 SM2、SM3、SM4 等算法属于中国国家密码标准算法，为规避法律风险，需配套使用。如果创建 CMK 时指定 SM4 算法来加密 CEK，则创建 CEK 时必须指定 SM4_SM3 算法来加密数据。

查询创建的密钥：

SELECT * FROM gs_client_global_keys;

SELECT column_key_name,column_key_distributed_id ,global_key_id,key_owner FROM gs_column_keys;

1. 加密表创建：

• 创建另外一个数据库用户：

create user fishinwater  identified by "***********";

（实际密码隐藏掉）

• 创建加密表：

CREATE TABLE creditcard_info (id_number int, name text encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC),credit_card  varchar(19) encrypted with (column_encryption_key = ImgCEK, encryption_type = DETERMINISTIC));

注意对于需要加密的列要说明 encrypted with ……，其中 encryption_type_value 的可选值为[ DETERMINISTIC | RANDOMIZED ]，本例中选择 DETERMINISTIC。

查看上面创建的密态表，可以看到后面两列是加密的：

\d creditcard_info

• 插入数据：

INSERT INTO creditcard_info VALUES (1,'joe','6217986500001288393');INSERT INTO creditcard_info VALUES (2, 'joy','6219985678349800033');

就不截图了，简单的 insert 语句而已。

1. 全密态等值查询：

• 打开密态开关

打开密态开关即连接时带上“-C”参数，JDBC 连接的话，设置参数 enable_ce 的值为 1：（enable_ce=1）

在当前打开密态开关的情况下，是可以正常查询数据的，如下：

select * from creditcard_info;

也可以在 where 条件中用加密字段进行查询：

select * from creditcard_info where name = 'joe';

• 关闭密态开关：

gsql -p 5432 -d postgres –r

注意没有带“-C”参数，则查询的数据是密文，且无法在 WHERE 条件中使用加密列。

如在条件中用到加密列，会报错如下：

查询到的密文数据：

1. 其他数据库用户查询：

被赋予了查询权限的用户（本例为 fishinwater），即使打开密态开关，也无法查询加密数据，报错如下：ERROR(CLIENT): failed to decrypt column encryption key

但是只查询非加密列是正常的，篇幅所限就不附图了。

当没有打开密态开关时，查询到的是密文，和创建秘钥的用户不打卡密态开关的效果相同，也不再进行附图说明。

需要说明的是，全密态数据库的使用有相当多的约束条件，且相对于以前的版本，openGauss 5.0.0 版本的约束有变化，本文不再赘述，可以参考官网说明。

https://docs.opengauss.org/zh/docs/5.0.0/docs/AboutopenGauss/%E5%85%A8%E5%AF%86%E6%80%81%E6%95%B0%E6%8D%AE%E5%BA%93%E7%AD%89%E5%80%BC%E6%9F%A5%E8%AF%A2.html

结语：

全密态数据库为用户敏感隐私数据的保护提供了更多的一种选择，在信息保护和数据安全越来越重要的今天，将作为 openGauss 的重要特性，为 openGauss 的更加壮大提供重要的技术基础。