一般用户在数据库中保存数据,虽然数据库存储的是二进制,无法直接明文打开查看,但是如果是一个外行人,直接连接进入mysql中,还是可以直接查看数据的。
所以对于一些核心数据,特别是企业重要数据资产,一般会再增加一个透明加密的数据安全保护,以避免一些无关人员直接获取重要信息。
在O记里,就有专门的透明加密的功能模块,叫做Oracle Key Manager,感兴趣的童鞋可以去研究一下。
众所周知,mysql 在互联网里使用得非常多,除了它的性能确实不错外,免费也是一个重要原因。但是免费就代表着不讲究,对于一些重要的企业功能,它没有,你也不能够说啥,毕竟O记也为大家提供商业版本。
所以在MySQL 中,是不具备透明加密功能的。虽然如此,但是mysql 具备加密/解密的基础功能啊,还有函数和触发器,无论环境多么恶劣,只要想做成一件事,总有方法来实现,人民群众是历史的创造者。
---- 分割线 ----
首先为了避免加密 和 解密的 key 直接暴露,我们先创造一张表来保存这个key 值。
--配置一个保存 加/解 密 key 的表,并且提前准备一个key 值
create table tkey (keyname varchar(100));insert into tkey values ('sequoiadb');
创建一张测试表,避免后面的触发器无法创建
--测试表,验证加密和解密效果
drop table if existstest;create table test (id int, name varchar(100));
创建insert 和 update 的触发器,触发器只针对 test.name 字段进行加密保存,对 test.id 字段不做处理。如果大家在业务里想做得更加复杂,肯定需要包装一层配置方式,这里只介绍如何实现
--insert的 触发器,只针对 test.name 字段进行加密保存
drop trigger if existst_insert;
DELIMITER ;;create triggert_insert
beforeinsert ontestforeach rowbegin
select keyname into @key_name from tkey limit 1;set new.name = hex(AES_ENCRYPT(new.name, @key_name));end;;
DELIMITER ;--update 触发器,只针对 test.name 字段进行加密更新
drop trigger if existst_update;
DELIMITER ;;create triggert_update
beforeupdate ontestforeach rowbegin
select keyname into @key_name from tkey limit 1;set new.name = hex(AES_ENCRYPT(new.name, @key_name));end;;
DELIMITER ;
创建一个解密的函数,主要是为了在查询时,更加友好
--解密 函数
drop function if existsdecrypt;
DELIMITER ;;create function decrypt(col varchar(100))returns varchar(100) DETERMINISTICBEGIN
select keyname into @key_name from tkey limit 1;return AES_DECRYPT(unhex(col), @key_name);END;;
DELIMITER ;
这样就基本配置好了mysql 的透明加密和 解密动作了,我们来验证一下
--验证sql,可以通过普通查询和解密查询,看看数据是否真的被自动加密了
truncate tabletest;insert into test values (1,'sdb');insert into test values (2, 'sequoiadb');--普通查询,得到的结果是一堆乱码
select * fromtest;--解密查询,返回预期结果
select id, decrypt(name) fromtest;update test set name = 'jushan' where id = 1;--解密查询
select id, decrypt(name) from test where id = 1;
我自己测试的结果截图:
*** 分割线 ***
上面的例子是结合了触发器和函数,对于复杂的业务系统,可能会在运维时造成影响,所以这里再提供一个只使用函数的方式,实现数据的加密和解密
创建 密钥表
create table tkey (keyname varchar(100));insert into tkey values ('sequoiadb');
创建 测试表
create table test (id int, name varchar(100));
创建加密函数(encrypt名称和已有函数冲突,所以用了 encrypt_new)
DELIMITER ;;create function encrypt_new(col varchar(100))returns varchar(100) DETERMINISTICbegin
select keyname into @key_name from tkey limit 1;return hex(AES_ENCRYPT(col, @key_name));end;;
DELIMITER ;
创建解密函数
DELIMITER ;;create function decrypt_new(col varchar(100))returns varchar(100) DETERMINISTICBEGIN
select keyname into @key_name from tkey limit 1;return AES_DECRYPT(unhex(col), @key_name);END;;
DELIMITER ;
测试
truncate tabletest;insert into test values (1, encrypt_new('abc'));select * fromtest;select id, decrypt_new(name) from test;
今天就介绍这些吧。
 的一些用法)
的解决方法)
)
