一般用户在数据库中保存数据,虽然数据库存储的是二进制,无法直接明文打开查看,但是如果是一个外行人,直接连接进入mysql中,还是可以直接查看数据的。

所以对于一些核心数据,特别是企业重要数据资产,一般会再增加一个透明加密的数据安全保护,以避免一些无关人员直接获取重要信息。

在O记里,就有专门的透明加密的功能模块,叫做Oracle Key Manager,感兴趣的童鞋可以去研究一下。

众所周知,mysql 在互联网里使用得非常多,除了它的性能确实不错外,免费也是一个重要原因。但是免费就代表着不讲究,对于一些重要的企业功能,它没有,你也不能够说啥,毕竟O记也为大家提供商业版本。

所以在MySQL 中,是不具备透明加密功能的。虽然如此,但是mysql 具备加密/解密的基础功能啊,还有函数和触发器,无论环境多么恶劣,只要想做成一件事,总有方法来实现,人民群众是历史的创造者。

简单为mysql 实现透明加密方法-风君雪科技博客

—- 分割线  —-

首先为了避免加密 和 解密的 key 直接暴露,我们先创造一张表来保存这个key 值。

-- 配置一个保存 加/解 密 key 的表,并且提前准备一个key 值
create table tkey (keyname varchar(100));
insert into tkey values ('sequoiadb');

创建一张测试表,避免后面的触发器无法创建

-- 测试表,验证加密和解密效果
drop table if exists test;
create table test (id int, name varchar(100));

创建insert 和 update 的触发器,触发器只针对 test.name 字段进行加密保存,对 test.id 字段不做处理。如果大家在业务里想做得更加复杂,肯定需要包装一层配置方式,这里只介绍如何实现

-- insert的 触发器,只针对 test.name 字段进行加密保存
drop trigger if exists t_insert;
DELIMITER ;;
create trigger t_insert
before insert on test
for each row 
begin
   select keyname into @key_name from tkey limit 1;
   set new.name = hex(AES_ENCRYPT(new.name, @key_name));
end
;;
DELIMITER ;

-- update 触发器,只针对 test.name 字段进行加密更新
drop trigger if exists t_update;
DELIMITER ;;
create trigger t_update
before update on test
for each row 
begin
   select keyname into @key_name from tkey limit 1;
   set new.name = hex(AES_ENCRYPT(new.name, @key_name));
end
;;
DELIMITER ;

创建一个解密的函数,主要是为了在查询时,更加友好

-- 解密 函数
drop function if exists decrypt;
DELIMITER ;;
create function decrypt(col varchar(100))
returns varchar(100) DETERMINISTIC
BEGIN
   select keyname into @key_name from tkey limit 1;
   return AES_DECRYPT(unhex(col), @key_name);
END
;;
DELIMITER ;

这样就基本配置好了mysql 的透明加密和 解密动作了,我们来验证一下

-- 验证sql,可以通过普通查询和解密查询,看看数据是否真的被自动加密了
truncate table test;
insert into test values (1,'sdb');
insert into test values (2, 'sequoiadb');
-- 普通查询,得到的结果是一堆乱码
select * from test;
-- 解密查询,返回预期结果
select id, decrypt(name) from test;
update test set name = 'jushan' where id = 1;
-- 解密查询
select id, decrypt(name) from test where id = 1;

我自己测试的结果截图:

简单为mysql 实现透明加密方法-风君雪科技博客

 *** 分割线 ***

上面的例子是结合了触发器和函数,对于复杂的业务系统,可能会在运维时造成影响,所以这里再提供一个只使用函数的方式,实现数据的加密和解密

创建 密钥表

create table tkey (keyname varchar(100));
insert into tkey values ('sequoiadb');

创建 测试表

create table test (id int, name varchar(100));

创建加密函数(encrypt名称和已有函数冲突,所以用了 encrypt_new)

DELIMITER ;;
create function encrypt_new(col varchar(100))
returns varchar(100) DETERMINISTIC
begin
select keyname into @key_name from tkey limit 1;
return hex(AES_ENCRYPT(col, @key_name));
end
;;
DELIMITER ;

创建解密函数

DELIMITER ;;
create function decrypt_new(col varchar(100))
returns varchar(100) DETERMINISTIC
BEGIN
select keyname into @key_name from tkey limit 1;
return AES_DECRYPT(unhex(col), @key_name);
END
;;
DELIMITER ;

测试

truncate table test;
insert into test values (1, encrypt_new('abc'));
select * from test;
select id, decrypt_new(name) from test;

今天就介绍这些吧。