国密算法 + MySQL

中国加密标准

中国加密标准的SM1、SM2、SM3、SM4、SM7、SM9等。 借助国际加密标准，我们可以利用来自开源的加密库, 例如，最常用和最流行的加密库之一是 OpenSSL。

本文旨在使用有 SMx（中国加密库）的“OpenSSL”库 的 BabaSSL，加上 MySQL的TLS设置，提供使用国密的算法的 MySQL。BabaSSL不是唯一采用 MySQL 的中国加密标准, 来自其他的中国加密供应商/开源的/兼容的/最新的 OpenSSL 库， 也会支持类似的方式来实现MySQL国密TLS加密。

测试环境（用于分享）

1.计算机资源（VM）

2. 操作系统 - 计算 机VM 配备 Oracle Linux 8

3. 通过公用 yum 的存储库安装MySQL 社区版本8.0

4. 使用 BabaSSL 8.3 [ BabaSSL 8.3.2-dev ]。它基于 2020 年 9 月 22 日的 OpenSSL 1.1.1h 版本

介绍

MySQL 利用 OpenSSL 库通过通信通道为密码提供 TLS 加密。为了允许使用中国标准和 MySQL 切换 OpenSSL 库，可使用OpenSSL兼容的BabaSSL以强制使用中国加密标准进行通信。

安装和使用

1. 提供虚拟机和操作系统/包更新

2.下载BabaSSL 8.3.2稳定源代码

3.Compile BabaSSL并以安装

4. 安装 MySQL 8.0.30（来自 yum 存储库）

5. 使用 SMx for MySQL 配置 TLS

6. 使用 BabaSSL 库路径来更改 mysqld 的系统服务

7.重新加载并重启mysqld服务

8. MySQL (mysql) 客户端与 BabaSSL 库通过 TLS 与 SMx 连接

配置虚拟机和操作系统/包更新

计算实例 (VM) 使用 Oracle Linux 8 进行配置。VM 配置好并准备好连接，登录到 shell 终端并进行更新

从终端 Terminal SSH 登录

ssh -i <privatekey>  opc@<public IP> 
sudo yum update
sudo yum install wget

下载 BabaSSL 8.3.2 稳定源代码

要下载 8.3 稳定源 zip 文件，并执行以下命令和解压 zip文件

wget https://github.com/Tongsuo-Project/Tongsuo/archive/refs/heads/8.3-stable.zip
unzip 8.3-stable.zip

要Compile代码，请将目录更改为解压后的文件目录“Tongsuo-8.3-stable”并执行以下命令：

 cd Tongsuo-8.3-stable
 mkdir bld
 ../config
 make

BabaSSL的安装 会放于 /usr/local/bin 和 /usr/local/lib64 以及相应的默认安装路径。

注意：默认安装不会替换任何标准操作系统系统自带的 OpenSSL档案，而是将其放入 /usr/local 作为選用安装。

sudo make install

最后，更改 /etc/profile 并附加以下内容

export LD_LIBRARY_PATH=/usr/local/lib64:$LD_LIBRARY_PATH

退出终端并重新登录虚拟机

以SSH 连接到附加了新库路径的计算 VM （来自更新过的 /etc/profile）。

并检查 BabaSSL 和 SMx 加密，执行以下命令并验证是否安装 BabaSSL成功。

openssl version
openssl -v ciphers|grep SM

结果显示如下：

BabaSSL 8.3.2-dev

OpenSSL 1.1.1h 22 Sep 2020

TLS_SM4_GCM_SM3 TLSv1.3 Kx=any Au=any Enc=SM4-GCM(128) Mac=AEAD

TLS_SM4_CCM_SM3 TLSv1.3 Kx=any Au=any Enc=SM4-CCM(128) Mac=AEAD

利用 yum 存储库安装 MySQL 8.0.30

在 SSH 终端上，执行以下命令来安装 mysql 社区版本

sudo yum install https://dev.mysql.com/get/mysql80-community-release-el8-4.noarch.rpm
sudo yum module disable mysql
sudo dnf install mysql-server

启动mysqld服务，修改密码并查看连接信息

这个时候的TLS连接时使用操作系统上的OpenSSL (=没开通的国密TLS）

sudo systemctl start mysqld

查看root 的 临时密码， 以临时密码登陆的是不可以使用正常SQL命令。要先改密码

sudo cat /var/log/mysqld.log|grep temp
mysql –uroot –h127.0.0.1 –p
mysql > set password=‘…..’;
mysql > status

查看“status”信息结果，显示使用Cipher是 TLS_AES_256_GCM_SHA384.

修改 /etc/my.cnf 以使用 SMx 密码附加 TLS 设置。

require_secure_transport=ON
tls_ciphersuites=TLS_SM4_GCM_SM3:TLS_SM4_CCM_SM3
tls_version=TLSv1.3

更改 mysqld 的系统服以至使用 BabaSSL 库路径

- 更新 mysqld.service 并添加带有 LD_LIBRARY_PATH 的 ENVIRONMENT 行以采用 BabaSSL

sudo vi /etc/systemd/system/multi-user.target.wants/mysqld.service

查找文件上的“Environment=MYSQLD_PARENT_PID=1”一行，并在后面添加以下一行

Environment=LD_LIBRARY_PATH=/usr/local/lib64

重新加载并重启 mysqld 服务

执行以下命令重新加载系统服务并启动mysqld

sudo systemctl daemon-reload
sudo systemctl restart mysqld

从 /var/log/mysqld.log 检查 mysqd.log 加密连接支持信息正确无错

日志消息显示 TLS 连接已配置。

MySQL (mysql) 客户端与 BabaSSL 库通过 TLS 与 SMx 连接

要使用 SMx 连接通过 TLS 登录 MySQL，“mysql”客户端必须与 BabaSSL 库一起运行。确保 LD_LIBRARY_PATH 具有 /usr/local/lib64 并将 mysql 客户端登录到 MySQL 服务器

mysql -uroot -h127.0.0.1 -P3306 -p -e "status;"

状态屏幕显示 SSL 连接使用的Ciphers是 TLS_SM4_GCM_SM3。

在mysql客户端执行以下SQL命令来看看TLS/SSL信息

mysql > show variables like '%tls%';
mysql > show status like '%tls%';

结果显示

mysql> show variables like '%tls%';

+------------------------+---------------------------------+

| Variable_name | Value |

+------------------------+---------------------------------+

| admin_tls_ciphersuites | |

| admin_tls_version | TLSv1.2,TLSv1.3 |

| tls_ciphersuites | TLS_SM4_GCM_SM3:TLS_SM4_CCM_SM3 |

| tls_version | TLSv1.3 |

+------------------------+---------------------------------+

4 rows in set (0.00 sec)

mysql> show status like '%tls%';

+--------------------------+---------------------------------+

| Variable_name | Value |

+--------------------------+---------------------------------+

| Current_tls_ca | ca.pem |

| Current_tls_capath | |

| Current_tls_cert | server-cert.pem |

| Current_tls_cipher | |

| Current_tls_ciphersuites | TLS_SM4_GCM_SM3:TLS_SM4_CCM_SM3 |

| Current_tls_crl | |

| Current_tls_crlpath | |

| Current_tls_key | server-key.pem |

| Current_tls_version | TLSv1.3 |

| Tls_library_version | OpenSSL 1.1.1h 22 Sep 2020 |

+--------------------------+---------------------------------+

10 rows in set (0.01 sec)

VM 上的 MySQL 服务器/客户端使用 SMx TLS 连接运行 BabaSSL 8.3.2。

参考链接

https://zhuanlan.zhihu.com/p/132352160

https://github.com/Tongsuo-Project/Tongsuo

https://dev.mysql.com/downloads/repo/yum/