首页
学习
活动
专区
圈层
工具
发布

长安链ChainMaker新特性——透明数据加密TDE

01透明数据加密(TDE)简介 透明数据加密(Transparent Data Encryption (简称TDE))是指可以在文件层对数据和文件进行实时加密和解密,落盘的文件是加密后的内容,而对于上层应用系统和开发人员而言...IT人员绕过业务系统和审批流程,进行无记录的越权数据查看或修改 在没有启用TDE的情况下,任何人只要获得了数据库文件,即可直接浏览数据库中的所有内容,但如果在数据库上启用了TDE,整个数据被安全加密了;...02TDE如何工作 TDE需要一个密钥来加密和解密数据,当前长安链支持硬件加密机这种物理隔离高安全的密钥托管和加解密方案,这个密钥也可以使用独立的文件来保存,或者通过配置项的形式传入。...4.3 TDE不支持SQL合约的数据加密 长安链TDE是对键值数据库场景下对Value部分的加解密,对于SQL合约的场景,由于业务数据是通过生成的SQL语句产生的,所以无法对SQL语句进行加密。...如果想对SQL数据库进行落盘加密,建议使用支持TDE功能的数据库并启用对应数据库自身提供的TDE服务。

1.9K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    MSSQL 2014 TDE透明加密的使用

    TDE 对数据和日志文件进行实时 I/O 加密和解密。 加密使用的是数据库加密密钥 (DEK)。 数据库启动记录存储该密钥,供还原时使用。...已加密数据库中的页在写入磁盘之前会进行加密,在读入内存时会进行解密。 TDE不会增加已加密数据库的大小。...仅用于TDE且称为数据库加密密钥 (DEK ,database encrypt key)  将在用户数据库中创建和存储。下图显示了 TDE 加密体系结构。...4 删除数据库加密秘钥让我们删除数据库加密密钥,因为我们已经关闭了这个数据库的TDE。...接下来,我将向你展示如何删除它的主密钥和证书来清理SQL Server实例上的透明数据加密组件。5 从主数据库中删除TDE证书运行下面的T-SQL语句,删除为加密数据库TDE_DB而创建的TDE证书。

    1.2K10

    医疗行业数据安全实战:HIS系统TDE透明加密落地全流程

    医疗HIS系统数据加密:TDE透明加密防勒索落地实战>某三甲医院HIS系统遭勒索攻击,患者数据被加密勒索500万。...---二、TDE透明加密技术原理**TDE(TransparentDataEncryption,透明数据加密)**是在数据库存储层进行加密的技术,对应用完全透明。...→勒索```**TDE的防护效果**:-✅即使攻击者获取数据库文件(.mdf/.ndf/.ldf),无法读取明文-✅即使备份被加密,TDE加密后的备份文件仍然需要密钥才能解密-✅即使攻击者拿到数据库账号...;```---五、透明加密合规审计5.1等保2.0对数据加密的要求|等保条款|TDE对应能力||----------|--------------||数据保密性|存储加密(TDE)||数据完整性|加密+...**A**:-**TDE**:整个数据库加密,透明,零改造,适合基础防护-**列级加密**:只加密敏感列(如身份证号),需要应用层改造**建议**:TDE做基础防护,列级加密做增强防护(双层加密)。

    5910

    云原生架构下的数据库透明加密(TDE)实战:从原理到生产部署

    本文从加密原理讲起,逐步覆盖MySQL、PostgreSQL两大主流数据库的生产级TDE配置,并给出密钥轮换与灾备恢复的完整方案。一、为什么云原生场景必须用TDE?..."特性使TDE成为云原生环境下数据库加密的最优解。...二、TDE的技术原理与两种实现路径TDE的本质是在数据库引擎的存储引擎层插入加解密模块。当数据从内存写入磁盘(WAL日志+数据文件)时自动加密,从磁盘读入内存时自动解密。...、存储、轮换加密密钥KMS/HSM2.2两级密钥架构TDE采用经典的两级密钥架构:数据加密密钥(DEK):实际用于加解密数据库数据的对称密钥(AES-256)。...2.3表空间加密vs列加密TDE有两种粒度选择:表空间级加密(TDETablespaceEncryption):对整个表空间的数据文件进行加解密。

    20420

    MySQL安全相关-- TDE和数据脱敏功能介绍

    罗伟文 多年的DBA经验,从oracle8i到MySQL,从传统行业到互联网,从音乐直播到电子商务,有大规模高并发数据库集群的实战经验,现任甲骨文云MySQL首席解决方案工程师 1 TDE TDE( Transparent...Data Encryption,透明数据加密) 指的是无需修改应用就可以实现数据的加解密,在数据写磁盘的时候加密,读的时候自动解密。...启用加密后,数据库的占用空间也变化不大。 启用加密后,对于备份策略也需要调整,需要考虑到master键的保存,并不时作备份恢复测试,确保即使生产数据完全丢失也可以恢复数据。...要注意的是,如果使用MySQL Enterprise Backup (MEB)备份TDE的表空间,备份下来也是加密的,而mysqldump备份是没有加密的,考虑到安全问题可手动加密。...以下演示的是通过插件方式进行的TDE加密,keyring_encrypted_file是企业版带的插件,它将钥匙圈数据存储在一个加密的、用密码保护的本地文件中。

    2.3K10

    制造业ERP系统TDE透明加密实战:等保三级合规+防勒索攻击

    本文详解**TDE透明加密**在制造业ERP系统的落地方案。...透明加密(TDE)=TransparentDataEncryption特性说明制造业价值**透明性**ERP系统无需改造不影响生产业务**全加密**数据文件+日志+备份全加密全方位保护**高性能**损耗...)阶段2:测试环境验证(2周)⬜部署TDE到测试环境⬜性能对比测试⬜ERP功能回归测试⬜备份/恢复演练阶段3:生产环境部署(1周)⬜全量备份数据库⬜创建主密钥+证书⬜创建DEK并启用TDE⬜监控加密进度...优化建议:•启用AES-NI硬件加速•使用SSD存储•定期监控加密状态✅等保2.0三级合规检查实施TDE后,等保测评需检查:✅**数据存储加密**:数据库文件已加密(TDE)✅**密钥管理**:三级密钥体系...,证书已备份✅**访问控制**:DBA无法绕过加密直接读取文件✅**审计日志**:TDE操作记录已开启✅**备份加密**:备份文件同样加密测评结果:某制造企业ERP系统通过等保2.0三级测评✅总结TDE

    3700

    【架构实战】数据加密架构:传输加密+存储加密

    一、数据加密概述数据加密是保护数据安全的重要手段:加密场景:传输加密(HTTPS)存储加密(敏感数据)密钥管理二、传输加密1.HTTPS配置展开代码语言:JavaAI代码解释@ConfigurationpublicclassSSLConfig...privateintcurrentVersion;publicvoidrotateKey()throwsException{//1.生成新密钥KeyPairnewKeyPair=rsaService.generateKeyPair();//2.加密旧密钥的数据...KeyGenerator.getInstance("AES");keyGen.init(256);SecretKeysymmetricKey=keyGen.generateKey();//2.用对称密钥加密数据...getPublicKey(recipientPublicKey));byte[]encryptedKey=rsaCipher.doFinal(symmetricKey.getEncoded());//4.返回加密后的数据和密钥...getEncoder().encodeToString(encryptedData)+":"+Base64.getEncoder().encodeToString(encryptedKey);}}八、总结数据加密是保护数据安全的基础

    16010

    Cloudera数据加密

    Cloudera提供了加密机制来保护持久保存在磁盘或其他存储介质上的数据(静态数据或简单地称为数据加密)以及在网络上移动时的数据(传输加密中的数据)。...对于静态数据加密,必须分发和管理加密密钥,应定期旋转或更改密钥(以减少密钥被泄露的风险),并且许多其他因素使该过程复杂化。 但是,仅加密数据可能不够。...除了对Cloudera集群的数据层应用加密之外,还可以在网络层应用加密,以加密集群节点之间的通信。 加密不会阻止对集群具有完全访问权限的管理员查看敏感数据。...03 — 保护动态数据 对于传输中的数据,实施数据保护和加密相对容易。有线加密内置在Hadoop堆栈中(例如SSL),并且通常不需要外部系统。...写入和写入HDFS的任何数据只能由客户端加密或解密。HDFS无权访问未加密的数据或加密密钥。这支持静态加密和传输中加密。 数据传输:第一个通道是数据传输,包括将数据块读取和写入HDFS。

    3K10

    数据加密之加密算法RSA公钥加密系统

    加密算法有多中,md5等多中加密算法,但是RSA算法不知各位有没有听说过,它的由来就不阐述了.。我们都知道,密钥加密系统,甲方选择某种加密方式,对消息进行加密。...然后乙方根据这个加密规则进行解密,这种类型的加密解密算法是对称加密算法。对称加密算法,乙方必须要知道密钥才行,这也是一种弊端吧。 那么就有了不对称的算法,这是如何呢?...然后,甲方通过乙方的公钥加密消息,传递给乙方; 最后,乙方通过私钥解密即可。...通过公钥加密系统,可以对传输两个通信单位之间的消息进行加密,即使窃听者听到被加密的消息,也不能对其进行破译,公钥加密系统还能让通信的一方,在电子消息的末尾附加一个无法伪造的数字签名,这种签名是纸质文件上手写签名的电子版本...在RSA公钥加密系统中: 1、随机选取两个大素数,p和q,越大越难破解。p!

    2.7K100

    sqlcipher加密原理_sqlserver数据库加密

    使用 sqlcipher.exe 可以在输入密码后,查看加密数据库的内容。 但是要编码查询数据库的内容,还要另寻方法。...(相关的工具和库在我的百度网盘中) 使用sqlcipher windows 命令工具 注意 使用的工具也分版本,要与加密数据库的版本对应起来,否则查看不到表 下载地址: 对应2.x http://download.csdn.net...创建加密数据库 $ sqlcipher encrypted.db SQLCipher version 3.8.4.3 2014-04-03 16:53:12 Enter “.help” for instructions...打开加密数据库 $ sqlcipher encrypted.db SQLCipher version 3.8.4.3 2014-04-03 16:53:12 Enter “.help” for instructions...加密已有的数据库 $ sqlcipher banklist.sqlite3 SQLCipher version 3.8.4.3 2014-04-03 16:53:12 Enter “.help” for

    3.7K10

    云数据安全与加密技术【数据库加密】

    客户端加密方式 其实在客户端主要做的是数据的可见性,主要的安全问题还是放在服务端,毕竟所有的数据都是在服务端,服务端收到数据还会进行校验,还要看是否是重放攻击等; 而客户端要做的无非防止反编译和传输数据加密...云服务端加密方式 内容感知加密和保格式加密是云计算的常用加密方法: 内容感知加密:在数据防泄露中使用,内容感知软件理解数据或格式,并基于策略设置加密,如在使用email将一个信用卡卡号发送给执法部门时会自动加密...数据加密(存储&传输) 加密技术就是用来保护数据在存储和传输(链路加密技术)过程中的安全性,对做存储的技术人员来说,平常遇到的加密方案和技术主要是存储后端支持加密,如加密盘或存储加密。...但加密技术从数据加密位置一般分为应用层加密(如备份软件,数据库),网关层加密(如加密服务器,加密交换机等),存储系统加密和加密硬盘技术。...个人认为应用层加密技术意义和实用价值更大些,可以保证数据端到端的安全性,而不是只在存储侧或磁盘上数据是安全加密的。 更多数据加密内容,详见商业新知-数据库加密

    4.5K50

    云端CRM防勒索实战:MySQL透明加密+本地密钥管理方案落地

    本文以某激光科技公司的真实案例为背景,详解如何通过TDE数据库透明加密与KSP密钥管理系统组合部署,实现应用零改造、Root账号失效、3起攻击零拦截、性能损耗低于5%的完整技术方案。...,攻击者放弃核心数据零泄露✅4.2性能测试数据使用Sysbench进行压测,对比加密前后的性能差异:指标未加密TDE加密后损耗比例OLTP读(QPS)452043014.8%OLTP写(QPS)218020774.7%...测评项要求标准实际状态结论数据存储加密等保2.0三级TDE整库加密✅达标密钥安全管理GM/T0028KSP本地部署+90天轮转✅达标访问控制最小权限原则Root收窄+AppArmor✅达标安全审计日志留存...原因:从库需要同样的密钥才能解密主库发来的binlog中的加密表数据。解决:确保主从库都安装了TDE插件,并且KSP对主从库提供相同的密钥。...六、总结对于制造业企业在公有云上部署核心业务系统的场景:不要信任云端Root权限——TDE让数据文件始终是密文密钥必须本地化管理——KSP确保密钥主权在自己手中纵深防御是关键——TDE加密+进程控制+审计监控三层联动性能不是借口

    12510

    DES数据加密标准

    一、DES加密/解密在线工具文档 1.1、DES加密/解密算法介绍 DES加密/解密算法是一种可逆的对称加密算法,这类算法在加密和解密时使用相同的密钥,或是使用两个可以简单地相互推算的密钥,一般用于服务端对服务端之间对数据进行加密...中文全称为:数据加密标准(Data Encryption Standard,缩写DES)。 1.2、DES加密/解密的历史与安全性 DES最初出现在1970年代早期。...二、DES加密/解密在线工具使用须知 2.1、DES的填充模式 块密码只能对确定长度的数据块进行处理,而消息的长度通常是可变的,因此不同的工作模式对应的填充模式不同,当您选择NONE不填充时,则要保证加密文本长度为...区块长度:DES标准规定区块长度只有一个值,固定为64Bit,对应的字节为8位; 密钥KEY:该字段不能公开传输,用于加密和解密数据; 初始化向量IV:该字段可以公开,用于将加密随机化。...本教程引自《试试吧 - 领先的在线工具平台》,主打原创,全部免费,打开浏览器搜:试试吧,全网排名第一的就是本站,快来试试吧:DES数据加密标准 - 在线工具。

    2.7K00

    JuiceFS 数据加密原理

    传输中数据加密 JuiceFS 在网络上传输时会对数据进行加密,以防止未经授权的用户窃听网络通信。...,即在上传到对象存储之前对数据进行加密。...在这种情况下,存储在对象存储中的数据将会被加密,这可以在对象存储本身被破坏时有效地防止数据泄露。 JuiceFS 在客户端加密中采用了行业标准的加密方式(AES-GCM 和 RSA)。...注意:在客户端缓存的数据是不加密的。不过,只有 root 用户或所有者可以访问这些数据。如果要把缓存的数据也加密,你可以把缓存目录放在一个加密的文件系统或块存储中。...数据解密的步骤如下: 读取整个加密对象(它可能比 4MB 大一点)。 解析对象数据得到密文 K、随机种子 N 和被加密的数据。 用 RSA 密钥解密 K,得到对称密钥 S。

    1.1K20

    文档管理数据加密问题:文档管理数据加密设置不当,导致数据泄露

    检查当前加密配置首先确认文档管理工具的加密配置是否正确。...启用存储层加密对存储中的文档进行加密,防止未经授权的访问。.../path/to/documents/example.docx 数据库加密如果文档存储在数据库中,启用数据库加密功能:# 示例:为 SQL Server 启用 TDE ALTER DATABASE [DocumentDB...优化加密策略根据需求制定合理的加密策略,平衡安全性和性能。...防止未来数据泄露为避免类似问题再次发生,建议采取以下预防措施:强制加密:对所有敏感文档强制启用加密。审计日志:记录所有加密和解密操作,便于追踪。员工培训:提高团队成员的数据安全意识。8.

    52410

    PostgreSQL透明数据加密

    PostgreSQL透明数据加密 Cybertec为PG提供了一个透明数据加密(TDE)的补丁。是目前唯一支持透明加密数据(集群)级的实现,独立于操作系统或文件系统加密。...透明数据加密如何工作 补丁背后的思想是:以加密格式(静态加密)安全存储组成PG集群的所有文件到磁盘上,从磁盘读取时解密数据块。数据在内存中未加密。...AES密码本身以最有效的方式加密/解密单个块(加密块)。数据在磁盘上是安全的。 幸运的是,英特尔和AMD为AES加密提供了卓越的硬件支持。这确保了PG TDE对性能影响最小。...我们可以看到,系统在现代服务器上每秒加密和解码千兆字节的数据。给定一个典型的工作负载,TDE对性能的影响基本上是无关紧要的。 加密整个数据库生态系统 安全不是一个孤立的问题。...PG TDE不仅提供静态数据加密,还确保整个生态系统的加密,包括: 通过SSL传输加密(客户端/服务器)、加密复制、完全安全的副本 PG TDE完美的整合到了SELinux中,为您整个基础架构提供了坚实的基础

    2.2K20
    领券