MySQL敏感数据进行加密的方法
使用MySQL内置的加密函数
AES_ENCRYPT和AES_DECRYPT函数
方法介绍:
AES(Advanced Encryption Standard)是一种对称加密算法。在MySQL中,可以使用AES_ENCRYPT函数对数据进行加密,使用AES_DECRYPT函数进行解密。这种加密方式的特点是加密和解密使用相同的密钥。
示例:
首先,创建一个表来存储加密后的数据:
1 2 3 4 | CREATE TABLE encrypted_data (
id INT AUTO_INCREMENT PRIMARY KEY,
encrypted_text BLOB
);
|
然后,假设要加密的文本是'Sensitive Information',密钥是'MySecretKey',插入加密后的数据:
1 2 3 4 | SET @sensitive_text = 'Sensitive Information';
SET @encryption_key = 'MySecretKey';
INSERT INTO encrypted_data (encrypted_text)
VALUES (AES_ENCRYPT(@sensitive_text, @encryption_key));
|
当需要读取数据时,进行解密:
1 2 | SELECT AES_DECRYPT(encrypted_text, @encryption_key)
FROM encrypted_data;
|
MD5函数(单向加密,用于验证)
方法介绍:
MD5是一种单向加密哈希函数,它将任意长度的数据转换为固定长度(128位)的哈希值。由于它是单向的,无法从哈希值还原出原始数据。通常用于验证数据是否被篡改,例如存储用户密码的哈希值,在用户登录时比较输入密码的哈希值和存储的哈希值是否一致。
示例:
假设存储用户密码,创建一个表:
1 2 3 4 5 | CREATE TABLE users (
id INT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(50),
password_hash VARCHAR(32)
);
|
当用户注册时,计算密码的MD5哈希值并存储:
1 2 3 4 | SET @password = 'UserPassword';
SET @password_hash = MD5(@password);
INSERT INTO users (username, password_hash)
VALUES ('User', @password_hash);
|
在用户登录时,验证密码:
1 2 3 4 5 6 7 | SET @input_password = 'UserPassword';
SET @stored_password_hash = (SELECT password_hash FROM users WHERE username = 'User');
IF MD5(@input_password) = @stored_password_hash THEN
SELECT 'Password is correct';
ELSE
SELECT 'Password is incorrect';
END IF;
|
需要注意的是,由于MD5存在碰撞等安全隐患,在安全性要求较高的场景下,现在更推荐使用如SHA - 256等更安全的哈希函数。
使用透明数据加密(TDE)
方法介绍:
TDE是一种在数据库层面提供的加密解决方案。它可以对整个数据库、表空间或者特定的表进行加密。MySQL企业版支持TDE,其原理是在数据写入磁盘时自动进行加密,在从磁盘读取数据时自动解密。这样可以在不改变应用程序对数据库访问方式的情况下,提供数据的安全性。TDE通常使用数据库服务器的密钥管理基础设施(KMI)来管理加密密钥。
示例(以MySQL企业版为例):
首先,需要在服务器上配置密钥管理,这通常涉及到安装和配置专门的密钥管理软件或者使用硬件安全模块(HSM)。
假设要对一个数据库进行加密,在MySQL配置文件(my.cnf或my.ini)中添加如下配置:
1 2 3 | [mysqld]
early-plugin - load = keyring_file.so
keyring_file_data = /path/to/keyring/file
|
重启MySQL服务后,使用CREATE TABLESPACE命令创建加密的表空间,例如:
1 2 3 4 | CREATE TABLESPACE encrypted_tablespace
ADD DATAFILE 'encrypted_file.ibd'
ENCRYPTION = 'Y'
KEY_BLOCK_SIZE = 16;
|
然后,可以在这个加密的表空间中创建表来存储加密后的数据。这样,存储在这个表空间中的数据在磁盘上就是加密的状态。
应用层加密
方法介绍:
在应用程序层面进行加密,可以提供更灵活的加密方式。例如,使用编程语言(如Python、Java等)中的加密库对敏感数据进行加密后再存储到MySQL数据库中。这种方式可以更好地控制加密密钥的管理和加密算法的选择,同时也可以根据业务逻辑的需要进行更复杂的加密操作。
示例(以Python为例):
假设使用cryptography库对数据进行加密,首先需要安装cryptography库(pip install cryptography)。
示例代码如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | from cryptography.fernet import Fernet
import mysql.connector
key = Fernet.generate_key()
cipher_suite = Fernet(key)
sensitive_data = "Confidential Data".encode('utf - 8')
encrypted_data = cipher_suite.encrypt(sensitive_data)
mydb = mysql.connector.connect(
host="localhost",
user="your_user",
password="your_password",
database="your_database"
)
mycursor = mydb.cursor()
mycursor.execute("CREATE TABLE if not exists encrypted_data (id INT AUTO_INCREMENT PRIMARY KEY, encrypted_text BLOB)")
mycursor.execute("INSERT INTO encrypted_data (encrypted_text) VALUES (%s)", (encrypted_data,))
mydb.commit()
mycursor.execute("SELECT encrypted_text FROM encrypted_data")
result = mycursor.fetchone()
decrypted_data = cipher_suite.decrypt(result[0]).decode('utf - 8')
print(decrypted_data)
|
在这个示例中,使用cryptography库中的Fernet类生成密钥并对数据进行加密。加密后的数据存储到MySQL数据库的表中,在读取数据时再进行解密。这种方式可以根据具体的应用场景灵活地处理加密和解密过程,并且可以结合其他安全措施,如密钥的安全存储和管理等。
