ToB企服应用市场:ToB评测及商务社交产业平台

标题: MySQL敏感数据进行加密的几种方法 [打印本页]

作者: 大号在练葵花宝典 时间: 2024-12-3 14:13
标题: MySQL敏感数据进行加密的几种方法

使用MySQL内置的加密函数
- AES_ENCRYPT和AES_DECRYPT函数
  - 方法先容：
    - AES（Advanced Encryption Standard）是一种对称加密算法。在MySQL中，可以使用AES_ENCRYPT函数对数据进行加密，使用AES_DECRYPT函数进行解密。这种加密方式的特点是加密息争密使用相同的密钥。
  - 示例：
    - 首先，创建一个表来存储加密后的数据：
      CREATE TABLE encrypted_data (
      id INT AUTO_INCREMENT PRIMARY KEY,
      encrypted_text BLOB
      );
      复制代码
    - 然后，假设要加密的文本是'Sensitive Information'，密钥是'MySecretKey'，插入加密后的数据：
      SET @sensitive_text = 'Sensitive Information';
      SET @encryption_key = 'MySecretKey';
      INSERT INTO encrypted_data (encrypted_text)
      VALUES (AES_ENCRYPT(@sensitive_text, @encryption_key));
      复制代码
    - 当必要读取数据时，进行解密：
      SELECT AES_DECRYPT(encrypted_text, @encryption_key)
      FROM encrypted_data;
      复制代码
- MD5函数（单向加密，用于验证）
  - 方法先容：
    - MD5是一种单向加密哈希函数，它将任意长度的数据转换为固定长度（128位）的哈希值。由于它是单向的，无法从哈希值还原出原始数据。通常用于验证数据是否被窜改，比方存储用户密码的哈希值，在用户登录时比力输入密码的哈希值和存储的哈希值是否同等。
  - 示例：
    - 假设存储用户密码，创建一个表：
      CREATE TABLE users (
      id INT AUTO_INCREMENT PRIMARY KEY,
      username VARCHAR(50),
      password_hash VARCHAR(32)
      );
      复制代码
    - 当用户注册时，盘算密码的MD5哈希值并存储：
      SET @password = 'UserPassword';
      SET @password_hash = MD5(@password);
      INSERT INTO users (username, password_hash)
      VALUES ('User', @password_hash);
      复制代码
    - 在用户登录时，验证密码：
      SET @input_password = 'UserPassword';
      SET @stored_password_hash = (SELECT password_hash FROM users WHERE username = 'User');
      IF MD5(@input_password) = @stored_password_hash THEN
      SELECT 'Password is correct';
      ELSE
      SELECT 'Password is incorrect';
      END IF;
      复制代码
    - 必要留意的是，由于MD5存在碰撞等安全隐患，在安全性要求较高的场景下，现在更推荐使用如SHA - 256等更安全的哈希函数。
使用透明数据加密（TDE）
- 方法先容：
  - TDE是一种在数据库层面提供的加密解决方案。它可以对整个数据库、表空间或者特定的表进行加密。MySQL企业版支持TDE，其原理是在数据写入磁盘时自动进行加密，在从磁盘读取数据时自动解密。这样可以在不改变应用程序对数据库访问方式的情况下，提供数据的安全性。TDE通常使用数据库服务器的密钥管理底子设施（KMI）来管理加密密钥。
- 示例（以MySQL企业版为例）：
  - 首先，必要在服务器上设置密钥管理，这通常涉及到安装和设置专门的密钥管理软件或者使用硬件安全模块（HSM）。
  - 假设要对一个数据库进行加密，在MySQL设置文件（my.cnf或my.ini）中添加如下设置：
    [mysqld]
    early-plugin - load = keyring_file.so
    keyring_file_data = /path/to/keyring/file
    复制代码
  - 重启MySQL服务后，使用CREATE TABLESPACE命令创建加密的表空间，比方：
    CREATE TABLESPACE encrypted_tablespace
    ADD DATAFILE 'encrypted_file.ibd'
    ENCRYPTION = 'Y'
    KEY_BLOCK_SIZE = 16;
    复制代码
  - 然后，可以在这个加密的表空间中创建表来存储加密后的数据。这样，存储在这个表空间中的数据在磁盘上就是加密的状态。
应用层加密
- 方法先容：
  - 在应用程序层面进行加密，可以提供更灵活的加密方式。比方，使用编程语言（如Python、Java等）中的加密库对敏感数据进行加密后再存储到MySQL数据库中。这种方式可以更好地控制加密密钥的管理和加密算法的选择，同时也可以根据业务逻辑的必要进行更复杂的加密操纵。
- 示例（以Python为例）：
  - 假设使用cryptography库对数据进行加密，首先必要安装cryptography库（pip install cryptography）。
  - 示例代码如下：
    from cryptography.fernet import Fernet
    import mysql.connector
    # 生成密钥
    key = Fernet.generate_key()
    cipher_suite = Fernet(key)
    # 要加密的敏感数据
    sensitive_data = "Confidential Data".encode('utf - 8')
    encrypted_data = cipher_suite.encrypt(sensitive_data)
    # 连接到MySQL数据库
    mydb = mysql.connector.connect(
    host="localhost",
    user="your_user",
    password="your_password",
    database="your_database"
    )
    mycursor = mydb.cursor()
    # 创建表来存储加密数据
    mycursor.execute("CREATE TABLE if not exists encrypted_data (id INT AUTO_INCREMENT PRIMARY KEY, encrypted_text BLOB)")
    # 插入加密后的数据
    mycursor.execute("INSERT INTO encrypted_data (encrypted_text) VALUES (%s)", (encrypted_data,))
    mydb.commit()
    # 读取加密数据并解密
    mycursor.execute("SELECT encrypted_text FROM encrypted_data")
    result = mycursor.fetchone()
    decrypted_data = cipher_suite.decrypt(result[0]).decode('utf - 8')
    print(decrypted_data)
    复制代码
  - 在这个示例中，使用cryptography库中的Fernet类生成密钥并对数据进行加密。加密后的数据存储到MySQL数据库的表中，在读取数据时再进行解密。这种方式可以根据具体的应用场景灵活地处理加密息争密过程，而且可以结合其他安全措施，如密钥的安全存储和管理等。

欢迎关注公众号《小周的数据库进阶之路》，更多出色知识和干货尽在其中。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)