GBase 8a数据加密功能关键点汇总

GBase 8a对数据库落地的数据提供了软加密功能，用以满足用户的安全需求及提高系统的安全性。在这里仅做一些关键点内容的总结，以便有数据加密需求的人能快速掌握使用。


1、当前数据库所有加密内容只能共用一个密钥，也就是说，不存在一个集群里有多个密钥证书的可能。


2、想实现加密，必须先生成密钥证书。
（1）密钥证书有两种： 明文密钥、密文密钥。 这两种证书可以来回转换。
对于密钥证书的操作如下：
<1> 明文密钥：
可以转换为密文密钥。

<2> 密文密钥：
可以转换为明文密钥。
可以打开、关闭、进行口令修改。

注1：使用dml前必须对密文密钥执行打开操作。
注2：必须记住口令。

（2）密钥证书只能创建一次，重复创建会报错提示已有加密证书。
语法如下：
CREATE ENCRYPTION CERTIFICATE IDENTIFIED BY ’password’ [CONTENT ‘密钥内容’]
                                                                                     ----------            -------------------
                                                                                      |                         |_____明文密钥或密文密钥均可选择是否设置该部分，实际这就是生成密钥的基础内容（最多128字节），若不指定则系统自动生成密钥内容
                                                                                      |______________________为空，则创建的是明文密钥；不为空，则创建的是密文密钥，打开时需要该内容作为口令

（3）查看密钥证书状态的语法如下：
gbase> SELECT * FROM INFORMATION_SCHEMA.ENCRYPTION_CERTIFICATE_STATUS;
+------+-----------+----------+-------------+
| HOST | IS_CREATE | KEY_TYPE | OPEN_STATUS |
+------+-----------+----------+-------------+
| | YES | 0 | ON |
+------+-----------+----------+-------------+
1 row in set (Elapsed: 00:00:00.00)

<1> 明文证书：
KEY_TYPE 为 0
OPEN_STATUS 始终为 ON

<2> 密文证书：
KEY_TYPE 为 1
OPEN_STATUS 为 ON 或 OFF。ON代表已打开，可进行dml操作；OFF代表已关闭，需打开后才能进行dml操作。

（4）最新的密钥证书（刚创建时、修改密钥口令后、明文密文密钥转换后）建议另存一份并妥善保存。


3、必须在GBase 8a集群的配置文件里进行如下设置，以确保集群gnode节点重启后可自动获取密钥数据。
在每个gnode节点的config目录下的相关配置文件里增加如下两个参数：
encrypt_server_host：    指定gcluster的主机IP，可为单个或多个，多个时用逗号分隔。
encrypt_server_port：    指定gcluster的server port（默认为5258）。


4、加密设定是在建表时通过关键字 encrypt 实现的。
（1）可定义表加密，即表内所有列都是加密的。
举例如下： 建表后，表t1的列 a 和 b 的数据均会被加密
create table t1 (a int, b varchar(10)) encrypt;

（2）也可以仅定义部分列加密，即只在特定列后设置加密。
举例如下： 建表后，表t2的列 a 的数据不会被加密，而列 b 的数据会被加密
create table t2 (a int, b varchar(5) encrypt);

想要查看一个表的加密属性，使用 "show create table 表名;" 即可查看到，如果发现一个表里所有列都有encrypt关键字，则说明该表是表级加密。