首先启用InnoDB表空间加密需配置keyring插件并重启服务,然后创建表时指定ENCRYPTION=’Y’或对现有表执行ALTER table开启加密;其次可通过AES_ENCRYPT函数加密敏感字段,配合BLOB类型存储二进制密文,查询时使用AES_DECRYPT解密;生产环境建议集成外部密钥管理系统并备份keyring文件,同时配置ssl实现传输加密,确保数据全程安全。
mysql中配置加密存储主要涉及数据传输加密和数据静态加密两方面。要实现数据的加密存储,重点是启用表空间加密或使用加密函数对敏感字段加密。下面介绍具体配置方法。
启用InnoDB表空间加密
MySQL从5.7版本开始支持InnoDB表空间的透明数据加密(TDE),需要正确配置keyring插件来管理加密密钥。
- 安装keyring插件:在配置文件
my.cnf中添加以下内容启用keyring_file插件(适用于测试环境)
[mysqld]
early-plugin-load=keyring_file.so
keyring_file_data=/var/lib/mysql-keyring/keyring
- 确保目录
/var/lib/mysql-keyring存在且MySQL进程有读写权限 - 重启MySQL服务后,可通过
SHOW PLUGINS;确认keyring插件已加载
创建加密的表
在启用keyring后,创建表时指定ENCRYPTION='Y'即可启用加密。
CREATE TABLE sensitive_data ( id int PRIMARY KEY, content VARCHAR(255) ) ENCRYPTION=’Y’;
- 该表的数据和关联的undo、redo日志也会被加密
- 已有表可通过
ALTER TABLE sensitive_data ENCRYPTION='Y';开启加密
使用AES加密函数处理敏感字段
对于不启用TDE的场景,可使用MySQL内置的加密函数对特定字段加密存储。
INSERT INTO users (username, password_enc) VALUES (‘alice’, AES_ENCRYPT(‘mypassword’, ‘secret_key’));
查询时需用对应解密函数:
select username, AES_DECRYPT(password_enc, ‘secret_key’) FROM users;
- AES_ENCRYPT返回的是二进制数据,建议字段类型为BLOB
- 密钥管理需自行保障安全,避免硬编码在SQL中
生产环境建议
若用于生产,建议使用keyring_mysql_component或与Hashicorp Vault等外部密钥管理系统集成,提升安全性。
- 定期备份keyring文件,丢失将导致数据无法恢复
- 结合SSL配置加密连接,实现传输与存储全过程加密
基本上就这些。开启加密前务必做好测试和密钥备份,避免配置错误导致数据不可访问。