加入收藏 | 设为首页 | 会员中心 | 我要投稿 李大同 (https://www.lidatong.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 百科 > 正文

PostgreSQL 加密存储过程示例

发布时间:2020-12-13 17:28:18 所属栏目:百科 来源:网络整理
导读:很多朋友询问如何加密PostgreSQL的存储过程,做了一个简单示例。目前考虑, 一种加密方式是使用C语言编译成库文件,缺点是维护起来比较麻烦,优点是速度非常快。另 一种是将存储过程以密文存储,使 pg_proc系统表中的 prosrc 不可读,编写起来比较麻烦,好处

很多朋友询问如何加密PostgreSQL的存储过程,做了一个简单示例。目前考虑,一种加密方式是使用C语言编译成库文件,缺点是维护起来比较麻烦,优点是速度非常快。另一种是将存储过程以密文存储,使 pg_proc系统表中的 prosrc 不可读,编写起来比较麻烦,好处是一劳永逸。

密文存储过程也可以有两种实现方式,一种是创建函数时将函数转换成密文,这种方式如果不修改内核,无法直接在创建时生成,好在作为开源软件的一大好处,这个我们是可以做到的,本次不对此进行讨论。另一种使用外部程序在创建之前将代码转换成密文,然后正常使用CREATE FUNCTION创建,这个需要做的是创建一个新的过程语言引擎。

EnterpriseDB已经有类似实现:
http://www.enterprisedb.com/docs/en/9.0/oracompat/Postgres_Plus_Advanced_Server_Oracle_Compatibility_Guide-195.htm

Oracle的实现:
http://docs.oracle.com/cd/B28359_01/appdev.111/b28370/wrap.htm

我的实现是很简陋的,只能算程序可行性证明,如果想用在生产环境,还需要更多增强:
1、加密只是简单的字母调换,只支持ASCII码;
2、密文是一次性转换并保存在内存中,容易通过其它方式读出来。如果改成流加密,一边解密一边编译,把编译过的部分清掉,还能提高安全性;
3、报错信息没有修改,如果有编译错误,报错时会把一些源代码带出来;
4、只能加密函数体部分,全部转换需要修改内核语法解析部分(就像EDB所做的);
5、没有准备Windows平台,只有Linux;

源代码代码下载链接:
http://url.cn/M1ka7U
由前几天的git分支改写,包含PL/pgSQL源代码目录用来做比较。

1、pl_wrap srcfile [outfile]
srcfile里只包含函数体部分,输出加密后的密文
2、创建存储过程语言模板
INSERT INTO pg_pltemplate values('plpgwrappedsql',true,
'plpgwrappedsql_call_handler',null,'plpgwrappedsql_validator','$libdir/plpgwrappedsql',null);
3、创建过程语言
CREATE LANGUAGEplpgwrappedsql;
4、创建函数
CREATE FUNCTION func_name() RETURNS type AS
$$
<<密文过程>>
$$
LANGUAGEplpgwrappedsql;

(编辑:李大同)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    推荐文章
      热点阅读