MySQL 8.4 发行说明
MySQL 服务器支持密钥环服务,该服务使内部组件和插件能够安全地存储敏感信息以供以后检索。
MySQL 服务器还包括用于密钥环密钥管理的 SQL 接口,该接口实现为一组访问内部密钥环服务提供的功能的通用函数。密钥环函数包含在一个插件库文件中,该文件还包含一个 keyring_udf 插件,必须在调用函数之前启用该插件。要使用这些函数,必须启用密钥环插件(如 keyring_okv)。
此处描述的函数是通用的,旨在与任何密钥环插件一起使用。给定的密钥环插件可能具有其自身的功能,这些功能仅供该插件使用;请参阅 第 8.4.4.13 节“特定于插件的密钥环密钥管理函数”。
以下部分提供了密钥环函数的安装说明,并演示了如何使用它们。有关一般密钥环信息,请参阅 第 8.4.4 节“MySQL 密钥环”。
本节介绍如何安装或卸载密钥环函数,这些函数在插件库文件中实现,该文件还包含 keyring_udf 插件。有关安装或卸载插件和可加载函数的一般信息,请参阅 第 7.6.1 节“安装和卸载插件” 和 第 7.7.1 节“安装和卸载可加载函数”。
密钥环函数启用了密钥环密钥管理操作,但 keyring_udf 插件也必须安装,因为没有它这些函数将无法正常工作。尝试在没有 keyring_udf 插件的情况下使用这些函数会导致错误。
为了使服务器可以使用该插件库文件,该文件必须位于 MySQL 插件目录中(由 plugin_dir 系统变量命名的目录)。如有必要,请在服务器启动时设置 plugin_dir 的值来配置插件目录位置。
插件库文件的基本名称是 keyring_udf。文件名后缀因平台而异(例如,Unix 和类 Unix 系统为 .so,Windows 为 .dll)。
要安装 keyring_udf 插件和密钥环函数,请使用 INSTALL PLUGIN 和 CREATE FUNCTION 语句,并根据您的平台调整 .so 后缀:
INSTALL PLUGIN keyring_udf SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_generate RETURNS INTEGER
SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_fetch RETURNS STRING
SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_length_fetch RETURNS INTEGER
SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_type_fetch RETURNS STRING
SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_store RETURNS INTEGER
SONAME 'keyring_udf.so';
CREATE FUNCTION keyring_key_remove RETURNS INTEGER
SONAME 'keyring_udf.so';如果在源复制服务器上使用该插件和函数,请在所有副本上也安装它们,以避免复制问题。
如上所述安装后,该插件和函数将一直安装,直到卸载为止。要删除它们,请使用 UNINSTALL PLUGIN 和 DROP FUNCTION 语句:
UNINSTALL PLUGIN keyring_udf;
DROP FUNCTION keyring_key_generate;
DROP FUNCTION keyring_key_fetch;
DROP FUNCTION keyring_key_length_fetch;
DROP FUNCTION keyring_key_type_fetch;
DROP FUNCTION keyring_key_store;
DROP FUNCTION keyring_key_remove;在使用密钥环通用函数之前,请按照 安装或卸载通用密钥环函数 中提供的说明安装它们。
密钥环函数受以下约束:
要使用任何密钥环函数,必须启用
keyring_udf插件。否则,会发生错误。ERROR 1123 (HY000): Can't initialize function 'keyring_key_generate'; This function requires keyring_udf plugin which is not installed. Please install要安装
keyring_udf插件,请参阅 安装或卸载通用密钥环函数。密钥环函数调用密钥环服务函数(请参阅 第 7.6.9.2 节“密钥环服务”)。服务函数进而使用任何已安装的密钥环插件(例如,
keyring_okv)。因此,要使用任何密钥环函数,必须启用某些底层密钥环插件。否则,会发生错误。ERROR 3188 (HY000): Function 'keyring_key_generate' failed because underlying keyring service returned an error. Please check if a keyring plugin is installed and that provided arguments are valid for the keyring you are using.要安装密钥环插件,请参阅 第 8.4.4.3 节“密钥环插件安装”。
用户必须拥有全局
EXECUTE权限才能使用任何密钥环函数。否则,会发生错误。ERROR 1123 (HY000): Can't initialize function 'keyring_key_generate'; The user is not privileged to execute this function. User needs to have EXECUTE要向用户授予全局
EXECUTE权限,请使用以下语句:GRANT EXECUTE ON *.* TO user;或者,如果您希望避免授予全局
EXECUTE权限,但仍允许用户访问特定的密钥管理操作,则可以定义““包装器””存储程序(本节稍后将介绍该技术)。由给定用户存储在密钥环中的密钥稍后只能由同一用户操作。也就是说,密钥操作时
CURRENT_USER()函数的值必须与将密钥存储在密钥环中时的值相同。(此约束排除了使用密钥环函数来操作实例范围的密钥,例如由InnoDB创建以支持表空间加密的密钥。)要使多个用户能够对同一个密钥执行操作,可以定义““包装器””存储程序(本节稍后将介绍该技术)。
密钥环函数支持底层密钥环插件支持的密钥类型和长度。有关特定密钥环插件的特定密钥的信息,请参阅 第 8.4.4.10 节“支持的密钥环密钥类型和长度”。
要创建新的随机密钥并将其存储在密钥环中,请调用 keyring_key_generate(),并将密钥的 ID 以及密钥类型(加密方法)及其长度(以字节为单位)传递给它。以下调用将创建一个名为 MyKey 的 2,048 位 DSA 加密密钥:
mysql> SELECT keyring_key_generate('MyKey', 'DSA', 256);
+-------------------------------------------+
| keyring_key_generate('MyKey', 'DSA', 256) |
+-------------------------------------------+
| 1 |
+-------------------------------------------+返回值 1 表示成功。如果无法创建密钥,则返回值为 NULL 并且会发生错误。造成这种情况的一个原因可能是底层密钥环插件不支持指定的密钥类型和密钥长度组合;请参阅 第 8.4.4.10 节“支持的密钥环密钥类型和长度”。
为了能够检查返回类型(无论是否发生错误),请使用 SELECT ... INTO @ 并测试变量值:var_name
mysql> SELECT keyring_key_generate('', '', -1) INTO @x;
ERROR 3188 (HY000): Function 'keyring_key_generate' failed because
underlying keyring service returned an error. Please check if a
keyring plugin is installed and that provided arguments are valid
for the keyring you are using.
mysql> SELECT @x;
+------+
| @x |
+------+
| NULL |
+------+
mysql> SELECT keyring_key_generate('x', 'AES', 16) INTO @x;
mysql> SELECT @x;
+------+
| @x |
+------+
| 1 |
+------+此技术也适用于其他在失败时返回一个值和一个错误的密钥环函数。
传递给 keyring_key_generate() 的 ID 提供了一种在后续函数调用中引用密钥的方法。例如,使用密钥 ID 以字符串形式检索其类型或以整数形式检索其长度(以字节为单位):
mysql> SELECT keyring_key_type_fetch('MyKey');
+---------------------------------+
| keyring_key_type_fetch('MyKey') |
+---------------------------------+
| DSA |
+---------------------------------+
mysql> SELECT keyring_key_length_fetch('MyKey');
+-----------------------------------+
| keyring_key_length_fetch('MyKey') |
+-----------------------------------+
| 256 |
+-----------------------------------+要检索密钥值,请将密钥 ID 传递给 keyring_key_fetch()。以下示例使用 HEX() 显示密钥值,因为它可能包含不可打印的字符。该示例还使用了一个短密钥以方便阅读,但请注意,较长的密钥可提供更好的安全性:
mysql> SELECT keyring_key_generate('MyShortKey', 'DSA', 8);
+----------------------------------------------+
| keyring_key_generate('MyShortKey', 'DSA', 8) |
+----------------------------------------------+
| 1 |
+----------------------------------------------+
mysql> SELECT HEX(keyring_key_fetch('MyShortKey'));
+--------------------------------------+
| HEX(keyring_key_fetch('MyShortKey')) |
+--------------------------------------+
| 1DB3B0FC3328A24C |
+--------------------------------------+密钥环函数将密钥 ID、类型和值视为二进制字符串,因此比较区分大小写。例如,ID 为 MyKey 和 mykey 的密钥指的是不同的密钥。
要删除密钥,请将密钥 ID 传递给 keyring_key_remove():
mysql> SELECT keyring_key_remove('MyKey');
+-----------------------------+
| keyring_key_remove('MyKey') |
+-----------------------------+
| 1 |
+-----------------------------+要对您提供的密钥进行混淆并存储,请将密钥 ID、类型和值传递给 keyring_key_store():
mysql> SELECT keyring_key_store('AES_key', 'AES', 'Secret string');
+------------------------------------------------------+
| keyring_key_store('AES_key', 'AES', 'Secret string') |
+------------------------------------------------------+
| 1 |
+------------------------------------------------------+如前所述,用户必须拥有全局 EXECUTE 权限才能调用密钥环函数,并且最初将密钥存储在密钥环中的用户必须与稍后对密钥执行后续操作的同一用户,这由每个函数调用生效的 CURRENT_USER() 值确定。要允许没有全局 EXECUTE 权限的用户或可能不是密钥““所有者””的用户执行密钥操作,请使用以下技术:
定义““包装器””存储程序,这些程序封装了所需的密钥操作,并且其
DEFINER值等于密钥所有者。将特定存储程序的
EXECUTE权限授予应能够调用它们的各个用户。如果包装器存储程序实现的操作不包括密钥创建,请使用在存储程序定义中命名为
DEFINER的帐户预先创建任何必要的密钥。
此技术允许在用户之间共享密钥,并为 DBA 提供对谁可以使用密钥执行哪些操作的更细粒度的控制,而无需授予全局权限。
以下示例演示如何设置一个名为 SharedKey 的共享密钥(该密钥归 DBA 所有),以及一个提供对当前密钥值的访问权限的 get_shared_key() 存储函数。任何对该函数具有 EXECUTE 权限的用户都可以检索该值,该函数是在 key_schema 模式中创建的。
从 MySQL 管理帐户(在本例中为 'root'@'localhost')开始,创建管理模式和用于访问密钥的存储函数:
mysql> CREATE SCHEMA key_schema;
mysql> CREATE DEFINER = 'root'@'localhost'
FUNCTION key_schema.get_shared_key()
RETURNS BLOB READS SQL DATA
RETURN keyring_key_fetch('SharedKey');从管理帐户开始,确保共享密钥存在:
mysql> SELECT keyring_key_generate('SharedKey', 'DSA', 8);
+---------------------------------------------+
| keyring_key_generate('SharedKey', 'DSA', 8) |
+---------------------------------------------+
| 1 |
+---------------------------------------------+从管理帐户开始,创建一个要向其授予密钥访问权限的普通用户帐户:
mysql> CREATE USER 'key_user'@'localhost'
IDENTIFIED BY 'key_user_pwd';从 key_user 帐户开始,验证如果没有适当的 EXECUTE 权限,新帐户将无法访问共享密钥:
mysql> SELECT HEX(key_schema.get_shared_key());
ERROR 1370 (42000): execute command denied to user 'key_user'@'localhost'
for routine 'key_schema.get_shared_key'从管理帐户开始,向 key_user 授予存储函数的 EXECUTE 权限:
mysql> GRANT EXECUTE ON FUNCTION key_schema.get_shared_key
TO 'key_user'@'localhost';从 key_user 帐户开始,验证现在是否可以访问密钥:
mysql> SELECT HEX(key_schema.get_shared_key());
+----------------------------------+
| HEX(key_schema.get_shared_key()) |
+----------------------------------+
| 9BAFB9E75CEEB013 |
+----------------------------------+对于每个通用密钥环函数,本节介绍其用途、调用顺序和返回值。有关可以在哪些条件下调用这些函数的信息,请参阅 使用通用密钥环函数。
给定密钥 ID,解密并返回密钥值。
参数
key_id:指定密钥 ID 的字符串。
返回值
如果成功,则返回字符串形式的密钥值;如果密钥不存在,则返回
NULL;如果失败,则返回NULL和一个错误。注意使用
keyring_key_fetch()检索的密钥值受 第 8.4.4.10 节“支持的密钥环密钥类型和长度” 中描述的通用密钥环函数限制的约束。可以使用密钥环服务函数(请参阅 第 7.6.9.2 节“密钥环服务”)存储长度超过该长度的密钥值,但如果使用keyring_key_fetch()检索,则会将其截断为通用密钥环函数限制。示例
mysql> SELECT keyring_key_generate('RSA_key', 'RSA', 16); +--------------------------------------------+ | keyring_key_generate('RSA_key', 'RSA', 16) | +--------------------------------------------+ | 1 | +--------------------------------------------+ mysql> SELECT HEX(keyring_key_fetch('RSA_key')); +-----------------------------------+ | HEX(keyring_key_fetch('RSA_key')) | +-----------------------------------+ | 91C2253B696064D3556984B6630F891A | +-----------------------------------+ mysql> SELECT keyring_key_type_fetch('RSA_key'); +-----------------------------------+ | keyring_key_type_fetch('RSA_key') | +-----------------------------------+ | RSA | +-----------------------------------+ mysql> SELECT keyring_key_length_fetch('RSA_key'); +-------------------------------------+ | keyring_key_length_fetch('RSA_key') | +-------------------------------------+ | 16 | +-------------------------------------+该示例使用
HEX()显示密钥值,因为它可能包含不可打印的字符。该示例还使用了一个短密钥以方便阅读,但请注意,较长的密钥可提供更好的安全性。keyring_key_generate(key_id,key_type,key_length)生成具有给定 ID、类型和长度的新随机密钥,并将其存储在密钥环中。类型和长度值必须与底层密钥环插件支持的值一致。请参阅 第 8.4.4.10 节“支持的密钥环密钥类型和长度”。
参数
key_id:指定密钥 ID 的字符串。key_type:指定密钥类型的字符串。key_length:指定密钥长度(以字节为单位)的整数。
返回值
如果成功,则返回 1;如果失败,则返回
NULL和一个错误。示例
mysql> SELECT keyring_key_generate('RSA_key', 'RSA', 384); +---------------------------------------------+ | keyring_key_generate('RSA_key', 'RSA', 384) | +---------------------------------------------+ | 1 | +---------------------------------------------+keyring_key_length_fetch(key_id)给定密钥 ID,返回密钥长度。
参数
key_id:指定密钥 ID 的字符串。
返回值
如果成功,则返回整数形式的密钥长度(以字节为单位);如果密钥不存在,则返回
NULL;如果失败,则返回NULL和一个错误。示例
请参阅
keyring_key_fetch()的说明。从密钥环中删除具有给定 ID 的密钥。
参数
key_id:指定密钥 ID 的字符串。
返回值
如果成功,则返回 1;如果失败,则返回
NULL。示例
mysql> SELECT keyring_key_remove('AES_key'); +-------------------------------+ | keyring_key_remove('AES_key') | +-------------------------------+ | 1 | +-------------------------------+keyring_key_store(key_id,key_type,key)对密钥进行混淆并将其存储在密钥环中。
参数
key_id:指定密钥 ID 的字符串。key_type:指定密钥类型的字符串。key:指定密钥值的字符串。
返回值
如果成功,则返回 1;如果失败,则返回
NULL和一个错误。示例
mysql> SELECT keyring_key_store('new key', 'DSA', 'My key value'); +-----------------------------------------------------+ | keyring_key_store('new key', 'DSA', 'My key value') | +-----------------------------------------------------+ | 1 | +-----------------------------------------------------+keyring_key_type_fetch(key_id)给定密钥 ID,返回密钥类型。
参数
key_id:指定密钥 ID 的字符串。
返回值
如果成功,则返回字符串形式的密钥类型;如果密钥不存在,则返回
NULL;如果失败,则返回NULL和一个错误。示例
请参阅
keyring_key_fetch()的说明。