安华金和数据库保险箱（DBCoffer for Mysql）用户手册说明书

安华金和数据库保险箱（DBCoffer
for Mysql）
用户手册
■文档编号MySQL_TDE_Cloud_20170907■密级完全公开
■版本编号V 1.2■日期2017.09.07
©2017安华金和
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属安华金和所有，受到有关产权及版权法保护。

任何个人、机构未经安华金和的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■适用性声明
本模板用于撰写安华金和公司介绍、项目方案、商业计划书等
目录
安华金和数据库保险箱（DBCOFFER FOR MYSQL） (1)
用户手册 (1)
一.产品简介 (4)
1.1概述 (4)
1.2术语定义 (4)
二.特别说明 (4)
三.产品部署 (5)
3.1W EB管理端配置 (5)
3.2安全服务初始化 (8)
3.3获取主机ID (9)
3.4导入LICENSE (11)
3.5启动安全服务 (12)
3.6备份密钥库 (13)
3.7添加M YSQL实例 (14)
3.8DBC OFFER-MYSQL部署 (16)
3.9数据表加解密 (17)
3.9.1数据表加密 (17)
3.9.2数据表解密 (21)
3.10权限设置 (25)
3.10.1客户端IP限定 (25)
3.10.2权限设置 (27)
3.10.3应用关联 (30)
四.三权分立 (33)
4.1系统管理员 (33)
4.1.1网络管理 (33)
4.1.2配置管理 (34)
4.1.3用户管理 (36)
4.2安全管理员 (38)
4.3审计管理员 (39)
五.加密数据文件离线还原工具 (40)
一.产品简介
1.1概述
安华金和针对客户对MySQL数据库的高安全性需求，提供安华金和数据库保险箱（简称DBCoffer）产品。

安华金和数据库保险箱系统使用透明加密技术，在不影响MySQL原有功能的基础上，实现对高敏感及重要数据的加密保护。

能够主动保护内部的数据安全，对数据库系统进行有效的安全加固。

DBCoffer基于用户的实际需求，使用TDE(Transparent Data Encryption)透明加密技术，是一款高效的数据库防泄漏产品。

能够实现对MySQL数据库中的敏感数据加密存储、访问控制增强功能。

能够防止外部黑客攻击、防止内部运维人员窃取数据，从根源上防止敏感数据的泄露。

1.2术语定义
厂商：北京安华金和科技有限公司
TDE：页面中的TDE指的是DBCoffer-mysql
二.特别说明
本产品共包含DBCoffer-mysql、DBCoffer-Web控制台两部分，
DBCoffer-mysql:
此部分以Mysql5.6.35的RPM版本为基础，通过对InnoDB引擎的改进，在不影响Mysql 原有功能基础上，实现透明、高效的密文存储、增强的权限控制功能。

DBCoffer-Web控制台：
此部分部署有安全服务和Web控制台，安全服务为后台运行，主要负责密钥的分配以及
权限的控制，然后需要通过Web控制台来对安全服务初始化、启动、停止，license管理，以
及密钥管理、算法选择、权限分配等功能。

三.产品部署
用户初次访问产品，需首先通过安全管理员（secadmin）登录Web控制台配置相关系统信息，包括：安全服务、加密配置、权限设置等等。

如WEB控制台与DBCoffer-mysql中间存在防火墙或其他访问控制，请打开以下端口：
源服务器目的服务器端口备注DBCoffer-mysql Web控制台9200DBCoffer-mysql与安全服务
通讯端口
3.1Web管理端配置
1）购买镜像以后，在合适的客户端上打开浏览器（支持浏览器：Google Chrome58及以上；Firefox54.0及以上；IE11），在地址栏内输入Web控制台的访问IP地址如：
https://192.168.8.199进入产品登录页面
安全管理员：secadmin默认密码secadmin1234，如下图所示：
2）初次登录需要对安全服务进行初始配置，如无特别要求，保持默认即可，过程如下：
3）点击继续
4）点击完成
3.2安全服务初始化
通过secadmin用户登录Web控制台后，进入管理员页面，如下图所示：
进入“安全服务”页面，在安全服务列表中选择相应服务点击“...”-->“初始化密钥库”按钮，如下图所示：
在弹出的界面设置密码，密码规则为“数字+字母，十位及以上”，然后点击“确定”按钮，如下图所示：
经过短暂等待至“初始化成功”，此步将以此密码为基础生成主密钥，然后根据主密钥生成65535个加密密钥，在之后的mysql初始化时将从中随机选取一个作为加密密钥进行初始化，且每次Mysql初始化时获取的密钥不同，以保证数据的安全性，密钥丢失将造成数据不可恢复等严重后果，所以请妥善保存密钥（参看3.6节），如下图所示
如果密码复杂性不符要求，会弹出如下类似提示：
3.3获取主机ID
安全服务初始化以后，安全服务页面点击“查看主机ID”按钮，如下图所示：
输入初始化安全服务时设置的密码，点击“确定”按钮，，如下图所示：
将获取的主机ID发给厂商，厂商将提供License文件，如下图所示：
如果密码输入错误，或者未先进行初始化会出现如下类似错误提示，如已确定流程及密码无误，仍然出现错误，请联系厂商。

3.4导入license
从厂商获取License文件以后，使用secadmin用户登录Web控制台，安全服务页面点击“导入license”按钮，如下图所示：
在弹出的窗口中输入初始化安全服务时设置的密码，点击“浏览”按钮并选择正确的License文件，点击“确定”按钮，如下图所示。

导入成功后，提示如下图所示：
如导入时报如下类似错误，请联系厂商更换license文件。

3.5启动安全服务
导入license以后，点击“停止/运行”按钮，如下图所示：
然后在弹出的窗口输入初始化安全密钥库时设置的密码，点击“确定”启动安全服务，如下图所示：
启动成功后，提示如下图所示：
如果license文件过期会导致启动失败，请及时联系厂商更新license。

3.6备份密钥库
安全服务在初始化后的第一次启动时需要备份密钥库，在安全服务页面，点击“备份密钥库”按钮，如下图所示：
在弹出的窗口输入初始化密钥库时的密码，可以选择本地或远程备份模式，稍等片刻，备份成功。

秘钥库备份成功后，点击“点击下载文件”可以进行下载，本密钥库极为重要，丢失可致数据无法恢复，请妥善保存。

如果密码输入错误，会有“备份失败”错误，如确定密码输入无误请联系厂商处理
3.7添加Mysql实例
1）添加实例
使用安全管理员secadmin，用户名/密码：secadmin/secadmin1234,登陆产品页面，如下图所示：
点击‘实例查询’菜单，在该页面下添加实例，如下图所示：
在弹出的窗口中输入被保护数据库IP地址和端口，点击确定，如下图所示：
2）添加成功实例成功后，选择加密设备SystemDevice和算法MySQL内置加密算法，点击确定，如下图所示：
3.8DBCoffer-mysql部署
联系厂商获取DBCoffer-mysql文件包，部署步骤如下：
1）使用ssh工具登陆mysql数据库后台，将DBCoffer-mysql（***.tar.gz）的安装包导入；
2）备份数据库数据，然后停止mysql服务，备份原生态mysql的mysqld文件和mysqld_safe文件；
3）通过命令tar-zxvf***.tar.gz将DBCoffer-mysql的安装包解压，解压后的mysqld文件在usr/sbin/mysqld目录下，mysqld_safe文件在usr/bin/目录下；
4）使用解压后的mysqld和mysqld_safe文件，替换原生态mysqld和mysqld_safe文件，并赋予执行权限（chmod+x mysqld和chmod+x mysqld_safe），然后修改
/etc/secureServiceAPI.conf如下(标红部分)
MasterServerIp=192.168.12.80:9200修改成WEB控制台的IP
SlaveServerIp=192.168.8.150:9200;192.168.8.160:9200;如果有从服务器，则修改成从服务的IP地址和端口，如果没有则去除
5)替换成功后，重启mysql服务；
[mysql@iZ2z~]$service mysql start(命令仅供参考，以实际为准)
6）此时登录web控制台--实例查询页面，会看到一条DBCoffer-mysql已经与安全服务连接成功，如下图所示：
3.9数据表加解密
安华金和数据库加密系统针对独立表空间类型的数据表，支持表级加密，且可逐步加密或者立即全部加密；对密文表支持数据表表立即解密。

3.9.1数据表加密
1）同步数据库、数据表及用户等信息
使用安全管理员secadmin/secadmin1234登陆产品页面，点击‘数据表加密’菜单，同步数据库对象数据，如下图所示：
在弹出的窗口中输入DBCoffer-mysql的用户名、密码，如下图所示：
点击确定按钮后，会跳转到同步信息窗口，如下图所示：
再点击确定，数据库中的表信息会全部显示出来，如下图所示：
2）提交加密
为要加密的表选择加密设备和算法，并选中，提交加密，如下图所示：
在弹出的提示信息中选择‘确认’，如下图所示：
注：此时该表的状态为‘明密文共存’，即当前表中已经存在的数据为明文，若再对表中新增或修改数据，则新增或修改的数据为密文；
若要使当前表中已经存在的数据也被加密，则点击操作方式中的‘立即全部加密’按钮，如下图所示：
在弹出的窗口中输入DBCoffer-mysql的用户名、密码，点击确定，如下图所示：
操作成功后，该表状态变为‘已全部加密’，此时，无论表中已经存在的数据，还是新增或修改的数据，都是加密的，如下图所示：
3.9.2数据表解密
针对加密的数据表进行立即全部解密。

注：执行整表解密时，不要对DBCoffer-mysql数据库进行其他操作。

1）同步数据库对象信息
使用安全管理员secadmin用户登陆产品页面，如下图所示：
点击‘数据表解密’菜单，同步数据库对象数据，如下图所示：
在弹出的窗口中输入DBCoffer-mysql用户名、密码，点击确定，如下图所示：
并在同步信息窗口点击确定，如下图所示：
此时，页面会显示出所有的加密表信息，如下图所示：
2）立即全部解密
选择解密方式中的立即全部解密，对表进行解密操作，如下图所示：
在弹出的窗口中输入DBCoffer-mysql用户名、密码，点击确定，如下图所示：
提交成功后，会提示‘立即全部解密提交成功’，如下图所示：
此时被解密的表中数据会恢复成明文数据，并且对解密后的表进行新增或修改操作，数据依然是明文。

注：此处只是将mysql下对应数据表的数据文件解密，如果要将整库解密恢复至原生，请参考“五.加密数据文件离线还原工具”解密ibdata1.
3.10权限设置
客户端IP限定：针对安全实例添加/修改/删除客户端IP限定
权限设置：针对加密表进行只读、可读写权限控制
应用关联：针对安全实例添加/修改/删除关联应用，包含名称，关联实例，描述（可选）
3.10.1客户端IP限定
限定IP格式为XXX.XXX.*.*或XXX.XXX.XXX.*或XXX.XXX.XXX.XXX，IP后两位段可为*，前两段不可为*；
例外IP格式为：XXX.XXX.XXX.XXX，IP各位段均为数值，不可以为*
匹配规则为：允许/禁止
实例：为实例查询界面添加的实例，且需修改实例名称
注：如果策略有交叉，则以禁止优先
1）添加限定：
使用安全管理员secadmin/secadmin1234登陆产品页面，如下图所示：
点击权限设置-客户端IP限定菜单，点击页面中的‘添加限定’按钮，如下图所示：
2）在弹出的窗口进行客户端IP限定实例配置，如下图所示：
举例：IP限定：192.168.*.*，例外IP：192.168.100.66，类型：允许，实例：实例1以上客户端IP限定实例表示：所有192.168.网段的客户端都能访问实例1的加密表，但是192.168.100.66不能访问实例1的加密表。

3.10.2权限设置
控制加密表的权限，可以赋予加密表只读、可读写权限，也可以删除赋予的权限。

1）同步数据库对象信息
使用安全管理员secadmin/secadmin1234登陆产品页面，点击权限设置-权限设置菜单，点击页面中的‘同步’按钮，进行DBCoffer-mysql数据库对象信息同步，如下图所示：
在弹出的窗口中输入DBCoffer-mysql的用户名、密码，点击‘确定’，如下图所示：
然后到同步信息窗口，也点击‘确定’，如下图所示：
此时页面会列出DBCoffer-mysql的所有加密表信息，如下图所示：
2）赋权
选择要赋权的加密表，可通过下图所示位置给加密表赋予只读、可读写权限；
加密表赋予权限后，如下图所示：
3）删除权限
若要去除赋予加密表的权限，选择表后，点击下图所示的‘删除权限’按钮，加密表的权限就会被去除：
3.10.3应用关联
针对安全实例添加/修改/删除关联应用，包含名称，关联实例，描述（可选）
注：应用名称只能输入字母、数字、“_”
1）使用安全管理员secadmin/secadmin1234登陆产品页面，点击权限设置-应用关联菜单，点击页面中的‘创建’按钮，如下图所示：
2）在弹出的窗口中输入应用名称，选择实例，点击确定，如下图所示；
3）绑定/解绑数据库用户，点击页面的‘用户’按钮，如下图所示：
绑定数据库用户:在弹出的窗口中，双击选择应用关联DB用户，选择后，点击‘确定’，如下图所示：
解绑数据库用户：同样点击页面的‘用户’按钮，双击将已关联用户移到未关联用户中，点击确定，即可解绑用户，如下图所示：
删除应用关联：点击应用关联页面的‘删除’按钮，即可删除应用关联，如下图所示：
四.三权分立
产品支持三权分立，支持系统管理员sysadmin、安全管理员secadmin、审计管理员sysauditor三个管理员。

4.1系统管理员
4.1.1网络管理
使用系统管理员sysadmin登陆产品页面，如下图所示：
在网络管理页面可以进行IP地址修改，如下图所示：
注:主从安全服务环境下，若修改IP地址，可能造成DBCoffer-mysql无法连接安全服务，一旦部署完成，建议不要修改IP地址，若必须修改IP地址，请联系厂商。

4.1.2配置管理
使用系统管理员sysadmin登陆产品页面，如下图所示：
在配置管理页面修改安全服务的相关配置文件，如下图所示：
注:安全服务配置一般采用默认配置，一旦部署完成，建议不要轻易修改，若必须修改，请与厂商联系。

4.1.3用户管理
此功能可以添加、编辑、删除用户，添加时用户名、截止日期、密码为必选项，邮箱和电话为可选项。

1）添加用户：使用系统管理员sysadmin登陆产品页面，如下图所示：
在用户管理-添加用户页面下，点击‘添加用户’按钮，输入用户信息后，如下图所示：
用户添加成功后，在用户管理-添加用户页面，即可显示该用户，如下图所示：
2）编辑用户：点击用户右侧的编辑按钮，即可编辑用户信息，如下图所示：
3）删除用户：点击用户右侧的删除按钮，即可删除用户信息，如下图所示：
4.2安全管理员
安全管理员具有安全服务、实例查询、数据表加密、数据表解密、权限设置、用户管理的权限，其中除用户管理（权限设定）操作外，其他操作均参考第三章内容。

用户管理-权限设定，能够对新添加的用户赋予权限，使用安全管理员secadmin登陆产品页面，在用户管理-权限设定页面，对新添加的用户进行权限设置，如下图所示：
4.3审计管理员
对各个用户的操作行为进行审计，支持查看审计详情、删除审计日志、查询导出审计日志操作。

使用审计管理员sysauditor登陆产品页面，如下图所示：
登陆成功后，查看审计日志页面，如下图所示：
五.加密数据文件离线还原工具
主要对于已加密的数据文件，可以使用innorecover工具将密文数据文件解密还原，解密后恢复到明文状态，mysql可正常读写数据。

操作步骤：
1）使用安全管理员secadmin登陆产品页面，在实例查询页面下载秘钥，如下图所示：
2）将下载的秘钥通过传输工具以二进制传输模式导入到DBCoffer-mysql中，工具如：Xmanager(Xftp),SecureCRT等。

2）加密数据库文件恢复：
/usr/bin/innorecover-d"*"-t"*"-k/完整路径名/秘钥文件名/完整路径名/ibdata1
/usr/bin/innorecover-d数据库名-t表名-k/完整路径名/秘钥文件名/完整路径名/表名.ibd
注：共享表空间只恢复iddata1文件（即执行第一条命令即可），独立表空间要恢复ibdata1及对应加密表的.ibd文件（即执行以上两条命令）。

注2：参数说明
Innorecover默认存放/usr/bin/目录下，如变更过，请以实际路径为准
1）-d参数：数据库名，*表示所有数据库
2）-t参数：表名，*表示所有数据表
3）-k参数：含完整路径名的密钥文件名，如：/etc/key.file
4）数据文件:含完整路径的数据文件名，如：/usr/local/data/ibdata1。