..................................................................................... 37 第五章 编码/加密................................................................................................... ............................................................................................. 41 加密/解密 ............................................................................................... 使用，不会过多分析源码等，重在使用。 Shiro 可以非常容易的开发出足够好的应用，其不仅可以用在 JavaSE 环境，也可以用在 JavaEE 环境。Shiro 可以帮助我们完成：认证、授权、加密、会话管理、与 Web 集成、缓 存等。这不就是我们想要的嘛，而且 Shiro 的 API 也是非常简单；其基本功能点如下图所 示： Authentication：身份认证/登录，验证用户是不是拥有相应的身份；

· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 703 7.2.8 使用加密传输 (TLS) 功能 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 959 8.1.2 为 TiDB 客户端服务端间通信开启加密传输· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 964 8.1.3 为 TiDB 组件间通信开启加密传输 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 972 8.1.5 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 975 8.1.6 为 TiDB 落盘文件开启加密 · · · · · · · · · · · · ·

· · · · · · · · · 705 8.1.2 为 TiDB 客户端服务端间通信开启加密传输· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 710 8.1.3 为 TiDB 组件间通信开启加密传输 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 718 8.1.5 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 721 8.1.6 为 TiDB 落盘文件开启加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4178 15.10.1 TiDB 是否支持数据加密？· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4178

TiDB 用户文档 TiDB 数据库管理 TiDB 服务 TiDB 进程启动参数 TiDB 系统数据库 TiDB 系统变量 TiDB 专用系统变量和语法 TiDB 访问权限管理 TiDB 用户账户管理 使用加密连接 SQL 优化 理解 TiDB 执行计划 统计信息 语言结构 字面值 数据库、表、索引、列和别名 关键字和保留字 用户变量 表达式语法 注释语法 字符集和时区 字符集支持 字符集配置 时区 数据类型 函数和操作符概述 表达式求值的类型转换 操作符 控制流程函数 - 2 - 本文档使用 书栈(BookStack.CN) 构建 字符串函数 数值函数与操作符 日期和时间函数 位函数和操作符 Cast 函数和操作符 加密和压缩函数 信息函数 JSON 函数 GROUP BY 聚合函数 其他函数 精度数学 SQL 语句语法 数据定义语句 (DDL) 数据操作语句 (DML) 事务语句 数据库管理语句 Prepared 服务 TiDB 进程启动参数 TiDB 数据目录 TiDB 系统数据库 TiDB 系统变量 TiDB 专用系统变量和语法 TiDB 服务器日志文件 TiDB 访问权限管理 TiDB 用户账户管理 使用加密连接 SQL 优化 理解 TiDB 执行计划 统计信息 语言结构 字面值 数据库、表、索引、列和别名 关键字和保留字 用户变量 表达式语法 注释语法 字符集和时区 字符集支持 字符集配置 时区 数据类型

· · · · · · · · · 647 8.1.2 为 TiDB 客户端服务端间通信开启加密传输· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 652 8.1.3 为 TiDB 组件间通信开启加密传输 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 660 8.1.5 静态加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 663 8.1.6 为 TiDB 落盘文件开启加密 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4135 15.10.1 TiDB 是否支持数据加密？· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 4135

Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、De 如UEFI、loader、OS、应用等，可以确保在被入侵 修改时的阻断行为，另外可以将可信启动链的 Hash值上传云端管理，可以做到中心管控验证的 目的。 加密技术 数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但 是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运 行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和 代码，完成了安全闭环。 依赖于硬件和更高阶密码学，可以彻底阻断物理 分布式 内存 DB计算层 分布式共享 存储 分布式 内存 TDE透明加密 SSL • 在SSL和TDE保护下，好像数据在传输和存储过程中得到了保护，但是TDE 是存储时加密、计算层读取时解密，否则计算层无法进行计算。 • 计算层获得的数据依然是明文，非法用户依然可以通过dump手段获得数据 或者篡改数据。如果计算层获得的数据也加密，计算层将无法进行计算。 所以云原生数据的安全是要实现“可用但不可见”的能力。

TLS，国密 服务鉴权 流量控制 TLS，国密 服务鉴权 流量控制蚂蚁金服率先大规模落地SOFAMesh UDPA 安全 统一数据 平面API 存量连接无损迁移 提升5倍发布效率 TLS双向加密 支持国密算法 WAF 流量镜像 多协议 SOFARPC Dubbo HTTP1.1/2 平滑升级 性能 单跳CPU增加5%消耗 0.2ms RT 蚂蚁金服100+应用，10w+容器已经mesh化，部分业务链路通过下沉， 需要扩展实现 • 大规模场景下需要面对的资源占用，自动化问题、性能问题，稳定性问题兼容问题 § 不同的应用，部分Mesh化 § 同一个应用，部分Mesh化 § 蚂蚁基础设施适配 § TLS加密链路平滑迁移 Localhost or Iptables 透明劫持和加速大规模问题 10万+实例 动态服务发现 运维 § 对控制平面性能，稳定性带来巨 大挑战 § 单实例数万路由节点，数千路由 ：Cpu消耗与RT的tradeoff 优化GC策略升级1.12版本，MADV_FREE，MADV_DONTNEED带来的 影响 Chan的吞吐极限，减少主业务数据的传递 CGO对于TLS 签名计算有83%的性能衰退，AES对称加密 使用tmpfs 或者 mmap MAP_LOCKED 优化IO负载较高对共享内存刷page cache的影响 Unix Domain socket较TCP socket 提升8%性能TLS性能

14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . . . 494 15 加密服务 497 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含义 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了 位精度浮点数，周期为 2**19937-1 ，其在 C 中的底层实 现既快又线程安全。Mersenne Twister 是现存最广泛测试的随机数发生器之一。但是，因为完全确定性，它不 适用于所有目的，并且完全不适合加密目的。 这个模块提供的函数实际上是random.Random 类的隐藏实例的绑定方法。你可以实例化自己的Random 类 实例以获取不共享状态的生成器。 如果你想使用自己设计的不同基础生成器，类Random

464 14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . 466 15 加密服务 469 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含义 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了 位精度浮点数，周期为 2**19937-1 ，其在 C 中 的底层实现既快又线程安全。Mersenne Twister 是现存最广泛测试的随机数发生器之一。但是，因为完全 确定性，它不适用于所有目的，并且完全不适合加密目的。 这个模块提供的函数实际上是random.Random 类的隐藏实例的绑定方法。你可以实例化自己的Random 类实例以获取不共享状态的生成器。 如果你想使用自己设计的不同基础生成器，类Random

14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . . . 532 15 加密服务 535 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 以下编解码器提供了文本转换: str 到str 的映射。它不被str.encode() 所支持（该方法只生成bytes 类型的输出）。 编码 别名 含意 rot_13 rot13 返回操作数的凯撒密码加密结果 3.2 新版功能: 恢复 rot_13 文本转换。 在 3.4 版更改: 恢复 rot13 别名。 7.2.5 encodings.idna --- 应用程序中的国际化域名 此模块实现了 位精度浮点数，周期为 2**19937-1 ，其在 C 中的底层实 现既快又线程安全。Mersenne Twister 是现存最广泛测试的随机数发生器之一。但是，因为完全确定性，它不 适用于所有目的，并且完全不适合加密目的。 这个模块提供的函数实际上是random.Random 类的隐藏实例的绑定方法。你可以实例化自己的Random 类 实例以获取不共享状态的生成器。 如果你想使用自己设计的不同基础生成器，类Random